Paiement en ligne : les enjeux de la mise en place de la DSP2

Temps de lecture : 2 minutes

Symbole de l’intégration européenne, l’euro a été mis en circulation le 1er janvier 2002 dans 12 des 15 États membres. Cette union monétaire a permis l’introduction du projet SEPA : Single Euro Payments Area, un espace européen unique de paiement où les acteurs économiques peuvent effectuer et recevoir des paiements en euros. Les droits et obligations sont les mêmes pour tous. Cependant, cette harmonisation des moyens de paiement européens s’est développée et les transactions bancaires ont explosé, sans règle préalablement définie. De ce fait, une gouvernance s’est mise en place : la première directive sur les services de paiement, appelée la DSP1.

 

La DSP1 et ses limites 

La démocratisation, la transparence et la réglementation des transactions financières sont les maîtres-mots de la DSP1. En effet, à partir de sa mise en vigueur par l’Union Européenne en décembre 2009, cette DSP1 a introduit trois axes de développement :

  • La création d’un statut de prestataire de services de paiement qui a permis d’encourager la concurrence. En pratique, les sociétés non bancaires, Western Union par exemple, ont réussi à effectuer leurs premières opérations de paiement.
  • Une forme de clarté a été exigée par les banques concernant leurs services, leurs délais ou leurs frais.
  • L’espace unique de transactions en euro s’est renforcé : les transactions sont plus sécurisées et le risque de fraude est limité.

Cependant, la réglementation de la DSP1 est rapidement devenue obsolète. De nombreux intermédiaires ont émergé et commencé à proposer leurs services avec des moyens de paiement innovants à des prix plus attractifs. En pratique, les fintechs, comme Silvr, en sont l’illustration parfaite. Via l’open Banking, des plateformes de scoring qui évaluent votre performance ou en s’appuyant sur l’intelligence artificielle, elles proposent des services de paiement d’un nouveau genre.

 

Cette multiplication des transactions électroniques, des nouveaux moyens de paiement et des nouvelles parties prenantes entraînent une incertitude croissante quant à la sécurité des paiements et des autres opérations en ligne. Conséquence directe, les risques de fraude et de perte de transparence se sont accrus (pour en savoir, n’hésitez pas à consulter notre article dédié à la lutte contre les fraudes dans l’industrie du luxe). La DSP1 ne permettait plus de garantir la confidentialité et la sécurité des transactions. Un seul prérequis était demandé lors du paiement en ligne : un mot de passe ou une réponse à une question secrète. En pratique, le client ne recevait qu’un simple code par sms qu’il devait renseigner sur le site marchant. De ce constat est née la DSP2, une deuxième directive sur les services de paiement ; appelée également l’authentification forte ou multifactorielle.

 

La DSP2 : le nécessaire renforcement de la sécurisation des paiements

Cette nouvelle directive des services de paiement a pour objectif de consolider la sécurité des paiements en ligne (renforcer la confiance du consommateur au moment de l’achat), d’encadrer et de réguler les nouveaux acteurs dans le secteur bancaire. Qu’il s’agisse d’un achat ou d’un échange de données, il faut avoir la garantie que la partie à l’autre bout de la transaction est bien la personne ou l’entreprise qu’elle prétend être. C’est pourquoi la DSP2 a émergé en 2017 et est devenue obligatoire à partir du 14 septembre 2021. Au moment du checkout, deux prérequis sont désormais demandés à l’utilisateur pour prouver son identité parmi les 3 suivants :

  • Quelque chose qui est uniquement connu par l’acheteur : un mot de passe, un code, une réponse à une question secrète par exemple,
  • Un device que seul l’acheteur possède : tout appareil électronique mis à sa disposition, comme un ordinateur ou un smartphone,
  • Un élément qui prouve l’identité physique de l’acheteur : via l’intelligence artificielle, par une identification d’un trait physique unique, comme une empreinte digitale ou une reconnaissance faciale.

 

Si le consommateur est confronté à une sécurité renforcée, les entreprises le sont également. Elles doivent consolider la sécurité des interactions de leurs clients avec leurs comptes. Face à l’émergence de nouveaux acteurs, la DSP2 a étendu le statut de prestataire de services de paiement aux tiers prestataires. Les entreprises autres que les banques peuvent accéder aux comptes ouverts de leurs clients. Deux nouveaux statuts sont à distinguer :

  • PSCI : prestataire de services d’information sur les comptes, des agrégateurs d’informations. Ils s’occupent de regrouper les informations relatives aux différents comptes bancaires des clients (B2B & B2C). En pratique, via une application, il est possible de cumuler plusieurs comptes et de gérer son budget. Bankin’, crée en 2011, est un exemple de PSCI.
  • PSIP : prestataire de services d’initiation de paiement. Ils permettent de fournir de nouveaux types de services de paiement via un lien direct entre le bénéficiaire du paiement et le débiteur, sans passer par les établissements bancaires. Ils deviennent un intermédiaire clé et initie le paiement depuis le compte bancaire de son client. C’est par exemple le rôle du PSIP HelloBank.

Il est toutefois préférable de rappeler que ces tiers prestataires doivent s’enregistrer auprès de l’autorité de supervision compétente en France pour exercer. D’une part, les PSCI doivent adresser une demande d’enregistrement. D’autre part, les PSIP doivent obtenir un agrément d’établissement de paiement.

Si vous souhaitez découvrir comment choisir le meilleur mix paiements pour votre stratégie E-commerce, vous pouvez consulter notre article dédié.

 

Conclusion

La DPS2 a bouleversé les codes pour les institutions bancaires classiques. Celles-ci sont dans l’obligation de partager les données des comptes bancaires de leurs clients avec ces tiers prestataires de services de paiement. Via la méthode du « screen scraping », une collecte de données numériques, ces établissements récupèrent l’ensemble des données clients après avoir renseigné ses identifiants et codes d’accès à l’agrégateur. Cependant, cette nouvelle technique constitue un risque très élevé de fraude et est interdit par la DSP2. Des règles et une gouvernance sont à définir à ce sujet.

Finalement, ce secteur est mouvant et dépendra ad vitam aeternam des nouvelles technologies. Ne serait-il pas préférable de mettre en place une directive annuelle ? Vers une DSP3, DSP4, DSP5…

 

Pour aller plus loin : 10 critères pour choisir votre Prestataire de Service de Paiement

L’étape de paiement est sans doute l’une des plus cruciales sur un site e-commerce. À ce stade, l’expérience proposée à l’utilisateur doit être la plus fluide et sécurisante possible. Que vous souhaitiez proposer des paiements en ligne ou que vous cherchiez à vous développer sur de nouveaux marchés, viendra le moment où vous devrez choisir votre prestataire de service de paiement (PSP) et c’est un choix stratégique car il peut avoir un impact direct sur votre chiffre d’affaires. Découvrez dans notre livre blanc les 10 principaux critères permettant de trouver le fournisseur de paiement le plus adapté à vos besoins.

 

Un projet e-commerce ?
Adone Conseil vous accompagne dans la mise en place de vos solutions.