Paiement en ligne DSP 2 et votre site PrestaShop : ce que vous devez savoir !

Publié le , par Xavier Bonnaud

Nous connaissons tous le 3D Secure qui a vu le jour il y a une dizaine d’années. Ce protocole d’authentification à activer depuis l’interface de configuration de votre module de paiement en ligne invite l’acheteur à saisir une information permettant de s’authentifier (en saisissant, par exemple, un code reçu par sms, le SMS-OTP ). Une façon de confirmer son identité et de limiter ainsi les paiements frauduleux.

Le 3DS fait parti d’une réglementation établie sous le nom de DSP 1.

Depuis Janvier 2018, c’est la deuxième version, la DSP2 qui est rentrée en vigueur. La Directive Européenne sur le Service de Paiement est une réglementation visant , entre autre, à augmenter la sécurité des transactions en ligne.

Les principales mesures de la DSP 2 traitent de :

  • L’interdiction de la sur-facturation. Cela signifie qu’aucun supplément ne peut être appliqué en cas de paiement par carte de crédit ou débit, que ce soit en magasin ou sur un site marchand.
  • le renforcement des droits du consommateur en cas de fraude à la carte bancaire (baisse de franchise, réduction des délais de remboursement …)
  • l’obligation de l’authentification par une nouvelle version du 3DS (le 3DS 2.0) pour les paiements en ligne de plus de 30€.
  • l’accès aux informations sur les comptes controlé via un canal de communication sécurisé.

La mesure imposant le 3D Secure 2.0 sur toutes les transactions supérieures à 30 euros est celle qui nous intéresse particulièrement.

Le 3DS 2.0 remplace le 3DS 1 et sera déclenché par la banque. Il pourra prendre deux formes :

  1. L’authentification forte, avec intervention du payeur pour s’authentifier
  2. L’authentification sans friction : la banque authentifie le payeur grâce aux données transmises au cours de la transaction, sans intervention du payeur

Le SMS-OTP, tel que nous le connaissons aujourd’hui ne sera donc plus considéré à lui seul comme un principe d’authentification en conformité avec la nouvelle réglementation DSP2.

Il est ainsi question de mettre en place progressivement des techniques d’identifications plus avancées à travers l’authentification forte, également nommée SCA (strong customer authentication) et du frictionless.

Le SCA est une procédure d’identification nécessitant une double vérification de l’identité.

  Elle demande la saisie, de la part du payeur,  d’informations pour confirmer son identité.

Parmi ces informations, il doit y avoir au moins 2 des 3 éléments suivants :

    • un élément que seul l’internaute connaît (mot de passe, code, etc.)
    • un élément que seul l’internaute possède (téléphone mobile, carte à puce, etc.)
    • une caractéristique personnelle de l’internaute (empreinte digitale, reconnaissance vocale, etc.)

L’objectif premier est de réduire considérablement le taux de fraude. Pour vous en tant que e-commerçant, on rappelle que le 3DS n’était pas une obligation. Chaque E-commerçant choisissait de l’activer ou non. 

Désormais, les banques ou prestataires de services de paiement engagent leur responsabilité. Le  3 DS 2.0 est obligatoire. Ainsi, si la banque du payeur ne demande pas d’authentification forte, en cas de fraude, le e-commerçant n’en sera pas pénalisé.

En revanche, un défaut de mise en conformité pourrait entraîner des transactions bancaires rejetées par la banque, et ainsi une multiplication des échecs de paiements.

Il est capital de connaître ces dispositions pour répondre au mieux à l’expérience utilisateur en particulier pour le parcours d’achat de vos clients.

Tout comme le 3D Secure à son époque, cette nouvelle méthode d’authentification peut être porteuse de doutes pour vous comme pour vos clients. Alors n’oubliez pas que l’objectif premier de ces mesures est d’accroître la sécurité des paiement et par conséquent de réduire les fraudes potentielles. Vous devez vous en servir comme un argument complémentaire de rassurance auprès de vos clients.

Cherchez à les familiariser avec ce principe d’authentification forte (par le biais de communication sur votre blog, vos réseaux sociaux…etc…) ne pourra être que bénéfique. Anticipez pour éviter les incompréhensions, et ainsi vous garantir un taux de conversion stable.

Quand votre site PrestaShop doit-il être conforme au DSP2 ?

En théorie, la mise en place de l’authentification forte était initialement prévue pour le 14 septembre 2019. 

Certains pays, avec l’aval de l’autorité bancaire européenne, ont décidé d’accorder un délai supplémentaire aux banques et commerçants pour se conformer à la directive. La France concède 18 mois supplémentaires pour s’assurer que l’ensemble des acteurs, bénéficient d’une solution sécurisée d’ici à mars 2021. (1)

Comment s’assurer de la conformité DSP 2 pour votre site PrestaShop ?

Votre module de paiement envoie des données à la plateforme de paiement et permet à la banque d’authentifier le payeur via l’authentification forte ou le frictionless.

Ce que vous devez faire dépend bien entendu des solutions de paiement que vous proposez sur votre boutique.  Dans la majorité des cas, votre banque ou plateforme de paiement a dû vous informer au préalable de l’application de la DSP2 en vous encourageant à mettre à jour votre module.

La plupart des plateformes de paiements détectent que vous utilisez PrestaShop et vous communiqueront directement les instructions afin de mettre à jour le module. Stripe va encore plus loin en affichant directement sur sa partie admin les transactions bancaires qui pourraient être refusées suite à l’application de SCA si vous n’êtes pas encore en conformité.

En cas de doute sur la conformité de votre module actuel, vérifiez d’abord la version installée sur votre BackOffice PrestaShop. Comparez là ensuite avec le module disponible sur la plateforme : Addons de PrestaShop.

Certains de vos modules peuvent provenir d’éditeurs assurant plus ou moins de suivi (c’est le cas par exemple des solutions personnalisées pour les paiements en plusieurs fois, ou certaines interconnexions avec PayPal). Dans ce cas, nous vous invitons à envisager un module officiel ou provenant d’un éditeur ayant fourni une mise à jour récente.

Attention cependant, la mise à jour d’un module de paiement n’est pas quelque chose d’anodin, surtout si votre version du module est ancienne. Une configuration adaptée doit être mise en place, au préalable dans la mesure du possible en pré-production avec des tests de paiements factices. Des ajustements graphiques sont également souvent à prévoir pour s’adapter au mieux à votre thème.

 

Le mot de PayPlug, solution de paiement en ligne

Comme l’a précisé l’agence Profileo, il est clé de rester informé des actualités en matière de DSP2 pour pouvoir à tout moment rassurer vos clients s’ils sont inquiets.

Quelques conseils pratiques supplémentaires :

      • Veillez à ouvrir toutes les communications envoyées par votre solution de paiement à ce sujet. En effet, celle-ci vous demande peut-être de mettre à jour votre module pour que l’étape du paiement sur votre boutique soit conforme à la nouvelle réglementation.
      • Si vous ne l’avez pas déjà fait, contactez votre solution de paiement et posez-lui quelques questions : a-t-elle fait le nécessaire pour échanger avec les banques de vos clients les nouvelles données qu’elles attendent sur chacune des transactions ? Une fois la DSP2 appliquée, comment votre solution a-t-elle prévu de gérer chaque type de paiement (simple, fractionné, différé, en un clic…) ?
      • Renseignez-vous sur les transferts de responsabilité applicables dans le cadre de la DPS2 : sachez par exemple que vous ne prenez un risque que lorsque vous demandez une authentification sans friction (passive) et que la banque de votre client accepte. De même, ce n’est pas parce que vous ne demandez pas d’authentification forte pour une transaction donnée sur votre site que vous n’êtes pas protégé : en effet, la banque de votre client a pu en demander une. Besoin d’en savoir plus ? Rendez-vous sur cet article.

En vous appuyant sur les conseils de votre agence et ceux de votre solution de paiement, tout ira bien pour votre boutique !

 

En résumé :

  •  Si vous avez reçu une notification de votre banque/plateforme de paiement : n’ignorez pas le message et faites le nécessaire pour vous assurer que les instructions ou recommandations ont été suivies.
  •  Vérifiez que votre module de paiement en ligne est à jour. Si une mise à jour est à effectuer pour être compatible avec DSP2, agissez avec précaution et privilégiez l’intervention d’un développeur ou de votre agence.
  • Accédez au Back office de votre solution de paiement : vérifiez si des informations complémentaires ne sont pas déjà fournies sur les actions à réaliser ou la compatibilité actuelle de votre module de paiement.
  • En cas de doute, contactez votre banque ou l’éditeur de votre module.

 

Notre équipe de développeurs Profileo se tient à votre disposition pour la maintenance de vos systèmes de paiement en ligne.