Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Comment l'e-marchand Selency a anticipé le passage à l'authentification forte

Cas d'école Repoussée, la nouvelle réglementation baptisée DSP2 entrera en vigueur en Europe au 1er janvier 2021. Si de l’aveu de nombreux acteurs du secteur, les e-commerçants sont peu préparés, Selency, marketplace française spécialisée dans le mobilier vintage, a fait pour sa part preuve d’anticipation. Un retour d’expérience précieux alors que les e-marchands doivent plus que jamais se préparer à un vrai bouleversement, et que les TPE et PME ne sont pas toujours armées pour affronter les changements réglementaires.
Twitter Facebook Linkedin Flipboard Email
×

Comment l'e-marchand Selency a anticipé le passage à l'authentification forte
Comment l'e-marchand Selency a anticipé le passage à l'authentification forte © DR

Le 14 septembre dernier, la nouvelle réglementation baptisée DSP2 (pour Directive sur les services de paiement 2) devait entrer en vigueur en Europe. Si l'Union européenne a finalement accordé un sursis à ses Etats membres, comme le réclamaient bon nombre de membres de l’écosystème financier, cette nouvelle réglementation, conçue entre autres pour réduire la fraude, reste au cœur des inquiétudes, notamment pour les e-marchands. Qu’implique-t-elle concrètement ? Entre autre que l’authentification forte (SCA pour Strong customer authentication) devient obligatoire.

 

De la complexité pour l'e-marchand

Que l’on considère que cette directive était nécessaire ou non, la majorité des acteurs concernés (e-commerçants, fournisseurs de solutions, émetteurs de cartes bancaires…) s’accorde sur un point : l'authentification forte introduit de la complexité… d’où la nécessité d’anticiper sa mise en oeuvre. Elle "implique des solutions techniques qui prennent en compte la complexité des réglementations, qui vient du fait qu’il y a plusieurs niveaux d’interprétation : européenne, nationale, interprétation des banques émettrices", analyse Guillaume Princen, Directeur Général Europe Continentale de Stripe. 

 

Pourtant, nombre de marchands sont concernés : la SCA va s’appliquer pour la majorité des transactions, avec des exceptions (les transactions de moins de moins de 30 euros, NRDL). De nombreuses possibilités d’exemption existent et certaines transactions en dehors de ce cas de figure pourront aussi bénéficier d’exemptions. Autre difficulté, et non des moindres : ce n’est pas le commerçant qui décide de l’appliquer pour sécuriser la transaction, mais l'émetteur de la carte bancaire.

 

Une nouvelle API de gestion de flux de paiement

Stripe, qui accompagne notamment les commerçants sur leur développement à l’international, a aidé sur ce point Selency, spécialiste de la vente en ligne de mobilier et décoration vintage. Cette société française, créée sous le nom de Brocante-Labs en 2014, a échangé avec l'entreprise américaine à partir de début 2018 sur un autre sujet. Dans le cadre de projets d’expansion internationale et des problématiques de paiement qui y sont liées, l’un des spécialistes français du meuble de seconde main s’est rapidement senti concerné par la mise en oeuvre de SCA.

 

En tant que PME, la société ne dispose pas d’un arsenal de spécialistes pour préparer la mise en place de l’authentification forte. Pourtant, elle est concernée à plus d’un titre : son panier moyen se situe entre 250 et 300 euros, et elle avance un taux de réachat  de 30% sur 12 mois. Un paiement refusé peut avoir de graves conséquences sur le comportement d’un client et sa fidélité.

 

Stripe s’est rapidement positionné sur les enjeux de SCA en lançant plusieurs outils, dont Payment Intent, une nouvelle API sur lesquelles ses marchands ont migré. "Notre produit offre à la fois une forte expertise, une mise en conformité et une expérience utilisateur préservée aux marketplaces", poursuit Guillaume Princen. Principe : un outil de gestion de flux de paiement qui simplifie cette nouvelle étape induite par l’authentification forte. La plate-forme de Stripe détecte en premier lieu si une authentification est nécessaire. Dans ce cas, le standard 3D Secure 2 est utilisé authentifier le client à l'aide d'un code unique ou d'une identité biométrique, selon les exigences de la banque.

 

6 semaines d'implémentation

Le site a mis en place un pop-in pour le formulaire de migration, déclenché par les actions des vendeurs concernant leurs commandes et leurs paiements, avec un certain nombre d’informations à la clé. "Nous avons utilisé la réglementation comme une opportunité de mettre en œuvre une fonctionnalité très attendue du commerçant", expliquent les partenaires. Les données utilisateurs collectées par le passé ont  permis de pré-remplir au maximum les étapes relatives aux informations personnelles. Lorsque le client doit s'authentifier, la solution prend en charge la vérification biométrique.

 

La solution a été déployée par incréments de 10% de la base d'utilisateurs. Autre solution proposée par Stripe : Stripe Radar, qui utilise des outils de machine learning pour réduire les taux de fraude sur l'ensemble du réseau Stripe et augmentant le taux d'exemptions. Pour Selency, les avantages sont multiples. "La solution absorbe toute la complexité de  la réglementation dans des délais très courts", résume Maxime Brousse. La société a mobilisé un seul développeur sur le sujet du paiement, pendant 6 semaines, dont un mois consacré à l’intégration de Stripe Connect. Le paiement pur autour de SCA a pris 2-3 semaines.

 

Une perte estimée à 57 milliards d'euros pour l'économie européenne

Pour vérifier l’efficacité de la solution, la conversion est la mesure la plus facile à surveiller et parle d'elle-même : celle-ci ne doit pas chuter sur l'encaissement effectué avec le nouveau système. La mise en conformité des sites e-commerce est une condition sine qua non pour assurer un paiement sans friction à l’acheteur.

 

En effet, si ce n’est pas le cas, et que le paiement est refusé, "l’acheteur va aller sur un autre site", résument les partenaires. Un risque qui implique une perte de chiffre d’affaires directement imputable à la nouvelle réglementation européenne, que Stripe a estimée à 57 milliards d'euros. Pour atténuer ces risques, Stripe mais également des acteurs comme Visa, Cybersource accompagnent les e-marchands à l’international. On estime à date que seuls 1,5% des émetteurs de carte et 15% des acquéreurs sont prêts.

 

Le D-Day repoussé, une fausse bonne idée ?
La nouvelle réglementation baptisée DSP2 entrera en vigueur en Europe au 1er janvier 2021. Pour Laurent Bailly, en charge des solutions digitales chez Visa, "ce changement d’agenda était souhaitable car il intervient en faveur du consommateur". La société, qui met en place des plans de migration, se montre satisfaite. "DSP2 exige des changements dans l’ensemble de la chaîne - consommateur, e-commerçant et prestataire- sans compter les implémentations des exemptions, ou encore la prise en compte des pics de consommation", poursuit-il.
Entre l’adoption de la directive et sa date théorique de mise en œuvre, 18 mois. Un délai jugé insuffisant par Laurent Bailly, qui point des "changements de protocole et la mise en œuvre de tests" qui ne pouvaient pas être réalisés dans le temps imparti. "Ce n’est qu’en 2017 que les RTS (normes techniques de réglementation) ont été présentées", renchérit Julien Duméry, Cybersource, filiale de Visa. Une précision qui a obligé les acteurs P2P non full services à obtenir des certifications. Autre facteur de complexité : les SMS, soit le moyen adopté jusqu’ici pour authentifier l’acheteur, exclu en cours de route des moyens d’authentification forte. Surviennent en mars les différentes exemptions, dans un contexte de manque d’informations auxquelles ont accès les marchands.
Un enjeu d’autant plus important même si la European Banking Association, qui s’est exprimée le 17 octobre 2019, a fixé la délai d’implémentation de la SCA au 31 décembre 2020. Si les  acteurs disposent d'un délai supplémentaire de 14 mois, pour la mettre en place, Stripe conseille à ses clients de préparer le terrain le plus rapidement possible, sans néanmoins se précipiter. "La plupart des banques ne sont pas prêtes. Activer dès maintenant des flux de paiement avec authentification forte serait une très mauvaise idée. En revanche, il faut dès à présent prendre les dispositions pour être prêt le 31 décembre 2020, c'est à dire vérifier avec son partenaire de paiement ce qu'il a prévu de mettre en place le jour où SCA sera activé, comprendre les changements techniques à effectuer pour être prêt, et connaître les options d'optimisation proposées par le prestataire de paiement (notamment au regard des exemptions prévues par le texte réglementaire)", explique la société. 

 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale