Depuis le 14 septembre 2019, l’ère du 3DS 2 a commencé ! Ce n’est pas le nom d’un nouveau smartphone ou d’une nouvelle console de jeux, mais celui correspondant à de nouvelles règles concernant la Strong customer authentification, l’« authentification forte ». Désormais, la double authentification bancaire devient la règle. Faisons le point.

À LIRE AUSSIAuto entreprise : comment se créer une clientèle ?

Que change la mise en place de la 3DS 2 pour les auto-entrepreneurs ?

En application de la directive européenne des services de paiements (DSP 2), les paiements en ligne de plus de 30 € et l’accès aux comptes bancaires feront l’objet d’une double ou d’une triple vérification. En effet, afin de lutter contre la fraude et de sécuriser les paiements, deux éléments d’authentification sont attendus, au minimum : mot de passe choisi par l’utilisateur, appareil appartenant à l’utilisateur (carte, tablette, smartphone), caractéristique personnelle de l’utilisateur (reconnaissance vocale ou faciale, empreinte digitale, etc.).

Par ailleurs, le choix d’appliquer l’authentification forte appartiendra désormais à la banque émettrice (banque de l’acheteur), en fonction du niveau de risque.

Enfin, depuis le 14 septembre 2019, la certification des plateformes de vente auprès de chacun des réseaux de carte (Mastercard, Visa, etc.) est obligatoire.

Qu’existait-il avant la 3DS 2 ?

Avant la 3DS 2, la grande majorité des paiements étaient sécurisés grâce au système 3D Secure (3DS 1), consistant en l’envoi d’un code unique par SMS, permettant de vérifier l’identité de l’acheteur. Ce système reste valable avec la 3DS 2.

Les délais de mise en place de l’authentification forte 

Pour les banques qui seraient à la traîne, l’Autorité bancaire européenne a annoncé en juin dernier qu’elle accorderait une période de transition. En ce qui concerne la France, les différents acteurs (établissements bancaires, e-commerçants, prestataires techniques) qui ne seraient pas encore passés à l’ère du 3DS 2, auront jusqu’au mois de janvier 2022.

Toutefois, il est peu probable que les banques françaises soient en mesure de se mettre à jour dès aujourd’hui ou pour 2022. Pour le moment, l’unique règle reste l’authentification par SMS. Encore faut-il s’être déjà mis à la page sur le plan de la 3DS 1 !

La 3DS 2, quel impact pour les auto-entrepreneurs commerçants ?

Ce sont les commerçants qui paieront le prix du retard de mise en œuvre du système par les banques. En effet, le risque est qu’une partie de leurs transactions soient refusées, ce qui aura nécessairement des conséquences sur le taux de conversion et le chiffre d’affaires des entrepreneurs.

Par ailleurs, le recours obligatoire à un appareil électronique empêche les personnes n’en possédant d’effectuer des paiements en ligne. C’était déjà en partie le cas auparavant. Toutefois, avec la 3DS 2, ces personnes sont définitivement écartées.

Enfin, l’accès au directory server (DS) du réseau Visa, Mastercard ou GIE CB, devenu obligatoire depuis le 14 septembre, sera probablement plus onéreux. Deux centimes par transaction, c’est un coût considérable pour un commerçant.

Des exceptions à la règle de la 3DS 2

Pour le plus grand bonheur des commerçants et prestataires, certains paiements échappent à l’authentification forte. C’est le cas des achats dont le montant est inférieur à 30 €, des opérations fréquentes, des paiements effectués hors Europe, des paiements effectués auprès d’un commerçants situé hors Europe, des paiements réalisés par le biais d’une carte professionnelle, des achats réalisés auprès d’un commerçant figurant sur votre liste blanche (à la banque) et des ordres de paiements donnés par téléphone ou par mail.

Toutefois, ces exemptions imposent de coûteux changements techniques. Tous les commerçants ne pourront pas se le permettre. C’est sans compter la démultiplication des données transmises aux banques par les commerçants, afin de rassurer les établissements, et afin de bénéficier des exemptions.