La Fevad est formelle : systématiser l’authentification forte pour tous les paiements en ligne d’un montant supérieur à 10 euros est « inadapté », « disproportionné » et menace « le fragile, mais nécessaire équilibre entre sécurité et fluidité du parcours client ».
Le syndicat professionnel, qui fédère les acteurs de la vente à distance, a réaffirmé sa position ce mardi dans le cadre de la publication de son bilan du e-commerce en France pour le 3e trimestre 2016.
Les dispositions qu’il conteste sont inscrites dans le projet de normes techniques réglementaires (RTS) que l’Autorité bancaire européenne (ABE) a soumis à consultation publique du 12 août au 12 octobre derniers.
L’objectif est de préciser les modalités de mise en œuvre des règles instituées par la directive européenne révisée sur les services de paiement. Cette dernière, connue sous l’acronyme DSP2, est entrée en vigueur le 12 janvier 2016, pour une mise en application à partir du 13 janvier 2018.
Le texte confie une dizaine de missions à l’ABE, dont trois portent sur le développement, en collaboration avec la BCE, des normes techniques sus-évoquées. La demande formulée dans l’article 98 porte plus précisément sur le principe de l’authentification forte, ses prérequis… et ses exceptions.
Celles-ci sont mentionnées en pages 33 et 34 du document soumis à consultation. L’authentification forte pourrait notamment être contournée si le destinataire d’un paiement est déjà inclus dans un liste de confiance que le payeur a créée au préalable avec son fournisseur de services de paiement. Ou encore dans le cadre de transactions répétées d’un même montant vers un même destinataire.
C’est le dernier point qui coince pour la Fevad : le recours obligatoire à l’authentification forte si la somme transférée dépasse 10 euros.
L’organisation dénonce, tout en rappelant partager les objectifs d’harmonisation, d’innovation et de sécurité que porte la DSP2, un impact « particulièrement négatif » sur l’expérience des cyber-acheteurs… et par là même sur les performances des e-commerçants, surtout à l’heure où la paiement sans contact et sans authentification se développe en magasin.
Conjointement à ses 17 homologues fédérés au sein de l’association Ecommerce Europe*, elle avance les conclusions d’une étude Clever Advice selon laquelle 25 % des abandons de panier sont la conséquence d’une procédure d’identification fastidieuse pour les internautes.
Alors, quelle solution ? La Fevad suggère une approche mixte, basée sur l’évaluation du risque : le marchand serait laissé responsable du choix des modalités de sécurisation d’une transaction « dont il connaît mieux que personne les caractéristiques ». Et de faire référence aux orientations de l’article 98 de la DSP2, qui prévoit des exemptions à l’authentification forte en fonction du « niveau de risque lié au service fourni ».
L’ABE doit publier une version définitive de ses normes techniques pour le 12 janvier 2017 au plus tard.
* EDiMA, qui représente des plates-formes en ligne comme Amazon EU, eBay, Facebook, Google, LinkedIn et Yahoo Europe, est aussi dans la boucle. Même chose pour EPIF (qui représente les intérêts des acteurs du paiement électronique) et Choice in eCommerce (qui associe des marchands).
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…