DSP2 : une nouvelle directive européenne sur les paiements en ligne
La Directive sur les Services de Paiements (DSP2), entrée en vigueur depuis janvier 2018 et dont les mesures seront appliquées à partir du 14 septembre 2019, a pour ambition de sécuriser et faciliter l’utilisation du paiement en ligne. A l’instar du RGPD, cette directive harmonise la réglementation à l’échelle de l’Union Européenne, cette fois-ci au niveau des paiements, et s’inscrit dans la volonté de créer un marché unique numérique. En mettant à jour la précédente directive appliquée en 2007, la DSP2 intègre de nouveaux enjeux propres à l’open banking et aux prestataires de services de paiement (PSP). Cette nouvelle directive est le fruit de long débats entre la Commission européenne, le Parlement européen, l’Autorité bancaire européenne, les banques et les acteurs de la FinTech (1).
Pourquoi la mise en place de la DSP2 est-elle nécessaire ?
La DSP2 est d’abord une réponse aux enjeux de la cybercriminalité. Avec un taux de fraude de 0,161% en 2017, la France fait figure de bon élève selon l’Observatoire de la sécurité des moyens de paiement de la Banque de France (2). Pour autant, le DSP2 fixe un objectif encore plus ambitieux à 0,13%. Les principales mesures de la DSP2 sont :
- La sécurisation des paiements en ligne, via la mise en place d’une double-authentification pour les transactions d’un montant supérieur à 30€ parmi trois facteurs (un code ou un mot de passe que l’on sait, un appareil que l’on possède ou une donnée biométrique). Le choix d’opter pour un dispositif de type 3D-Secure (3DS) n’appartient donc plus au e-commerçant mais bien à la banque, avec l’obligation de le généraliser, et de le renforcer. Le code jusque-là reçu par le client devra désormais être complété par un autre moyen d’authentification. La banque émettrice (celle de l’acheteur) est tenue responsable du déclenchement de ce protocole de double-authentification dit 3DS 2.0 pour sécuriser la transaction.
- Le renforcement des droits des consommateurs vis à vis des banques, grâce à l’interdiction de la surfacturation en cas de paiement avec une carte de crédit ou de débit, en ligne comme en magasin. Il faut noter aussi l’abaissement de la franchise restant à la charge du consommateur en cas de paiement frauduleux de 150€ à 50€ maximum, avec des délais réduits et le droit au remboursement inconditionnel pour les paiements effectués en euro.
- L’accès aux données bancaires par les prestataires de services paiement et autres acteurs de la FinTech, avec l’obligation pour les banques de leur proposer des interfaces adaptées ou des API pour leur permettre d’agréger certaines données bancaires. Les prestataires de paiement (SoFort, Adyen, HiPay ou PayPal…) et les agrégateurs de compte (Bankin’, Budget Insight, Linxo…) s’en réjouissent même s’ils devront bien-sûr obtenir le consentement de leurs utilisateurs pour précéder de la sorte. Jusqu’à présent, ces acteurs effectuent surtout du “screen-scraping” en accédant aux comptes de leurs utilisateurs pour y réaliser des captures d’écran, ce qui pose des questions évidentes du point de vue de la protection des données personnelles. Dans une démarche d’open banking, la DSP2 devrait donc accélérer l’essor des FinTech : agrégateur de comptes, prestataires de services de paiement, néo-banques… Toutefois, des réserves sont à exprimer sur le bon-vouloir des banques à ouvrir leur écosystème, et ce au risque de voir émerger de nouveaux concurrents au premier rang desquels figurent les GAFA.
Quels sont les impacts prévisibles de la DSP2 ?
Les répercussions de la DSP2 sont multiples :
- Pour les acteurs du e-commerce, on peut craindre une dégradation de la conversion, notamment du fait de la double-authentification qui risque de compliquer le parcours d’achat en ligne et de voir nombre de transactions ne pas aboutir. Pour minimiser l’impact de la DSP2 sur le taux de conversion des sites e-commerce, la directive prévoit des exceptions pour lesquelles l’authentification renforcée est souhaitée mais pas obligatoire : les transactions répétées, les transactions de faible montant et les transactions destinées à des bénéficiaires de confiance. Dans ce dernier cas, l’utilisateur transmet une liste blanche à sa banque.
- Pour les acteurs du secteur bancaire, on peut s’attendre à une ouverture à la concurrence sur le marché, notamment grâce au fait que la DSP2 prévoit un agrément qui certifie les prestataires de paiement et autres acteurs de la FinTech sur la qualité de leurs traitements. Associé à un accès facilité aux données de leurs utilisateurs, cet agrément renforce leur légitimité vis à vis des banques traditionnelles et les autorise à développer des services encore plus innovants.
La DSP2 implique donc de nouvelles contraintes et de nouvelles opportunités. En sécurisant davantage les transactions et en renforçant la collaboration entre banques et prestataires de paiement, la DSP2 devrait nourrir une cercle vertueux pour les citoyens européens. D’une part, ces derniers profiteront de dispositifs d’authentification imaginés pour limiter la fraude. D’autre part, en ouvrant l’accès à certaines données, les acteurs de la FinTech pourront améliorer leur proposition de valeur. Par ailleurs, grâce à un socle commun aux pays membres de l’Union Européenne, le e-commerce verra sa croissance soutenue par les transactions internationales. Enfin, par la mise en concurrence des banques et des prestataires de paiement, la directive vise à faire diminuer certains frais à la charge du consommateur.
Si les consommateurs pourraient économiser plus de 550 millions d’euros par an (3), les acteurs du e-commerce craignent, pour leur part, une perte potentielle de 57 milliards de dollars en 12 mois (4). Dernièrement, Stripe alertait sur le fait que les banques et les acteurs du e-commerce (PME en tête) manquent de préparation et peinent à adopter ces nouvelles réglementations, dont la traduction technique peut s’avérer coûteuse et complexe. Ces prévisions seront ou non confirmées en fonction du niveau d’adoption de la directive dans chaque pays. En France, le Sénat a par exemple étendu l’application de la DSP2 à tous les comptes bancaires et non pas seulement aux comptes de paiement (comptes courants). Quoiqu’il en soit, ce sujet montre en effet que l’équilibre est difficile à trouver entre renforcement de la sécurité lors du paiement et préservation de l’expérience d’achat du client.
Comment se préparer à l’application du DSP2 ?
Fort de son expérience en digital et en data, le cabinet de conseil Converteo peut mesurer finement l’impact de cette directive sur le tunnel de conversion e-commerce et formuler des recommandations pour en limiter l’impact. Différentes actions préventives ou correctives sont envisageables comme :
- L’audit et l’optimisation du parcours d’achat pour limiter la dégradation du taux de conversion en améliorant les étapes pré et post-paiement ;
- L’adoption de mécaniques de retargeting pour les clients abandonnistes ;
- La définition d’un plan d’action de mise en conformité DSP2.
Notes
1 – L’intégralité de la directive telle qu’adoptée par le Parlement européen
2 – Rapport annuel de l’Observatoire de la sécurité des moyens de paiement de la Banque de France (2017)
3 – “Services de paiement: les consommateurs vont profiter de paiements électroniques moins chers, plus sûrs et plus innovants”, Commission européenne, 15/01/2018
4 – “Paiements en ligne : les géants du e-commerce s’inquiètent des nouvelles règles de l’UE”, Les Echos, 04/06/2019
Auteur : Antoine de Sainte-Marie, Consultant Senior, Practice Data x Business Consulting