Alors que les ventes en ligne ne cessent de progresser en France - 17 milliards d’euros au 3e trimestre, en hausse de 12% sur un an - la Fevad attire l’attention sur des propositions de règles européennes qui, si elles étaient adoptées, pourraient avoir un impact « particulièrement négatif » sur le développement des achats sur Internet, estime la fédération du commerce électronique et de la vente à distance. Il s’agit de dispositions techniques (Regulatory Technical Standards, RTS), complémentaires à la directive sur les services de paiement (DSP2) et qui portent sur l’authentification forte des cyber-acheteurs. En proposant cette dernière pour tout paiement supérieur à 10 euros, le texte que l’autorité bancaire européenne (EBA) a soumis à consultation publique jusqu’au 12 octobre dernier « s’éloigne très sensiblement des orientations prévues par la DSP2 », alerte la Fevad avec de nombreux autres acteurs du commerce en ligne en Europe.
Ce que pointe ici l’organisation professionnelle française, c’est un recours disproportionné à l’authentification forte, qui ne tient pas compte du niveau de risque lié au service fourni. A travers le système 3D-Secure (cf le rapport 2015 de l'OSCP/Banque de France), elle est déjà en place depuis 10 ans. « Nous sommes pour cette authentification forte », nous a rappelé Bertrand Pineau, responsable de l’innovation, du développement et de la veille à la Fevad, chargé de la commission Paiement, monétique et fraude. « Le problème, c’est qu’elle soit systématique alors qu’il y a de nombreux contextes où elle ne s’applique pas et où il est carrément aberrant de l’exiger », explique-t-il en soulignant qu’au-delà de 10 euros, cela concernerait quasiment tous les paiements. « Nous ne comprenons pas pourquoi ce texte est si restrictif ». Les professionnels du secteur alertent donc les autorités et les parties prenantes sur ce point afin que les législateurs européens puissent, en temps utile, amender ce texte qui ne devrait être appliqué par les régulateurs nationaux qu'à partir de 2018.
25% des paniers abandonnés à cause de lenteurs d'authentification
Grâce aux dispositifs déjà mis en place, tant 3D-Secure que technologies d’analyse du risque, on est parvenu à maîtriser la fraude à la carte bancaire. « Les outils commencent à porter leurs fruits, le taux de fraude sur la vente à distance est en baisse depuis 2 ans en pourcentage et en volume », nous a confirmé Bertrand Pineau. « On ne comprend pas pourquoi le texte des RTS sur les modalités de la sécurité des paiements est si restrictif ». Dès septembre, la Fevad a donc, avec la fédération européenne Ecommerce, souligné dans une étude (*) qu'il avait une meilleure alternative à l'authentification forte qui peut s'avérer restrictive et trop lourde. Les professionnels de la banque, du numérique et de l'e-commerce préconisent plutôt une approche mixte dite « par les risques » (les anglo-saxons parlent de « targeted authentification ») qui tient compte des risques associés à chaque transaction. Cette approche mixte « passe par une analyse comportementale », décrit Bertrand Pineau. En fonction de cette analyse de risque, du scoring obtenu, la transaction est associée, ou pas, à une authentification forte.
Dans un communiqué, Marlene ten Ham, secrétaire générale d’Ecommerce Europe, estime que c’est la seule méthode viable pour sécuriser une expérience d’achat sûre et sans couture pour les consommateurs. « Aujourd’hui, 25% des abandons de paniers d’achat résultent de processus d’authentification pesants. Cela entraîne un impact négatif important pour les e-commerçants », pointe-t-elle. Alors qu’il est prouvé que, dans certains cas vérifiés, l’authentification mixte pourrait augmenter les taux de conversion de façon significative, jusqu’à 70%.
(*) avec d’autres acteurs du numérique et de la banque : Edima, Epif, Choice in eCommerce et CCIA. L'association Ecommerce fédère au niveau européen les associations de commerce électronique.