La sécurité des données et des transactions revêt une importance majeure en matière de paiement en ligne. Il s’avère en effet que dans 17 % des cas, le sentiment d’insécurité reste l’un des principaux motifs de non-transformation des ventes. Choisir une solution de paiement pour sa marketplace permet de garantir la sécurité des données des utilisateurs et de leurs informations de paiement. Performant et respectant la règlementation en vigueur, le dispositif doit être suffisamment fiable pour augmenter le taux de conversion des clients.
Table des matières
TogglePrestataire de services de paiement et ACPR
Le recours à un prestataire de services de paiement (PSP) est l’une des meilleures décisions à prendre pour sécuriser les transactions financières et les échanges de données sensibles en ligne via une marketplace. Bien entendu, si le commerçant dispose de toutes les ressources financières, techniques et humaines nécessaires, il peut tout à fait prendre en charge la gestion des paiements en interne.
Le prestataire de services de paiement ou PSP est, comme son nom l’indique, une entreprise spécialisée dans la gestion des différentes étapes du paiement sur une plateforme de vente en ligne. Il se charge du bon déroulement des transactions financières sur la plateforme. La solution de paiement marketplace prend en compte tous les moyens de paiement, que ce soit par carte bancaire, par prélèvement automatique ou par virement. Pour être en mesure de proposer ce type de prestation, c’est-à-dire encaisser des fonds pour le compte de tiers, le PSP doit être agréé par la Banque de France et être en possession de l’agrément délivré par l’Autorité de Contrôle Prudentiel de Résolution ou ACPR.
Le processus Know Your Customer
L’organisme de contrôle ACPR exige ensuite aux marketplaces la mise en place du processus KYC ou Know Your Customer afin de s’assurer de l’identité des clients. Ce type d’obligation consiste à récolter un certain nombre d’informations portant sur la conformité aux législations anti-corruption, l’intégrité et la probité du client.
Durant le processus, l’utilisateur qui souhaite devenir client fournit des preuves légales et engageantes afin de prouver qu’il est bien celui qu’il déclare être. Plusieurs dispositifs peuvent être mis en place, pour ne citer que la vidéoconférence ou la Vidéo IDentification en streaming durant lesquelles l’utilisateur fournit des documents d’identité authentiques. En plus de montrer son visage, il se soumet également à des tests biométriques et quelques contrôles de sécurité. La procédure se déroule aussi bien en ligne que par la présence physique en magasin ou en bureau de vente.
De nombreuses solutions technologiques existent également, pour vérifier l’identité des clients, pour ne citer que :
- l’Optical Character Recognition ou OCR
- le RAD-LAD ou le système de reconnaissance et de lecture automatique de documents
- le Robotic Process Automation RPA
- le Machine Learning
Aujourd’hui, les entreprises sont de plus en plus nombreuses à combiner ces techniques, afin d’éviter les risques d’erreur, d’assurer une meilleure maîtrise des coûts et d’optimiser le processus KYC, tout en respectant les exigences de la règlementation en vigueur.
La plateforme de vente en ligne est ensuite tenue de transmettre ces informations au prestataire de services de paiement qui se chargera à son tour de les valider. L’obligation vise surtout à prévenir le blanchiment d’argent, la fraude fiscale ou l’usurpation d’identité. Bien qu’elles soient relativement contraignantes, ces dispositions légales ont pour principal objectif de protéger aussi bien les acheteurs que la marketplace.
Paiement sur marketplace et DSP2
La DSP2, c’est quoi exactement ?
La Directive sur les Services de Paiements n°2 ou DSP2 est un dispositif spécialement conçu pour renforcer la sécurité des paiements en ligne. La règlementation s’applique à toutes les procédures d’encaissement en ligne sur les marketplaces, que ce soit sur ordinateur ou sur une application mobile. Outre les mesures destinées à renforcer les droits des consommateurs, la DSP2 instaure la notion d’authentification forte, notamment pour le règlement des montants supérieurs à 30 €. La mise en place d’un système d’authentification forte figure d’ailleurs dans la liste des obligations prévues dans l’agrément ACPR.
À titre de rappel, la DSP2 ou Seconde Directive sur les Services de Paiements a pour principal objectif de protéger les marchands, les fintechs et les établissements bancaires contre la fraude. L’authentification est considérée comme « forte » lorsqu’elle demande un élément que seul l’acheteur possède ou connaît, comme le mot de passe ou l’empreinte digitale.
L’authentification 3D-Secure-v2
Pour ce faire, la DSP2 instaure la « 3D-Secure-v2 » dans le but d’uniformiser le système de contrôle des paiements. Au moment de l’achat, le dispositif vérifie que le porteur de la carte est réellement celui qui passe la commande. Avec 3D-Secure-1, c’est-à-dire la première version du protocole, l’acheteur est amené à interagir. Il est, en effet, tenu de se connecter à son compte bancaire ou de rentrer un code reçu par SMS. Pour renforcer davantage le paiement sur les marketplaces, la 3D-Secure-v2 va encore plus loin, en vérifiant l’identité de l’acheteur, sans le solliciter. Il s’agit cette fois-ci d’une authentification « frictionless ».
Concrètement, l’authentification reste à la charge de la banque émettrice. Les vérifications portent cette fois-ci sur les données du panier, l’acheteur, le moyen de paiement utilisé ainsi que les modalités de livraison, et ce, en seulement quelques secondes. Durant le processus, l’authentification double ou « multi-facteurs » se déclenche automatiquement en cas de détection de risque de fraude ou d’exemption. Aujourd’hui, les prestataires de services de paiement se voient dans l’obligation de se conformer aux dispositions de la DSP2. Il n’est désormais plus possible de procéder au paiement en un seul clic ou l’utilisation de la carte de paiement préalablement enregistrée sur application mobile. En plus de proposer un parcours client optimal, le système 3DSecure 2 sécurise tous les paiements en ligne.
Les certifications requises
Un prestataire de services de paiement a besoin d’un certain nombre de certifications pour pouvoir proposer un système d’authentification forte durant le processus de paiement. Il s’agit notamment de :
- la certification socle EMVCO
- la certification CB émise par le GIE des Cartes bancaires CB
- la certification EMV 3DS compliant pour le réseau Visa
- la certification 3DS server pour les cartes Mastercard
- la certification « Safekey » pour le réseau American Express