Explication de l’authentification forte du client (SCA) et de la norme 3DS2 : Authentification des paiements PSD2
Vendre en ligne à des clients européens implique de se conformer à l'authentification forte du client (SCA) et à la norme 3D Secure 2. L'authentification forte du client est une obligation légale stricte en vertu de la directive PSD2, et la plupart des commerçants y répondent via 3D Secure 2. Ce guide vous explique concrètement ce que signifie l'authentification forte du client et la norme 3D Secure 2, les cas particuliers à prendre en compte et les conséquences d'une mauvaise configuration.
Qu’est-ce que l’authentification forte du client (SCA) ? Définition
L'authentification forte du client est une exigence de vérification en vertu de la DSP2 — la directive européenne sur les services de paiement 2. Elle s'applique lorsqu'un client initie un paiement électronique et que la banque émettrice de sa carte et la banque acquéreuse du commerçant se trouvent toutes deux dans l'Espace économique européen.
La règle porte sur les facteurs d'authentification. Une authentification sécurisée doit en utiliser au moins deux sur trois, et ceux-ci doivent appartenir à des catégories distinctes :
- Connaissances — quelque chose que le titulaire de la carte sait : un mot de passe, un code PIN ou une question de sécurité
- Possession — un objet que le titulaire de la carte possède : un téléphone portable, un jeton matériel ou une carte à puce
- Inhérence — quelque chose que le titulaire de la carte est : empreinte digitale, reconnaissance faciale, identification vocale
Les facteurs doivent être indépendants les uns des autres : compromettre l’un ne peut pas compromettre l’autre. Ils doivent également être liés dynamiquement au montant de la transaction et au bénéficiaire. Un mot de passe statique valable pour tous les achats ne convient pas.
Champ d'application : L'authentification forte du client (SCA) couvre les achats par carte en ligne initiés par le client. Elle ne s'applique pas aux transactions initiées par le commerçant (facturation récurrente après l'autorisation initiale), aux commandes par correspondance ou par téléphone, ni aux transactions où le commerçant ou la banque du titulaire de la carte est située hors de l'EEE. Cette dernière catégorie, dite « authentification à une seule étape », concerne les commerçants ayant une clientèle internationale diversifiée.
Qu'est-ce que 3DS2 et quel est son lien avec SCA ?
Le nom se décompose ainsi : 3D représente trois domaines : la banque émettrice qui a délivré la carte du titulaire, la banque acquéreuse qui traite les paiements du commerçant et le réseau de cartes assurant l’interconnexion. La version 2 la distingue du protocole original, lancé par Visa en 1999 sous le nom de « Verified by Visa ». EMVCo, détenue conjointement par Visa, Mastercard, Amex et d’autres réseaux, a développé et assure désormais la maintenance de la norme 3D Secure 2.
Quel est le lien avec l'authentification forte du client (SCA) ? La directive PSD2 exige que les paiements par carte soient authentifiés par deux facteurs. 3D Secure 2 est le mécanisme utilisé par les commerçants pour effectuer cette authentification lors des transactions sans présentation de la carte. Techniquement, les flux bancaires ouverts et les redirections vers les applications bancaires peuvent également satisfaire aux exigences de l'authentification forte du client, mais en pratique, 3D Secure 2 gère la grande majorité des paiements par carte en ligne.
Visa et Mastercard ont cessé de prendre en charge 3DS1 pour les transactions européennes en octobre 2022. Après cette date, l'acheminement des paiements par carte via 3DS1 était non seulement obsolète, mais également non conforme au système. Ce qui était autrefois optionnel est devenu obligatoire, et la mise à niveau vers 3D Secure 2, recommandée depuis des années par les processeurs de paiement, est devenue la seule solution viable.
Historique de 3D Secure : de 3DS1 à 3DS2
Le système 3DS1 a été lancé au début des années 2000. Son mécanisme d'authentification consistait en une fenêtre contextuelle de redirection, généralement hébergée par la banque émettrice de la carte. Les titulaires de carte voyaient apparaître une nouvelle fenêtre de navigateur, saisissaient un mot de passe statique qu'ils oubliaient souvent, puis la transaction était validée ou abandonnée. L'abandon à cette étape représentait un problème mesurable pour les commerçants de tous les secteurs.
| Fonctionnalité | 3DS1 | 3DS2 |
|---|---|---|
| Interface utilisateur d'authentification | Redirection vers une fenêtre contextuelle / nouvelle fenêtre | iframe intégré ou SDK natif |
| Données envoyées à l'émetteur | ~15 points de données | Plus de 100 points de données (appareil, comportement, historique) |
| Assistance mobile | Mauvais — pas de SDK natif | Kit de développement logiciel (SDK) natif complet pour iOS et Android |
| Écoulement sans frottement | Pas disponible | Oui — la majorité des transactions |
| Méthode de défi | Mot de passe statique | OTP, notification push, biométrie |
| Transfert de responsabilité | Oui | Oui (couverture étendue) |
| statut de l'UE | Déprécié en octobre 2022 | Obligatoire |
Le protocole 3DS2 a été conçu pour corriger les problèmes de conversion engendrés par le protocole 3DS1. En envoyant plus de 100 signaux de risque à l'émetteur dès le début du processus, il fournit aux banques suffisamment de données pour approuver la plupart des transactions sans aucune intervention du client. Lorsqu'une vérification est requise, il s'agit d'un code SMS ou d'une authentification biométrique, et non d'un mot de passe défini par le titulaire de la carte il y a trois ans.
Fonctionnement de l'authentification 3DS2 : étape par étape
Chaque transaction 3DS2 emprunte l'un des deux chemins possibles. La banque émettrice choisit le chemin en fonction des données de risque qu'elle reçoit. Dans la plupart des cas, les clients ne remarquent même pas l'authentification.
Flux sans friction (70 à 90 % des transactions) :
- Le client saisit les informations de sa carte lors du paiement.
- La passerelle de paiement ou le serveur 3DS du commerçant collecte plus de 100 points de données : empreinte digitale de l’appareil, géolocalisation IP, caractéristiques du navigateur, historique des transactions et signaux comportementaux.
- Ces données sont envoyées dans une requête d'authentification (AReq) au serveur d'annuaire du réseau de cartes, puis transmises au serveur de contrôle d'accès (ACS) de la banque émettrice.
- L'ACS effectue une évaluation automatisée des risques, généralement en moins d'une seconde.
- Si la transaction présente un faible risque, l'ACS délivre une approbation automatique, sans intervention du client.
- La transaction s'achève par le transfert de la responsabilité à la banque émettrice.
Flux de contestation (10 à 30 % des transactions) :
- Les étapes 1 à 3 sont identiques : collecte des données et soumission de la demande d’autorisation (AReq).
- L'ACS signale la transaction comme présentant un risque plus élevé : nouvel appareil, montant inhabituel, nouvelle adresse de livraison ou taux de fraude élevé pour cette catégorie de commerçants.
- Le client est invité à fournir un deuxième facteur d'authentification : un code d'accès unique par SMS, une notification push de son application bancaire ou une donnée biométrique.
- Le client relève le défi
- L'opération est approuvée avec transfert de responsabilité à l'émetteur.
Ce qui distingue 3DS2 de son prédécesseur, c'est la fluidité du parcours utilisateur. La plupart des clients effectuent une transaction authentifiée sans aucune démarche supplémentaire. En cas de problème, la méthode est familière : la même notification push utilisée pour approuver un virement bancaire.
Exemptions SCA et leurs cas d'application
Toutes les transactions ne nécessitent pas d'authentification forte du client (SCA). La directive PSD2 prévoit des exemptions permettant d'effectuer des paiements sans authentification à deux facteurs. Demander une exemption ne signifie pas nécessairement l'obtenir. La banque émettrice décide de l'accepter ou non. En cas de refus, le commerçant doit soumettre à nouveau la transaction en déclenchant l'authentification forte du client.
| Type d'exemption | Condition | Limite |
|---|---|---|
| Transaction de faible valeur | Transaction inférieure à 30 € | Maximum 5 transactions consécutives ou 100 € cumulés depuis la dernière authentification forte du client (SCA) |
| Analyse des risques liés aux transactions (TRA) | Taux de fraude de l'acquéreur ou de l'émetteur inférieur au seuil | 100 € avec un taux de fraude ≤ 0,13 % / 250 € avec un taux ≤ 0,06 % / 500 € avec un taux ≤ 0,01 % |
| Transactions récurrentes (montant fixe) | Même montant, même bénéficiaire après la première SCA | Aucune limite |
| Transaction initiée par le commerçant | Facturation par abonnement, versements échelonnés | L'authentification forte du client (SCA) est requise uniquement pour la première transaction. |
| bénéficiaire de confiance | Le titulaire de la carte a ajouté le commerçant à la liste blanche de sa banque. | Spécifique au commerçant, contrôlé par le titulaire de la carte |
| Paiements d'entreprise sécurisés | Systèmes de paiement B2B dédiés | Systèmes approuvés par l'organisme de réglementation uniquement |
La responsabilité est liée à la personne ayant demandé l'exemption. Si l'acquéreur demande une exemption TRA et que l'émetteur l'accepte, l'acquéreur (et par extension, le commerçant) est responsable en cas de fraude. Si l'émetteur a appliqué l'exemption de manière indépendante, la responsabilité lui incombe. Les commerçants traitant un volume important de transactions avec des exemptions TRA doivent suivre le chemin emprunté pour chaque transaction.
Comment l'authentification forte du client (SCA) et la 3DS2 affectent les commerçants
L'intérêt commercial de bien maîtriser SCA 3DS2 va bien au-delà de la simple conformité réglementaire :
- Transfert de responsabilité : l’authentification 3DS2 réussie transfère la responsabilité des rétrofacturations pour fraude du commerçant à la banque émettrice. En l’absence d’authentification, le commerçant supporte directement la fraude à la carte. Au sein de l’UE, la fraude à la carte est 17 fois plus élevée dans les régions où l’authentification forte du client (SCA) n’est pas requise.
- Taux d'autorisation : 3DS2 améliore souvent les taux d'autorisation par rapport aux paiements non authentifiés. Les émetteurs approuvent les paiements avec plus d'assurance lorsqu'ils disposent de 100 points de données au lieu d'un simple numéro de carte et d'un CVV.
- Conversion du processus de paiement : le parcours de validation ajoute une étape, tandis que le parcours sans friction 3DS2 n'en ajoute quasiment aucune. Un parcours 3DS2 bien implémenté produit généralement un impact stable ou positif sur la conversion par rapport à 3DS1.
- Qualité des données : la qualité de la requête AReq détermine le pourcentage de transactions qui se déroulent sans encombre. Les commerçants qui n’envoient que les champs obligatoires obtiennent des taux de validation plus élevés que ceux qui renseignent les champs facultatifs (empreinte digitale de l’appareil, historique des transactions, ancienneté de l’adresse de livraison).
- Géographie : Les règles d’authentification forte du client (SCA) varient selon les États membres de l’EEE, le Royaume-Uni (qui a son propre calendrier SCA post-Brexit) et d’autres marchés. Un système de paiement international doit segmenter correctement ces données au niveau de la requête.
Liste de contrôle de conformité SCA pour les commerçants en ligne
Pour configurer correctement SCA 3DS2, il ne suffit pas d'activer la 3DS2 au niveau de la passerelle. Le travail en cours est tout aussi important :
- Vérifiez que votre PSP ou votre passerelle de paiement est compatible avec la 3DS2. La plupart des principaux opérateurs (Stripe, Adyen, Worldpay, Braintree) gèrent cela automatiquement. Les opérateurs régionaux ou plus anciens peuvent encore fonctionner sur la 3DS1 ou n'en proposer que des implémentations partielles.
- Vérifiez l'exactitude des données de votre requête AReq. Collaborez avec votre prestataire de paiement pour vous assurer que vous transmettez bien la totalité des plus de 100 champs de données facultatifs, et non seulement les champs obligatoires. Chaque champ supplémentaire renforce la confiance de l'émetteur dans la rapidité et la simplicité du processus d'approbation.
- Cartographiez vos types de transactions. Identifiez les paiements initiés par le commerçant (abonnements après configuration), les commandes par correspondance/téléphone et les paiements en une seule étape. Signalez-les correctement : ils ne transitent pas par 3DS2 et ne doivent pas y être acheminés.
- Testez l'expérience utilisateur du parcours de défi. Lorsqu'un défi progressif se déclenche, l'expérience doit être claire et adaptée aux mobiles. Un écran de demande de code OTP confus nuit aux conversions. Testez sur différents appareils et navigateurs avant la mise en ligne.
- Surveillez les taux de transactions sans friction par rapport aux transactions contestées. Une baisse du taux de transactions sans friction signale un problème : données utiles dégradées, modification du modèle de risque de l’émetteur ou dépassement du seuil de fraude pour une catégorie de commerçants.
- Suivez l'évolution de vos demandes d'exemption. Sachez quelles exemptions vous demandez, lesquelles sont acceptées et lesquelles font l'objet d'un refus. Un refus pour une exemption de faible valeur signifie souvent que le plafond cumulé de 100 € a été atteint sans réinitialisation.
- Suivez l'évolution de la DSP3. La proposition de la Commission européenne concernant la DSP3 est en cours d'examen législatif ; sa mise en œuvre par les États membres est prévue pour 2026-2027. Elle étend l'authentification forte du client (SCA) au lieu de la remplacer : les exigences d'authentification sont renforcées, et non allégées.
Ce que beaucoup de commerçants ignorent au sujet de SCA 3DS2 : ce cadre réglementaire se limite aux transactions de paiement électronique régies par la DSP2, c’est-à-dire les transactions en monnaie fiduciaire transitant par les banques et les réseaux de cartes. Les paiements en cryptomonnaie sont totalement exclus de ce cadre.
Lorsqu'un client paie en Bitcoin, Ethereum ou avec un stablecoin, la transaction ne transite ni par un réseau de cartes ni par une banque. Aucun émetteur n'exécute de système de contrôle d'accès (ACS). Il n'y a ni AReq, ni serveur d'annuaire, ni flux de vérification à gérer. Les règles d'authentification forte du client (SCA) ne s'appliquent pas, car ce type de paiement est hors du périmètre réglementaire.
Pour les commerçants, cela se traduit concrètement. Un paiement en cryptomonnaie ne nécessite aucune authentification 3DS2, aucune demande de code OTP ni aucun processus de vérification. Le client paie directement depuis son portefeuille ; les fonds sont disponibles. Les contestations de paiement sont également impossibles : les transactions en cryptomonnaie sont irréversibles, ce qui élimine tout risque de fraude.
Pour les commerçants souhaitant ajouter une option de paiement totalement indépendante du système d'authentification par carte, Plisio prend en charge plus de 20 cryptomonnaies sans frais supplémentaires liés à l'authentification forte du client (SCA), sans risque de rétrofacturation et sans dépendance au modèle de risque de la banque émettrice.
Que signifient l'authentification forte du client (SCA) et 3DS2 pour votre pile de paiement ?
L'authentification forte du client (SCA) ne se simplifie pas. La DSP3 va encore étendre les exigences d'authentification, et le Royaume-Uni applique sa propre réglementation en matière de SCA après le Brexit. Pour les commerçants, la question pratique n'est pas de savoir s'il faut l'adopter, mais plutôt de savoir si la mise en œuvre de la SCA 3DS2 est réellement efficace.
Bien mis en œuvre, ce système est avantageux pour tous. Les commerçants sont protégés contre les rejets de paiement pour fraude. Les émetteurs reçoivent des signaux plus précis grâce à la charge utile de données étendue de 3D Secure 2 et approuvent davantage de transactions en toute confiance. Les clients bénéficient d'une authentification sécurisée qui, généralement, n'interrompt pas leur processus de paiement. Les commerçants qui rencontrent des difficultés sont ceux qui ont activé 3DS2 au minimum pour leur passerelle de paiement et n'ont jamais revu leurs taux de transactions sans friction, la qualité de la charge utile AReq ou leurs taux d'exemption.
