Pour gérer vos consentements :

3DS2 : l'envers du décor

Publié par Lyra le - mis à jour à

31 mars 2021, c'est la date limite fixée par l'Autorité Bancaire Européenne (ABE) aux différents acteurs du commerce en ligne pour se conformer aux dispositions de la Directive sur les services de paiement 2 (DSP2.


Rappelons tout de même qu'initialement, cette date était fixée au 14 septembre 2019. Puis, pour répondre aux craintes des acteurs concernés et au risque de bouleversement du secteur, un délai supplémentaire a été accordé jusqu'à fin 2020, délai à nouveau repoussé à fin mars 2021 en raison de la crise sanitaire que nous traversons.

En 2019, la majeure partie des acteurs de la chaîne du paiement, marchands, acquéreurs, émetteurs, PSP, n'étaient clairement pas prêts pour cette mise en conformité.

Qu'en est-il aujourd'hui, un an plus tard et à quelques mois de l'échéance?

A vrai dire, la situation semble avoir peu évolué, le marché n'est pas mature... et pour s'en rendre compte, il faut avoir une vision terrain.

Une vision que nous avons chez Lyra car, en tant que spécialiste des solutions de paiement, cela fait 3 ans que nous nous préparons. Lyra a d'ailleurs été la première plateforme de paiement française certifiée 3DS2 par EMVCo (standard international de sécurité des cartes American Express, Discover, JCB, Mastercard, UnionPay, et Visa) en février 2019.

La mobilisation de nos équipes ces dernières années sur ce sujet me permet, en tant que DG de Lyra, d'annoncer que, de notre côté, nous sommes prêts pour la migration, et de révéler un peu l'envers du décor de ce vaste chantier.

Un déminage quotidien

Nombreux sont ceux qui parlent aujourd'hui de transactions frictionless et d'optimisation de taux de conversion. Ce sont en effet les objectifs du 3DS2. Mais avant de les atteindre, encore faut-il que le 3DS2 fonctionne...

Lyra a donc pris part activement au sujet dès le début en s'exposant à la réalité du terrain et en testant les premières transactions 3DS2. Et la réalité est tout autre que celle qu'on veut bien nous présenter, souvent basée sur quelques " gros " marchands dont les flux ne sont pas très représentatifs de ceux de la majorité des marchands.

En choisissant de démultiplier les pilotes avec de plus petits marchands aux volumes moindres et en travaillant avec les principaux acquéreurs français, nous nous sommes lancés dans une véritable opération de déminage, dont l'ampleur nous surprend encore !

Nous nous heurtons à l'impréparation des uns et des autres, aux complications techniques des serveurs d'authentification (ACS : Access Control Server) liées aux problèmes de compatibilité de la fenêtre d'authentification avec la multitude d'environnements porteurs (navigateurs et écrans mobiles), aux anomalies des applications des banques en ligne qui permettent de valider les paiements, à certains anti-virus qui rendent le paiement 3DS2 tout simplement impossibles...

Les lièvres soulevés sont tels qu'on a l'impression d'être les seuls à tester les transactions 3DS2... ce qui nous fait craindre quelques déconvenues.

C'est un travail de fourmi, complexe et contraignant, certes. Mais il faut impérativement le mener pour identifier les problèmes, y apporter des solutions et faire progresser le système. C'est dans l'intérêt de tous les acteurs.

Les freins constatés

Depuis près de trois ans que nous sommes sur le sujet, nous connaissons les problématiques des différents acteurs et les freins rencontrés. Ce qui est évident, c'est que la mise en place du 3DS2 modifie tout l'écosystème du paiement et entraîne des développements importants pour tous les acteurs.

Prenons juste un exemple côté PSP : l'affichage de la fenêtre d'authentification au-dessus du site marchand en remplacement de la redirection permet d'éviter la rupture du parcours d'achat client, mais cela nécessite d'importantes évolutions ergonomiques et techniques. Pour que cela fonctionne avec tous les émetteurs et quel que soit l'environnement de l'acheteur, une mise au point est donc à faire d'urgence.

Ajouter à cela des évolutions de protocoles, qui s'enrichissent des données 3DS2, entre émetteurs et acquéreurs, entre PSP et banques... Tous les flux sont impactés rendant les connexions et les échanges entre l'ensemble des acteurs de la chaîne du paiement complexes.

Alors que faire ?

Accompagner la migration

Fin mars 2021, les banques seront donc sensées refuser les paiements sans authentification. Mais dès maintenant, elles peuvent décider d'invalider des paiements émis sans authentification 3DSecure, c'est le " Soft decline ". Pour l'instant, ce sont les paiements au-dessus de 2000 euros qui sont concernés, montant qui sera progressivement abaissé 250 euros en mars 2021.

Mais cette authentification sera encore acceptée en 3DS1. Certains marchands se rassurent : même s'ils ne sont pas prêts pour le 3DS2, ils pourront faire du 3DS1 et être tranquilles pendant encore quelque temps... Au risque de perdre des clients car le paiement ne sera pas frictionless et surtout au risque d'être pris de court quand le 3DS1 sera refusé. Ce qui devrait être le cas dans moins d'un an, comme annoncé par Mastercard. Les retardataires prennent donc de gros risques.

En tant que PSP, nous nous devons d'accompagner nos clients. Nous avons donc pris le sujet à bras le corps pour que nos marchands, dans leur très grande majorité, ne soient pas impactés et qu'ils puissent bénéficier du 3DS2 sans même avoir de modification à faire de leur côté.

Amener de la transparence aux marchands

Aujourd'hui notre souci est donc de proposer à nos marchands une solution 3DS2 qui fonctionne et qui leur permet d'avoir une visibilité sur le cheminement de leurs transactions.

Nous avons énormément enrichi notre solution pour donner tous les détails des traitements de transactions : utilisation du 3DS2 ou éventuels replis sur 3DS1, en mode frictionless (sans authentification du porteur) ou en mode challenge (avec authentification forte), les types d'erreurs rencontrés...

Jusqu'à présent, le marchand avait la main pour déclencher ou non une authentification. La grande nouveauté du 3DS2, c'est que ce choix reviendra désormais à la banque émettrice (celle de l'acheteur). Vont alors se poser des questions de responsabilité en cas d'impayés. Est-ce le marchand qui est responsable, ou l'émetteur de la carte ? Si le marchand force le frictionless, c'est lui qui sera responsable en cas d'impayé ; dans le cas contraire, ce sera l'émetteur.

Les enjeux de transparence sont donc aujourd'hui encore plus importants qu'avant ! Et au regard du nombre d'échanges dans le protocole 3DS, ce n'est pas toujours évident d'y voir clair.

Même si nous voyons aujourd'hui une petite lumière au bout du tunnel, le chemin vers le 3DS2 est encore long à parcourir et semble encore semé d'embûches. Chez Lyra, nous sommes prêts mais pour la majorité des acteurs de la chaîne du paiement, il est grand temps d'accélérer la migration.

Par Anton Bielakoff, CEO du Groupe Lyra

Pour en savoir plus sur le fonctionnement du 3DS2

Le groupe Lyra

A propos du groupe Lyra :

Fondée en 2001, Lyra sécurise les paiements en e-commerce et proximité et développe des services à valeur ajoutée pour gérer au quotidien les transactions et les équipements. Basée à Toulouse, Lyra est présent à l'international dans 10 pays (Algérie, Allemagne, Brésil, Chili, Espagne, Inde, Mexique, Argentine, Colombie et Pérou). Le groupe compte plus de 350 collaborateurs pour un chiffre d'affaires de 70M€ en 2019.

Le groupe Lyra en quelques chiffres :

+ de 20 milliards de paiement sécurisés et transmis en 2019 dans le monde

+ de 200 000 sites e-commerce

+ de 4 000 000 de terminaux de paiement dans le monde

Ses services sont certifiés PCI DSS, PCI 3DS, Visa, MasterCard et agréés par le GIE Cartes Bancaires.