L’Autorité Bancaire Européenne (ABE) voulait renforcer, dès le 14 septembre, les standards d’authentification des clients pour les transactions en ligne dépassant dix euros.
Les e-commerçants peuvent dormir sur leurs deux oreilles. L’ABE (Autorité Bancaire Européenne) a décidé de freiner la mise en place de son projet visant à renforcer les standards d’authentification des clients pour les transactions en ligne dépassant dix euros. Les acteurs de la chaîne de paiement étaient supposés appliquer cette nouvelle réglementation avant le 14 septembre prochain. L’authentification forte impose au moins deux facteurs d’identification comme un code, un mot de passe et une donnée biométrique telle que l’empreinte digitale, la voix ou l’iris.
En cause le Brexit
Mais l’instance régulatrice européenne de supervision des transactions, qui siège depuis le 3 juin à la Défense à Paris après son déménagement de Londres en raison du Brexit, a justifié sa décision de retarder la mise en application de son nouveau règlement en raison des difficiles solutions qui devaient être mises en œuvre pour répondre à ses exigences. L’ABE reconnaît notamment dans son communiqué « la complexité des marchés des paiements dans l’UE et les défis posés par les changements requis, en particulier pour les acteurs qui ne sont pas des prestataires de services de paiement (PSP) et ne sont donc pas directement soumis à la DSP2 et aux normes techniques de l’ABE, tels que les e-commerçants ». La seconde version de la directive européenne sur les services de paiement, dites DSP2, imposait, depuis le 13 janvier 2018, l’authentification forte pour les paiements de plus de trente euros. « Mais aujourd’hui, à peine 15% des transactions font l’objet de standards d’authentification forte du client, reconnaît Bertrand Pineau, directeur de l’innovation de la veille et du développement de la Fevad, (Fédération du E-commerce et de la Vente à Distance). La nouvelle réglementation nous aurait contraint à passer à 100% dans un délai très court et beaucoup d’acteurs ne sont toujours pas prêts ».
La France à la traîne
La Fevad , qui fédère aujourd’hui plus de 600 entreprises et 800 sites internet, se félicite ainsi de la possibilité reconnue aux régulateurs nationaux d’accorder un délai supplémentaire au-delà du 14 septembre afin de permettre la mise en place d’un plan de migration avec les parties prenantes. Un certain flou persiste toutefois quant au nouveau calendrier imposé par l’Autorité Bancaire Européenne. « L’ABE a déclaré qu’elle acceptait que les autorités de régulations des Etats-membres fassent preuve d’une certaine tolérance sur leurs marchés nationaux afin de permettre aux acteurs de la chaîne de paiement de mettre en place les infrastructures techniques imposées par la mise en place de la nouvelle réglementation, résume Bertrand Pineau. Les pays dans lesquels les retards sont les plus importants sont la France et le Royaume-Uni ainsi que l’Espagne et l’Italie. Mais il est clair que la Banque de France va imposer un échéancier très précis. Notre objectif serait d’assurer une transition progressive afin de parvenir à une authentification forte des paiements en ligne de plus de dix euros à la fin de l’année 2020 ».
Le pire a été évité
La Fédération du e-commerce et de la vente à distance se tient aujourd’hui prête à œuvrer dès que possible avec l’ensemble des parties prenantes sur un tel plan de migration dans le cadre d’un calendrier concerté de mise en conformité permettant de garantir l’exigence de continuité de service et la fluidité du parcours client. Le nouveau délai accordé par les autorités européennes représente donc une véritable bouffée d’air pour la profession. L’application brutale des nouveaux standards au 14 septembre 2019 aurait pu avoir, selon la fédération patronale, des « conséquences catastrophiques pour des centaines de milliers d’entreprises et les millions de consommateurs ». « Il ne se passe déjà pas une semaine sans qu’il y ait des problèmes liés à l’authentification forte du client, reconnaît Bertrand Pineau. Imposer des règles plus strictes à trois mois de Noël aurait été encore plus problématique ».
