Les commerçants vont enfin voir le bout du tunnel. Après plusieurs reports, le calendrier de l’authentification forte est acté, comme l’indique une note de l’Observatoire des moyens de paiement. A partir du 15 mai prochain, toutes les transactions en ligne de plus de 30 euros seront vérifiées à l’aide d’au moins deux éléments d’authentification sur les trois suivants : un mot de passe que seul l’utilisateur connait, un appareil (téléphone, carte à puce…) que seul l’utilisateur possède, une caractéristique personnelle de l’utilisateur (empreinte digitale, reconnaissance faciale…). Certains marchands pourront bénéficier d’exemptions, s’ils font majoritairement des paiements récurrents par exemple.
A l’origine, cette réglementation devait entrer en vigueur… le 14 septembre 2019. Face à la complexité de mise en place des nouveaux protocoles et parcours utilisateurs, que ce soit côté prestataire de paiement, banques émettrices ou marchands, les autorités européennes avaient accordé un report pour le 31 décembre 2020. Entre temps, le Covid-19 a fait son apparition provoquant un nouveau report prévu au premier semestre 2021.
La France, comme d’autres pays européens, a fait le choix de mettre en place un soft decline, c’est-à-dire d’abaisser progressivement les montants des transactions qui nécessitent une authentification forte. Depuis le 1er octobre 2020, les transactions non authentifiées de plus de 2 000 euros sont rejetées. Le seuil est ensuite passé à 1 000 euros en janvier dernier… pour arriver progressivement à zéro. Voici le calendrier à jour :
Date | Montant |
---|---|
1 er octobre 2020 | 2 000 euros |
5 janvier 2021 | 1 000 euros |
15 février 2021 | 500 euros |
15 mars 2021 | 250 euros |
15 avril 2021 | 100 euros |
15 mai 2021 | 30 euros |
Plusieurs facteurs ont été pris en compte pour fixer ce calendrier, dont le rythme du passage aux nouvelles infrastructures 3D-Secure (une obligation de la réglementation). En décembre 2020, 68% des transactions (les plus importantes) en valeur sont passées en 3DS, selon nos informations, alors que l’objectif de l’Observatoire des moyens de paiements se situait entre 70 et 90% à cette date.
Dans la note, il est également indiqué que la Banque de France établira « des lignes directrices sur les conditions de mise en œuvre de l’authentification forte pour quelques cas d’usage emblématiques(paiement one-click avec carte préenregistrée sur le site marchand, paiement effectué avec un portefeuille électronique sur lequel la carte de paiement est enregistré, abonnements en ligne, réservation de service de type VTC etc.). » Avant le 15 mai ?