Paiements en ligne : des règles de sécurité européennes moins strictes que prévu

L’Autorité bancaire européenne a amendé son projet de mise en œuvre de la DSP2, en desserrant un peu les futures règles de sécurisation des paiements en ligne. C’était une demande, notamment, des e-commerçants français, qui craignaient que ces nouvelles règles fassent fuir les clients.

Harmoniser et sécuriser les moyens de paiements à distance : c’est l’un des enjeux de la révision de la directive européenne sur les services de paiements (DSP2), votée en octobre 2015. En novembre dernier, la Fevad, fédération des e-commerçants français, s’était pourtant inquiétée des projets de l’Autorité bancaire européenne (EBA), chargée par la Commission européenne de mettre en œuvre la DSP2.

L’institution, selon eux, avait placé le curseur trop fortement du côté de la sécurité, en systématisant l’usage de l’authentification renforcée du client, à l’aide par exemple d’un code à usage unique - un procédure bien connue sous le nom de 3D Secure. « Le projet de [l’EBA] menace ainsi le fragile, mais nécessaire équilibre entre sécurité et fluidité du parcours client qui est au cœur du développement du secteur de l’économie digitale, dont le e-commerce », expliquait à l’époque la Fevad, dans un communiqué.

Lire aussi : Paiements en ligne : une directive européenne inquiète les e-commerçants

Les paiements de moins de 30 euros exemptés

Les e-commerçants français n’ont pas été les seuls à exprimer leur inquiétude. 224 organismes ont contacté l’EBA, qui avait mis son projet en consultation. Et ils semblent avoir été entendus. Dans la nouvelle mouture de son projet de rapport, que Les Echos a pu consulter, l’institution revient sur certaines mesures envisagées.

Première concession : les transactions de moins de 30 euros ne seront pas concernées par l’authentification renforcée. Dans la première version du projet, cette limite avait été placée plus bas, à 10 euros. Deuxième concession, de taille : l’EBA a retenu l’approche « par les risques » proposée et déjà mise en œuvre aujourd’hui par les e-commerçants. En dessous d’un certain montant, à fixer entre 100 et 500 euros, seules les transactions jugées risquées par les systèmes d’analyse des banques donneraient lieu à une authentification renforcée. Un forme d’auto-régulation qui pourrait toutefois déplaire à la Commission européenne et aux Etats membres, amenés à se prononcer prochainement sur le projet.