Ces dix dernières années, la mondialisation et la transformation numérique ont révolutionné la façon dont les entreprises du monde entier interagissent avec les consommateurs en leur permettant de faire des achats en toute transparence au-delà des frontières, un phénomène sensiblement accéléré par la crise pandémique.
Aujourd’hui, les enseignes suivent de près l’évolution du commerce électronique, tant du côté du paiement que du consommateur, et mettent tout en œuvre pour optimiser le processus de finalisation des achats — le checkout — dans le but de répondre aux besoins et aux attentes des acheteurs. Dans cette optique, elles personnalisent chaque phase de l’expérience d’achat, de l’accueil à la conversion, tout en assumant davantage de responsabilités.
Toutefois, les commerçants ne maîtrisent pas encore totalement le type d’authentification qui convient aux différents profils de clients.
En raison de son impact sur les conversions et la génération de revenus, la deuxième directive sur les services de paiement (DSP2) mise en œuvre courant 2018 a obligé les commerçants à revoir la manière dont ils contrôlent l’authentification, et accéléré la nécessité de se préparer à l’authentification déléguée.
Place à un processus de paiement simplifié
Au sein de l’Union européenne et de l’Espace économique européen, les commerçants doivent se conformer à la directive DSP2 et appliquer un nouveau mode d’authentification forte du client (AFC). Ils doivent par exemple exiger des acheteurs qu’ils se soumettent à une authentification multifactorielle (MFA), le plus souvent exécutée au moyen du protocole de paiement sécurisé 3-D Secure.
Or, ce protocole soulève un double problème : côté consommateur, il ajoute des « frictions » au processus de paiement, ce qui augmente le taux d’abandon des transactions et influence de façon négative l’expérience des clients. S’agissant de l’écosystème de paiement, le protocole 3-D Secure ajoute une étape de vérification, ce qui alourdit le processus d’autorisation et augmente le risque de voir une transaction légitime rejetée.
Les conséquences sont claires : des répercussions négatives directes sur la génération de recettes, la rentabilité et le niveau de satisfaction des consommateurs.
Pour réduire l’impact de la directive DSP2 — et notamment du protocole 3-D Secure — sur leurs activités, de nombreuses enseignes ont optimisé leur panoplie de solutions de paiement en intégrant des produits d’optimisation des paiements dans le but d’augmenter les taux d’autorisation et d’améliorer l’expérience de paiement des consommateurs. Ces outils permettent aux commerçants de réduire l’impact de l’authentification forte AFC sur les acheteurs en créant une expérience de paiement fluide pleinement conforme à la directive DSP2, le plus souvent par le biais d’exemptions.
Un commerçant peut utiliser un moteur d’exemption pour contourner les exigences d’authentification forte et offrir à ses clients l’expérience de paiement fluide (« sans friction ») à laquelle ils se sont habitués.
Le type de dérogation le plus courant, à savoir l’analyse TRA (Transaction Risk Analysis), calcule le risque d’une transaction en tenant compte des habitudes comportementales du consommateur, du montant de la transaction et du taux de fraude du commerçant.
Il convient cependant de noter que toutes les transactions ne sont pas éligibles à une exemption.
Lorsqu’une transaction n’est pas éligible à une dérogation, l’acheteur doit tout de même se soumettre à une vérification complète par authentification forte (AFC), ce qui augmente les frictions rencontrées, influence de façon négative l’expérience d’achat et augmente le taux de refus. La raison est simple : l’écosystème de paiement examine chaque transaction individuellement, alors que le commerçant peut tenir compte de certains facteurs comportementaux — s’agit-il par exemple d’un client régulier ? —, ce qui renforce la confiance qu’il accorde à la légitimité de la transaction, ainsi que sa volonté de rendre le processus de paiement aussi simple que possible pour le client.
Les avantages de l’authentification déléguée pour les commerçants
Les émetteurs ont bien compris que les commerçants veulent offrir à leurs clients une expérience de paiement fluide, même si la transaction n’est pas admissible à une exemption. C’est pourquoi de nombreux réseaux de cartes de paiement tels que Visa ou MasterCard ont créé des programmes d’« authentification déléguée ».
Conformes à la directive DSP2, les programmes d’authentification déléguée permettent aux émetteurs de « déléguer l’autorité » à un tiers — par exemple le commerçant ou une personne agissant en son nom —, en lui laissant le soin de gérer l’authentification forte AFC. Les commerçants peuvent ainsi continuer d’offrir une expérience de paiement fluide à des acheteurs qui ne sont plus redirigés vers le réseau de l’émetteur pour relever un « challenge 3DS », tout en assurant la conformité des transactions aux exigences règlementaires en vigueur.
La directive DSP2 stipule que toutes les transactions doivent être soumises à une authentification forte, une responsabilité qui incombe à l’émetteur. Si l’authentification déléguée est activée, le commerçant — ou le tiers agissant en son nom —, sera en mesure de déterminer le type d’authentification à utiliser en fonction des données qu’il possède à propos du client, de ses habitudes comportementales, etc. Par exemple, le commerçant peut décider d’authentifier les transactions des consommateurs connectés à leur compte et déjà authentifiés selon l’une des méthodes disponibles. Cette approche crée un processus de paiement fluide et qui ne repose pas sur le protocole 3-D Secure, avec à la clé une hausse du taux de conversion et une expérience client optimisée, tout en maintenant la conformité à la directive DSP2.
Il est important de noter que lorsque les commerçants assument la responsabilité de l’authentification des transactions, la rétrofacturation (chargeback) leur incombe également. Il est par conséquent essentiel que les commerçants demandent exclusivement une authentification déléguée pour les transactions dont ils sont absolument sûrs — dans tout autre cas, ils risquent d’assumer des rétrofacturations très élevées.
C’est pourquoi les commerçants qui souhaitent bénéficier de l’authentification déléguée doivent :
- Vérifier que leur écosystème de paiement est conforme à la version la plus récente du protocole 3-D Secure, à savoir 3DS2.2 ;
- Mettre en place une solution solide de protection contre la fraude.
Se protéger des fraudes : une stratégie efficace
Qu’ils assument la responsabilité de l’authentification des transactions ou qu’ils la délèguent à un tiers de leur choix, les commerçants — ou le tiers agissant en leur nom — doivent savoir qu’ils seront tenus de prendre en charge l’intégralité des rétrofacturations, ce qui les expose à des risques accrus.
Pour minimiser cette possibilité, les commerçants doivent veiller à mettre en place une solution robuste de protection contre la fraude, notamment dans le cas de transactions dont la valeur ou le niveau de risque ne sont pas négligeables. Si un commerçant veut traiter des transactions de grande valeur, le mode d’authentification choisi doit correspondre au niveau de risque de la transaction ; autrement dit, il aura besoin d’une solution de prévention de la fraude encore plus puissante.
Une solution robuste permet aux commerçants d’assumer la responsabilité de l’authentification des transactions qui ne présentent pas un risque financier particulier.
Ce mode de protection contre la fraude est également crucial pour les demandes d’exemption et, à ce titre, il doit faire partie de la panoplie d’optimisation des paiements de tout commerçant.
Les solutions de prévention de la fraude permettront aux commerçants d’analyser chaque transaction en temps réel avant de déterminer ce qui convient à chaque client et de l’orienter automatiquement vers la solution de paiement la mieux adaptée à son profil, réduisant ainsi les risques et les responsabilités.
De nombreuses solutions de prévention des fraudes seront même conçues pour assumer les responsabilités, ce qui en fait une approche réellement gagnante pour les commerçants qui souhaitent appliquer des exemptions, réduire le niveau de risques et utiliser l’authentification déléguée.
Aux commerçants de prendre la main sur l’authentification
Pendant longtemps, les commerçants se sont essentiellement concentrés sur l’accueil des clients en investissant massivement dans le reciblage publicitaire (retargeting), les campagnes personnalisées, le marketing par courriel, l’interface et l’expérience utilisateur (UI/UX), etc.
Au fil des années, ils ont acquis une place de plus en plus importante au sein du processus de paiement et de finalisation des achats, sachant que la génération de recettes et la rentabilité pouvaient pâtir de l’absence de processus de paiement optimisé.
La possibilité de déléguer l’authentification aux commerçants s’inscrit dans le cadre de cette tendance qui contribue à accroître la place qu’ils occupent au cœur de l’expérience de paiement, et leur permet de reprendre la maîtrise de l’expérience client d’un bout à l’autre du parcours d’achat. L’indépendance que l’authentification déléguée apporte aux commerçants est conforme aux exigences de la directive DSP2 et au rôle des émetteurs. En résumé, c’est une excellente stratégie pour les commerçants qui élèvent au rang de priorité les besoins de leurs clients et leurs propres attentes en matière de paiement.