PSD2 & WooCommerce: Ce que vous devez savoir pour votre boutique en ligne

Michael Firnkes Dernière mise à jour : 20.10.2020
6 Min.
WooCommerce PSD2
Dernière mise à jour : 20.10.2020

Vous gérez des boutiques en ligne avec WordPress ? Ou les mettez-vous en place pour vos clients ? Alors vous devriez connaître la "deuxième directive européenne sur les services de paiement", mieux connue sous le nom de PSD2. Elle prescrit de nouvelles procédures pour l'authentification des clients dans le processus de paiement. Nous énumérons les recommandations d'action les plus importantes et Plugins pour WooCommerce.

tl;dr - ne pas paniquer.

En règle générale, le PSD2 entre en jeu pour vous en tant que propriétaire de magasin lorsque vos clients paient par carte de crédit. Et même dans ce cas, votre fournisseur de services est responsable. Il suffit de s'assurer qu'ils sont déjà conformes à la directive PSD2. Pour être sûr, vérifiez également toutes les autres options de paiement que vous proposez. Plus d'informations à ce sujet dans un instant.

Il en va de même pour les agences et les indépendants. Vous devez vérifier ici le paiementPlugins ou les fournisseurs associés qui sont utilisés par vos clients : Ont-ils converti leurs processus au PSD2 ? Si ce n'est pas le cas, gardez un œil sur d'autres extensions. Vous trouverez des informations complètes sur WooCommerce dans notre e-book de plus de 70 pages WooCommerce pour les professionnels.

Note

Cet article de blog n'est pas un avis juridique. En tant qu'hébergeur deWordPress , nous nous sommes occupés nous-mêmes du PSD2. Cependant, nous ne sommes pas des avocats. Laissez-vous donc conseiller par un cabinet d'avocats approprié pour le droit en ligne.

Qu'est-ce que le PSD2 ou SCA ? Et qui est concerné ?

De nouvelles règles européennes pour les opérations de paiement devraient s'appliquer à partir du 14 septembre 2019 : la deuxième directive européenne sur les services de paiement, ou PSD2 en abrégé. Cela inclut l'obligation d'une authentification sécurisée des clients pour les offres de banque en ligne. En anglais : Strong Customer Authentication (SCA).

L'introduction des nouvelles règles de paiement sur Internet a maintenant été reportée. "Temporairement", comme on dit. Parce que les autorités craignent que les entreprises ne soient pas encore suffisamment préparées à la directive. Et pourtant, vous devriez déjà mettre en œuvre ou faire mettre en œuvre la directive. Plus d'informations à ce sujet plus tard.

Il s'agit essentiellement de rendre les achats sur l'internet plus sûrs. L'authentification forte des clients - ou authentification à deux facteurs (2FA) - est alors exigée par la loi. De nombreuses banques ont déjà modifié leurs procédures, et votre banque vous a certainement déjà contacté.

Dans les boutiques en ligne, cela concerne principalement les paiements par carte de crédit. Sauf s'ils utilisent déjà une procédure sécurisée telle que 3-D Secure ou 3D-S. Mais attention : en raison de la PSD2, une procédure étendue est nécessaire ici aussi, appelée 3D Secure 2.0, ou 3DS2 en abrégé.

Jusqu'à présent, les clients n'avaient souvent besoin que de leur numéro de carte de crédit et du chiffre de contrôle correspondant pour effectuer un achat. À l'avenir, un numéro de transaction (TAN), qui est envoyé au téléphone portable ou au smartphone, et un mot de passe seront également nécessaires. Vous connaissez certainement cette procédure grâce à votre banque en ligne. Les listes papier avec des numéros de transaction, en abrégé iTAN, ne seront plus autorisées à l'avenir.

Note

Les achats sur compte et par prélèvement automatique ne sont pas concernés par la DSP2. Voir les explications de l'IT-Recht Kanzlei.

Que devez-vous savoir en tant que propriétaire d'un magasin ou professionnel du WP ?

À l'avenir, vous devrez vous assurer qu'une procédure sécurisée est utilisée lors de paiements par carte de crédit ou par d'autres services (PayPal, Stripe, Amazon Pay, Apple Pay, etc.). Toutefois, vous ne devez généralement pas mettre en œuvre cette mesure vous-même ; c'est le travail des prestataires de services respectifs. A moins que vous n'utilisiez une solution très exotique ou faite par vous-même. Vous devez faire vérifier cela par un cabinet d'avocats spécialisé dans le droit en ligne en ce qui concerne la PSD2.

Tous les principaux fournisseurs travaillent fébrilement à la mise en œuvre de la nouvelle politique. Vérifiez auprès des services que vous utilisez : Qu'en est-il ici ? L'authentification est-elle déjà conforme à la directive PSD2 ? Les nouvelles règles européennes entrent enfin en vigueur et votre fournisseur de services n'est pas encore prêt ? Dans ce cas, vous devriez envisager de ne pas offrir cette option de paiement tant que des améliorations n'auront pas été apportées.

Il y a également des changements dans la "Sofortüberweisung". Selon le fournisseur Klarna, la procédure recevra une étape d'authentification supplémentaire, qui sera prise en charge par la banque respective. Vous devez observer quel service de paiement peut être utilisé à l'avenir et dans quelle mesure, et si cela a un impact sur votre conversion dans le magasin.

Important

Vos fournisseurs transmettent-ils des données différentes qu'auparavant en raison de la DSP2 ? Ou vous intégrez de nouveaux services de paiement ? Vous devrez peut-être alors adapter vos textes juridiques dans WooCommerce.

Que dit WooCommerce ?

Les fabricants de WooCommerce consacrer un billet de blog séparé au sujet. Selon eux, la plupart des prestataires de services de paiement s'appuient sur 3D Secure 2 pour répondre aux exigences.

En général, les services appropriés devront à l'avenir prendre en compte au moins deux des trois étapes suivantes afin de garantir une "authentification forte des clients" :

  • Demandez des informations que seul le client connaît. Par exemple, son mot de passe ou la réponse à une question de sécurité.
  • Envoyer l'authentification à un "processus contrôlé par le client". Il peut s'agir d'un jeton matériel ou d'une notification push sur votre smartphone, selon WooCommerce .
  • Utilisation d'un identifiant physique unique pour le client. Par exemple, une empreinte digitale ou une identification faciale.

Vous souhaitez en savoir plus ? Le caractère concret des exigences, c'est-à-dire la question de savoir si la réponse à une question de sécurité est suffisante, est déterminé par les traités de l'UE. Voir la version actuelle des "Normes réglementaires pour l'authentification forte des clients".

En fonction de l'état de l'art - et des méthodes les plus susceptibles d'être exploitées par les pirates informatiques - il y aura probablement quelques ajustements à moyen et long terme. La lutte pour plus de sécurité ressemble toujours à un jeu du chat et de la souris.

Quelles sont les possibilités d'intégration ?

WooCommerce nomme certains fournisseurs ou leurs WordPress -Plugins, qui devraient déjà être "PSD2 ready". Nous avons relié les extensions ici pour vous :

Vous utilisez d'autres méthodes et réseaux de paiement que ceux mentionnés ici ? Demandez aux développeurs respectifs si et quand le PSD2 sera mis en œuvre. Si ce n'est pas le cas, vous devez alors chercher un autre site Plugin ou un autre service.

Nous sommes heureux de vos réactions

Vous avez déjà demandé à votre fournisseur d'accès ? Ou avez-vous un conseil à nous donner sur Plugin? N'hésitez pas à partager vos expériences dans les commentaires.

Les règles de la PSD2 s'appliquent également aux paiements dans le cadre du modèle d'abonnement. Par exemple, si vous travaillez avec Plugin WooCommerce Abonnements pour permettre des paiements récurrents.

La DSP2 ou le SCA s'appliquent-ils également aux commerçants en dehors de l'UE ?

Cela ne dépend pas nécessairement de l'endroit où les concessionnaires sont basés. Ici, WooCommerce s'exprime très clairement :

Le SCA s'applique également si la banque acquéreuse ou le processeur est situé dans l'Espace économique européen (EEE) et que l'instrument de paiement du client a été émis dans l'EEE.

L'Espace économique européen comprend tous les États membres de l'Union européenne plus l'Islande, le Liechtenstein et la Norvège. Un commerçant à l'étranger doit donc travailler intégralement avec les fournisseurs de services, les banques et les clients nationaux afin de ne pas être affecté par la DSP2 ou l'authentification forte des clients. C'est l'une des raisons pour lesquelles les prestataires de services de paiement internationaux sont si pressés de répondre aux objectifs. L'appel européen à plus de sécurité sur Internet a des implications mondiales.

Les TAN par SMS resteront-ils autorisés ?

Parallèlement à la PSD2, une discussion parallèle s'est développée dans les milieux spécialisés sur le degré de sécurité du TAN par SMS (également appelé mTAN). Voir l'article Banque en ligne et PSD2 sur heise.de. Récemment, on a signalé un nombre croissant de tentatives d'attaques au cours desquelles le téléphone portable ou le smartphone de la victime est pris en charge. Par exemple, par le biais de courriels de phishing ou d'applications manipulées.

L'Office fédéral de la sécurité de l'information (BSI) écrit à ce sujet:

Bien que la procédure mTan soit pratique et conviviale, elle comporte malheureusement aussi certains risques. Dans certaines circonstances, les criminels peuvent intercepter ou rediriger les SMS envoyés pour l'authentification ... Le BSI recommande donc de ne pas utiliser les procédures mTAN.

Dans le cadre du PSD2, le mTAN doit rester autorisé jusqu'à présent. Cependant, les banques cherchent déjà des alternatives. Heise mentionne pushTAN, chipTAN, photoTAN, appTAN et signaturTAN.

Quels sont les objectifs du PSD2 ?

La directive ne vise pas seulement à rendre les transactions de paiement (en ligne) plus sûres. Les initiateurs espèrent également que la concurrence sur le marché deviendra plus forte. La Bundesbank français l'indique comme suit dans ses informations sur le PSD2:

Par exemple, les consommateurs ne doivent pas se connecter au système bancaire en ligne de leur établissement de crédit lorsqu'ils effectuent un achat sur Internet, mais peuvent initier le transfert via un service d'initiation de paiement proposé sur le site du commerçant.

Plus loin :

La DSP2 réglemente l'accès de ces "tiers prestataires de services de paiement" aux comptes de paiement des prestataires de services de paiement titulaires de comptes. Toutefois, l'accès n'est accordé à ces fournisseurs que si vous, en tant que titulaire du compte, y consentez explicitement.

À l'avenir, il y aura beaucoup plus d'acteurs sur le marché des paiements en ligne. Les banques et les établissements de crédit perdent du pouvoir. L'intégration des "prestataires de services de paiement tiers" - qui sont toutefois sous la supervision et le contrôle des autorités de surveillance nationales - permet le développement de services et d'idées commerciales entièrement nouveaux. En Allemagne, cette autorité de surveillance est l'Autorité fédérale de surveillance financière (BaFin).

Exceptions au DSP2

Divers médias et banques font état de cas exceptionnels où les prestataires de services de paiement peuvent se passer d'une authentification forte des clients. Par exemple, une limite de 30 euros est mentionnée pour les "opérations de paiement électronique à distance". En dessous de ce seuil, une authentification bidirectionnelle ne serait pas nécessairement requise. Vous trouverez de plus amples informations sur le blog PSD2 et SCA du cabinet d'avocats Wilde Beuger Solmecke.

La BaFin elle-même mentionne un seuil de 50 euros, mais pour les paiements par carte sans contact. Pour les paiements par carte sur Internet, elle s'exprime plus vaguement. Les prestataires de services de paiement pourraient y effectuer une analyse des risques liés aux transactions. Selon l'Agence fédérale :

Chaque paiement entrant est automatiquement vérifié pour déterminer si le risque de fraude est faible ... Si les informations de paiement dont dispose le prestataire de services de paiement donnent l'impression d'un risque accru de fraude, le prestataire de services de paiement doit procéder à une authentification forte du client.

Les indices d'un risque accru de fraude devraient être, par exemple, un écart par rapport aux modèles de comportement habituels du client. Ou une similarité avec des modèles de fraude connus. Des assouplissements correspondants sont également envisagés dans le domaine du B2B. Et il doit y avoir une liste blanche dans laquelle une banque peut classer ses entreprises clientes comme des bénéficiaires de paiement fiables.

Toutefois, en tant qu'exploitant d'un magasin, vous ne devez généralement pas vous occuper vous-même de ces limites, à condition qu'un prestataire de services soit interposé.

Autres sources

Vous voulez en savoir plus sur le PSD2 ou SCA ? Voici des articles appropriés pour les utilisateurs et les développeurs :

Vous trouverez d'autres conseils sur WooCommerce dans notre e-book de plus de 70 pages WooCommerce pour les professionnels : boutiques en ligne avec WordPress . Il s'adresse aux freelances, aux agences, aux professionnels du WP, mais aussi aux débutants.

Vous avez des questions sur le PSD2 et WooCommerce? N'hésitez pas à utiliser la fonction de commentaire. Vous voulez plus de conseils sur WordPress & WooCommerce? Alors suivez-nous sur Twitter, Facebook ou via notre newsletter.

Contribution à la photo : William Iven

Michael est responsable de contenu et de la santé mentale chez RAIDBOXES. Il est actif dans la communauté des blogueur·euse·s et de WordPress depuis 2007, entre autres en tant que co-organisateur des événements WordPress, auteur de livres et formateur de blogs d'entreprise. Il aime énormément les blogs, tant sur le plan professionnel que personnel. Michael travaille et écrit à distance depuis la ville ensoleillée de Fribourg.

Articles connexes

Commentaires sur cet article

Laisse un commentaire

Ton adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.