Depuis 2019, payer en ligne ne se fait plus en un clic : la DSP2 vous demande de prouver votre identité en au moins 2 étapes avant de valider une transaction. Cette directive européenne a changé concrètement votre quotidien de consommateur, d’indépendant ou de commerçant, souvent sans que vous en connaissiez le nom. Dans cet article, nous allons vous expliquer :
- ce qu’est exactement la DSP2 et pourquoi elle existe
- comment fonctionne l’authentification forte (SCA) au quotidien
- quelles exemptions s’appliquent et dans quels cas
- ce que cela change pour les e-commerçants et les consommateurs
- comment l’Open Banking s’appuie sur ce cadre réglementaire
Que vous soyez salarié, entrepreneur ou simplement curieux de comprendre pourquoi votre banque vous demande de valider vos achats via son application, vous êtes au bon endroit.
Définition de la DSP2 (directive (UE) 2015/2366)
La DSP2, ou directive sur les services de paiement 2, est un texte législatif européen dont le nom officiel est la directive (UE) 2015/2366. Elle remplace et enrichit la DSP1, première version adoptée en 2007. Son ambition est claire : moderniser les règles qui encadrent les paiements en Europe, en tenant compte de l’essor du commerce en ligne et des nouvelles technologies financières.
Elle s’applique à l’ensemble des États membres de l’Union européenne et concerne aussi bien les banques traditionnelles que les prestataires de services de paiement (PSP), les fintechs et les plateformes e-commerce.
Pourquoi la DSP2 a été mise en place
La fraude bancaire en ligne est structurellement plus élevée qu’en magasin physique. Avant la DSP2, un simple code par SMS suffisait pour valider la plupart des transactions, une méthode jugée insuffisamment robuste face aux techniques d’interception et de phishing qui se sont multipliées.
Les législateurs européens ont donc eu besoin d’un cadre plus exigeant pour :
- protéger les consommateurs contre les achats frauduleux effectués à leur insu,
- réduire les impayés et contestations pour les commerçants,
- ouvrir le marché à de nouveaux acteurs innovants tout en encadrant leurs pratiques.
Le résultat est une directive qui équilibre sécurité renforcée et fluidité de l’expérience utilisateur, deux objectifs parfois contradictoires qu’il faut constamment arbitrer.
Les objectifs de la DSP2 pour les consommateurs, les commerçants et les banques
La directive s’adresse à trois grandes catégories d’acteurs, avec des bénéfices distincts :
| Acteur | Objectif principal | Bénéfice concret |
|---|---|---|
| Consommateur | Protection et droits renforcés | Moins de fraude, remboursement facilité |
| Commerçant | Moins de contestations | Réduction des chargebacks |
| Banque / PSP | Harmonisation européenne | Règles communes, moins d’incertitude juridique |
| Fintech / nouvel entrant | Accès encadré aux données | Possibilité légale d’innover via l’Open Banking |
Authentification forte (SCA) : le changement le plus visible pour le grand public
Le changement que vous avez probablement vécu sans en connaître le nom, c’est l’authentification forte, désignée par l’acronyme SCA (Strong Customer Authentication). Depuis sa généralisation en France à partir de mi-mai 2021, de très nombreux paiements en ligne nécessitent une validation supplémentaire de votre identité.
Concrètement, cela signifie que votre banque ne se contente plus d’un simple numéro de carte pour autoriser une transaction.
Comment fonctionne la SCA : les 3 facteurs et la règle des 2 sur 3
La SCA repose sur une règle simple : vous devez prouver votre identité avec au moins 2 éléments parmi 3 catégories :
- Ce que vous savez : un mot de passe, un code PIN, une réponse secrète.
- Ce que vous possédez : votre téléphone, votre ligne téléphonique, un lecteur physique dédié.
- Ce que vous êtes : votre empreinte digitale, votre visage, votre iris ou votre voix.
La combinaison la plus courante aujourd’hui associe votre téléphone (facteur de possession) et votre empreinte ou visage (facteur d’inhérence), ou un code que vous saisissez dans l’application de votre banque.
Paiement en ligne : à quoi ressemble un parcours DSP2 en pratique (3D Secure, appli bancaire, biométrie)
Voici ce que vous vivez concrètement lors d’un achat sur un site e-commerce :
- Vous saisissez vos coordonnées bancaires.
- Votre banque déclenche une notification push sur votre smartphone.
- Vous ouvrez l’application bancaire (ex. SécuriPass au Crédit Agricole, Certicode Plus à La Banque Postale, Clé Digitale à la Caisse d’Épargne).
- Vous validez avec votre empreinte digitale, votre visage ou un code à 4 ou 6 chiffres.
- Le paiement est confirmé.
Ce parcours s’appuie sur le protocole 3D Secure 2 (3DS2), version améliorée du 3D Secure historique, qui permet un échange d’informations beaucoup plus riche entre la boutique, le PSP et la banque, pour fluidifier le processus tout en maintenant la sécurité.
SMS, application, boîtier : quelles solutions si vous n’avez pas de smartphone
Tout le monde n’a pas de smartphone, et la réglementation en tient compte. Les banques ont l’obligation de proposer au moins une alternative gratuite à l’application mobile. Parmi les solutions disponibles :
- SMS à usage unique combiné à un mot de passe connu du client (selon les établissements),
- Boîtier lecteur de carte physique, notamment utile pour les personnes en situation de handicap ou peu à l’aise avec le numérique,
- Appel téléphonique dans certains cas spécifiques.
Si votre banque ne vous propose aucune alternative à l’application mobile, vous êtes en droit de le signaler et d’en demander une.
Dans quels cas la DSP2 s’applique (paiements, accès banque en ligne, opérations sensibles)
La DSP2 et son obligation d’authentification forte couvrent principalement :
- les paiements en ligne par carte (e-commerce),
- la connexion à votre espace bancaire en ligne (avec une fréquence variable selon les banques, ex. tous les 180 jours pour certains accès chez La Banque Postale),
- les opérations sensibles : modification de coordonnées, création d’un virement vers un nouveau bénéficiaire, consultation de données confidentielles.
En revanche, les paiements de proximité en magasin sont soumis à des règles légèrement différentes, même si la logique de sécurité reste similaire.
Les exemptions DSP2 : quand l’authentification forte n’est pas obligatoire
L’authentification forte est la règle par défaut, mais la directive prévoit plusieurs exemptions pour préserver la fluidité du parcours d’achat. Ces exemptions ne sont pas automatiques : elles doivent être activées et gérées par l’ensemble de la chaîne (PSP, banque, réseau carte).
Les principales exemptions sont :
- les petits montants (règle des 30 €),
- les paiements récurrents du même montant chez le même commerçant,
- les bénéficiaires de confiance désignés par le client,
- les paiements à faible risque (selon le taux de fraude du commerçant).
Exemption "petits montants" : règle des 30 €, plafond des 100 € et limite de 5 paiements
L’exemption la plus connue concerne les transactions inférieures à 30 €. Elle permet d’éviter l’authentification forte, sous deux conditions cumulatives :
- le total des paiements depuis la dernière authentification forte ne dépasse pas 100 €,
- et le nombre de paiements consécutifs sans authentification forte ne dépasse pas 5.
Dès que l’un de ces deux seuils est atteint, une authentification forte est de nouveau exigée. C’est un mécanisme de sécurité progressif qui ne pénalise pas les petits achats tout en maintenant une vigilance régulière.
Abonnements et paiements récurrents : quand la SCA est demandée (et quand elle ne l’est pas)
Pour un abonnement (Netflix, logiciel SaaS, box internet…), la SCA est demandée uniquement lors de la première transaction. Les renouvellements automatiques du même montant chez le même commerçant bénéficient d’une exemption.
Attention : si le montant change (revalorisation tarifaire par exemple), une nouvelle authentification forte peut être déclenchée. Même logique pour la mise à jour des coordonnées bancaires.
Bénéficiaire de confiance et paiements à faible risque : comment ça marche
Vous pouvez désigner un commerçant comme bénéficiaire de confiance directement dans votre application bancaire. Une fois cette désignation faite, vos achats sur ce site sont exemptés d’authentification forte (sous réserve d’acceptation par votre banque).
La seconde exemption repose sur une analyse de risque en temps réel (Transaction Risk Analysis ou TRA). Si le taux de fraude d’un commerçant est inférieur à un seuil défini (par exemple 0,01 % pour les transactions jusqu’à 500 €), son PSP peut demander une exemption pour cette transaction.
DSP2 : vos droits et protections en cas de fraude ou de contestation
La DSP2 renforce significativement vos droits en cas de transaction non autorisée :
- La franchise maximale à votre charge avant opposition passe de 150 € à 50 € (sauf négligence grave de votre part).
- Vous bénéficiez de remboursements plus rapides en cas de contestation légitime.
- Un droit au remboursement est prévu pour certains prélèvements en euros dont le montant exact n’était pas connu à l’avance.
Ces protections s’appliquent que vous ayez utilisé une carte de débit ou de crédit.
Interdiction de sur-facturer les paiements par carte : ce que dit la DSP2
La DSP2 interdit explicitement aux commerçants d’ajouter des frais supplémentaires au seul motif que vous payez par carte bancaire. Cette règle s’applique aussi bien en boutique physique qu’en ligne, pour les cartes de débit et de crédit standard.
Certains frais restent légaux (frais de traitement pour cartes commerciales ou cartes émises hors de l’UE), mais ils doivent rester transparents et proportionnés.
DSP2 et Open Banking : accès aux comptes et nouveaux services autorisés
L’un des apports les plus structurants de la DSP2 pour l’avenir des services financiers est l’encadrement de l’Open Banking. La directive oblige les banques à ouvrir leurs données (avec le consentement du client) à des prestataires tiers agréés, via des API sécurisées.
Ce cadre a ouvert la voie à une nouvelle génération de services financiers plus innovants et personnalisés.
Agrégateurs de comptes (AISP) et initiateurs de paiement (PISP) : rôles et exemples
Deux nouveaux types d’acteurs émergent dans cet écosystème :
- Les AISP (Account Information Service Providers) ou agrégateurs de comptes : ils vous permettent de consulter plusieurs comptes de banques différentes dans une seule interface, avec une vue sur vos dépenses par catégorie (courses, transport, loisirs…). Des services comme Bankin’ ou certaines fonctions de Lydia illustrent ce type de service.
- Les PISP (Payment Initiation Service Providers) ou initiateurs de paiement : ils déclenchent un virement depuis votre compte bancaire directement, sans passer par une carte. Cela peut réduire les coûts de transaction pour les commerçants.
API et échanges sécurisés : comment la DSP2 encadre la connexion entre banques et tiers
Pour que ces échanges soient sécurisés, la DSP2 impose l’usage d’API standardisées entre banques et prestataires tiers. Ces connexions s’appuient sur des mécanismes de confiance numérique : certificats dédiés DSP2, certificats SSL/TLS, parfois complétés par des solutions de signature électronique ou de vérification d’identité (KYC).
Ces briques techniques garantissent que seuls les acteurs agréés et identifiés accèdent aux données bancaires, dans le respect strict du consentement du client.
Impact e-commerce : sécurité, friction et conversion (et comment limiter les abandons)
Pour les e-commerçants, la DSP2 est une double contrainte. D’un côté, elle réduit la fraude et les contestations. De l’autre, elle ajoute des étapes dans le parcours d’achat, ce qui peut augmenter les abandons. Une étude régulièrement citée dans le secteur indique que 58 % des clients ont déjà abandonné un panier au moment du paiement.
L’enjeu est donc de déployer l’authentification forte sans dégrader le taux de conversion. Cela passe par une intégration soignée du 3DS2, une gestion intelligente des exemptions et un suivi rigoureux des indicateurs.
Conseils concrets pour les e-commerçants : intégration, exemptions et pilotage des indicateurs
Voici les actions prioritaires à mettre en place si vous gérez une boutique en ligne :
- Choisissez un PSP qui gère nativement le 3DS2 et qui peut activer les exemptions pour votre compte.
- Activez les exemptions pertinentes : faibles montants, paiements récurrents, TRA si votre taux de fraude est suffisamment bas.
- Suivez vos indicateurs clés : taux d’abandon au paiement, taux d’échec de transaction, taux de conversion, tentatives de fraude.
- Testez votre parcours régulièrement sur mobile et desktop pour détecter les frictions inutiles.
- Communiquez avec vos clients pour leur expliquer la validation en deux étapes et éviter la confusion.
DSP2 : dates clés, application depuis 2019 et évolutions récentes à connaître
- 2015 : adoption de la directive (UE) 2015/2366 par le Parlement européen.
- 2018 : transposition dans les droits nationaux des États membres.
- Septembre 2019 : entrée en vigueur officielle de la DSP2.
- Mi-mai 2021 : généralisation de l’authentification forte pour les paiements en ligne en France, après une période de tolérance.
- En cours : discussions autour de la DSP3, future mise à jour de la directive, qui devrait renforcer encore la lutte contre la fraude et adapter le cadre aux nouveaux usages (crypto, wallets numériques, identité digitale).
La DSP2 est aujourd’hui la norme en Europe pour sécuriser les paiements en ligne. Bien comprise et bien intégrée, elle protège tout le monde : les consommateurs face à la fraude, les commerçants face aux impayés, et l’ensemble de l’écosystème face à l’insécurité numérique grandissante.