3DS2 : Tout Comprendre sur l'Authentification Forte (DSP2)

Q: Le 3DS2 est-il obligatoire en France ?

Oui. La directive DSP2 rend l'authentification forte (SCA) obligatoire pour tous les paiements électroniques initiés par l'acheteur en Europe depuis le 15 mai 2021 en France. Des exemptions existent (faible montant, faible risque, transactions récurrentes) mais c'est la banque émettrice ou le PSP qui décide de les appliquer.

Q: Le 3DS2 réduit-il le taux de conversion ?

Mal configuré, oui. Une friction inutile (demande d'authentification sur des transactions à faible risque) peut réduire le taux de conversion de 5 à 15%. Bien configuré avec les bonnes exemptions et un bon PSP, l'impact est minimal — les banques approuvent de plus en plus de transactions en mode frictionless.

Qu'est-ce que le 3DS2 ?

Le 3-D Secure version 2 est un protocole d'authentification développé par EMVCo (le consortium Visa/Mastercard/Amex/CB) pour sécuriser les paiements par carte en ligne. Il remplace le 3DS version 1 (la pop-up de digicode que vous connaissiez) avec une approche bien plus sophistiquée.

Son principe : avant d'autoriser un paiement, la banque de l'acheteur (émetteur) évalue le risque de la transaction en analysant plus de 100 paramètres contextuels (device, adresse IP, historique de comportement, montant, marchand…). Si le risque est jugé faible, la transaction passe en mode frictionless (aucune action requise de l'acheteur). Si le risque est élevé, une authentification active est déclenchée (notification push bancaire, biométrie, OTP SMS).

La DSP2 et l'obligation SCA en Europe

La directive européenne DSP2 (Directive sur les Services de Paiement 2) impose l'authentification forte (Strong Customer Authentication — SCA) pour tous les paiements électroniques initiés par l'acheteur en Europe depuis mai 2021. Cette authentification doit combiner au moins deux des trois facteurs suivants :

Ce que l'acheteur connaît : mot de passe, code PIN
Ce que l'acheteur possède : smartphone, token physique
Ce que l'acheteur est : empreinte digitale, reconnaissance faciale

En pratique, la combinaison la plus courante est la notification push bancaire (possession) + biométrie (identité) sur smartphone.

Les exemptions SCA : réduire la friction sans risque

La DSP2 prévoit plusieurs exemptions qui permettent de passer en frictionless et d'éviter la friction pour les transactions à faible risque :

Exemption	Condition	Qui décide
Faible valeur	Transaction ≤ 30€ (max 5 fois consécutives ou 100€ cumulés)	Émetteur
Faible risque (TRA)	Taux de fraude du PSP/acquéreur sous les seuils EBA	Acquéreur / PSP
Marchand de confiance	L'acheteur a whitelisté le marchand auprès de sa banque	Émetteur
Paiement récurrent fixe	Montant et fréquence identiques (ex: abonnement mensuel fixe)	Acquéreur
MOTO	Transaction par téléphone ou courrier (Mail Order / Telephone Order)	Acquéreur

Important : demander une exemption ne garantit pas qu'elle sera accordée. C'est toujours la banque émettrice qui a le dernier mot. Si elle refuse l'exemption, la transaction sera soumise à authentification forte ou déclinée.

Impact sur le taux de conversion et comment le minimiser

L'impact du 3DS2 sur la conversion dépend directement de la qualité de l'implémentation et du PSP utilisé :

3DS1 (ancien protocole) : pop-up intrusif, taux d'abandon 15 à 25% sur les transactions challengées.
3DS2 frictionless : aucune action requise, impact conversion nul.
3DS2 avec authentification active : avec les apps bancaires modernes (notification push + biométrie), le taux d'abandon est tombé à 3–8%.

Pour minimiser l'impact :

Choisissez un PSP avec un bon taux d'exemption (Stripe Radar, Adyen RevenueProtect analysent chaque transaction pour demander la meilleure exemption).
Enrichissez le contexte de chaque transaction : adresse de livraison, email, numéro de téléphone, historique d'achat. Plus vous fournissez de données, plus le scoring de risque est précis.
Activez la Network Tokenisation (Apple Pay, Google Pay, tokens Visa/Mastercard) : ces paiements bénéficient de taux de frictionless bien plus élevés.
Pour les abonnements : utilisez les exemptions récurrentes et la tokenisation client pour éviter la friction après le premier paiement.

Le transfert de responsabilité

L'un des avantages majeurs du 3DS2 pour le commerçant : le liability shift (transfert de responsabilité). Quand une transaction est authentifiée via 3DS2, la responsabilité en cas de fraude est transférée à la banque de l'acheteur. Autrement dit, si un fraudeur utilise une carte volée et que la banque a validé la transaction, c'est la banque qui supporte le chargeback — pas vous.

Ce transfert de responsabilité est un argument fort pour activer systématiquement le 3DS2 sur toutes les transactions, même celles où vous pourriez demander une exemption.

Questions fréquentes

Le 3DS2 est-il obligatoire en France ?

Oui. La DSP2 rend la SCA obligatoire pour tous les paiements initiés par l'acheteur en Europe depuis mai 2021. Des exemptions existent mais c'est la banque émettrice qui décide in fine de les appliquer.

Le 3DS2 réduit-il le taux de conversion ?

Mal configuré, oui. Une friction inutile peut coûter 5 à 15% de conversion. Bien configuré avec les bonnes exemptions et un PSP de qualité, l'impact est minimal — les banques approuvent de plus en plus de transactions en mode frictionless (plus de 80% selon les données Visa 2024).

Quelle est la différence entre 3DS1 et 3DS2 ?

Le 3DS1 (Verified by Visa, Mastercard SecureCode) affichait une pop-up de code statique très intrusive. Le 3DS2 utilise un échange de données riche en coulisses, permet l'authentification biométrique, supporte les wallets et réduit drastiquement la friction pour les transactions à faible risque.