Qu'est-ce que le 3D Secure ?

Le 3D Secure est un protocole d'authentification conçu pour ajouter une couche de sécurité aux transactions par carte bancaire en ligne. Il met en jeu trois « domaines » (d'où le nom 3D) : le commerçant, le réseau de cartes (Visa, Mastercard) et la banque émettrice. Vous le connaissez peut-être sous les noms commerciaux Verified by Visa ou Mastercard Identity Check.

La différence entre 3D Secure 1 et 3D Secure 2

La première version du protocole, lancée dans les années 2000, redigeait systématiquement le client vers une page d'authentification, souvent via un SMS avec un code OTP. Si elle réduisait la fraude, elle créait aussi beaucoup de friction et d'abandons de panier.

La version 3D Secure 2 (EMV 3DS), généralisée depuis 2021, est bien plus intelligente :

  • Elle transmet jusqu'à 150 points de données au système d'évaluation de risque de la banque (appareil, adresse IP, historique d'achats…).
  • La grande majorité des transactions est traitée en flux frictionless : l'authentification se fait en arrière-plan, sans aucune action requise du client.
  • Seules les transactions jugées à risque déclenchent un challenge (validation biométrique, code OTP, notification push).

L'authentification forte (SCA) imposée par la DSP2

La Strong Customer Authentication (SCA), rendue obligatoire par la Directive européenne sur les Services de Paiement 2 (DSP2), exige que les transactions en ligne soient validées par au moins deux facteurs d'authentification parmi :

  • Ce que le client sait : mot de passe, code PIN.
  • Ce que le client possède : smartphone, carte physique.
  • Ce que le client est : empreinte digitale, reconnaissance faciale.

Le 3D Secure 2 est le mécanisme technique qui permet de satisfaire cette exigence pour les paiements par carte en ligne.

Les exemptions à la SCA

La réglementation prévoit plusieurs exemptions qui permettent d'éviter le challenge et de préserver l'expérience utilisateur :

  • Transactions de faible valeur : en dessous de 30 €, sous conditions de cumul.
  • Commerçants de confiance : le client peut whitelister un marchand auprès de sa banque.
  • Paiements récurrents fixes : abonnements au montant fixe, après la première authentification.
  • Analyse de risque de transaction (TRA) : si le taux de fraude du prestataire est suffisamment bas, il peut appliquer une exemption.

Impact pour les commerçants en ligne

En tant que marchand, voici ce que vous devez mettre en place :

  1. Assurez-vous que votre passerelle de paiement supporte le 3DS2. La plupart des acteurs majeurs (Stripe, Adyen, PayPlug) le gèrent nativement.
  2. Activez les exemptions intelligemment pour réduire la friction sur les transactions à faible risque.
  3. Mettez à jour votre intégration si vous utilisez une version ancienne de l'API de votre prestataire.
  4. Testez votre tunnel de paiement sur mobile, où l'authentification biométrique doit fonctionner parfaitement.

3D Secure et taux de conversion

Une idée reçue veut que le 3D Secure nuise aux conversions. Avec le 3DS2 et une gestion fine des exemptions, la réalité est plus nuancée :

  • Le flux frictionless (sans action client) ne génère aucun abandon supplémentaire.
  • Le challenge mobile (biométrie, push notification) est rapide et largement accepté.
  • En revanche, un challenge mal implémenté ou un code SMS non reçu peut encore causer des frictions.

Conclusion

Le 3D Secure 2 et la SCA représentent une avancée majeure pour la sécurité des paiements en ligne, sans sacrifier l'expérience utilisateur lorsqu'ils sont bien implémentés. Travailler avec une passerelle de paiement moderne et maintenir son intégration à jour sont les clés pour profiter des bénéfices sécuritaires sans pénaliser vos conversions.