Nous vous avons déjà parlé dans ce blog du dispositif 3D Secure, déployé à partir d'octobre 2008 afin de sécuriser les paiements à distance. Trois ans plus tard, voici un bilan (peu reluisant), ainsi que nos conseils pour votre site e-commerce.
Avec 3D Secure, les banques peuvent confirmer que l'utilisateur d'un numéro de carte bancaire est bien son titulaire. Le système est censé éviter l'utilisation de numéros de cartes bancaires volés et empêcher toute répudiation de mauvaise foi par l'acheteur. En somme, une double protection, pour l'e-commerçant et pour l'acheteur. En anglais, on appelle ça un "no-brainer".
Et pourtant... près de 3 ans plus tard, si 50% des sites e-commerce sont équipés 3D Secure, cela concerne seulement 10% des transactions (le système est parfois proposé en option). On ne peut pas parler d'un franc succès...
Pourquoi parler de fiasco?
La cote d'amour du dispositif auprès des e-commerçants est apparente dans la flopée d'articles et billets consacrés au sujet: "3D Secure m'a tuer", "3D Secure: la bonne blague", "Comment enlever 3D Secure" pour n'en citer que quelques uns. Le Journal du Net parle même d'un "cauchemar" pour les e-commerçants.
Ce désamour provient tout d'abord d'un déploiement autoritaire, les banques n'ayant pas laissé le choix à leurs clients. Aujourd'hui, les e-marchands encore dotés de 3D Secure sont souvent des sites sans concurrence (Voyages-sncf), des sites qui le proposent mais en option (Cdiscount), et surtout une majorité de "petits" e-commerçants qui n'ont pas eu leur mot à dire et n'ont pas un poids suffisant face à leur banque pour négocier une désactivation du système.
Un fiasco annoncé?
Mais si 3D Secure est si peu répandu et si peu populaire, c'est du avant tout à un manque de communication flagrant des banques auprès de leurs clients particuliers. Qui parmi vous a reçu une information à ce sujet?
Les internautes ont donc découvert lors de leurs achats un écran leur demandant un code supplémentaire et ont naturellement pensé qu'on leur demandait leur code PIN ou qu'il s'agissait d'une tentative de phishing. Résultat pour les e-commerçants: paniers abandonnés, perte de chiffre d'affaires (certains sites parlent de 10, 15 voire 20%), surcharge de la hotline, etc.
Pire, frappées d'un mal très français, les banques ont été incapables de se concerter pour proposer une seule méthode d'authentification: date de naissance pour les unes (niveau de sécurité dérisoire), code créé à la première utilisation pour les autres (aucune sécurité si le voleur de CB est le premier à utiliser 3D Secure), système de SMS pour les autres (parfois facturés au client!)...
Source: Avenuedusol.com
Dans ce contexte d'opacité et de confusion, il était inévitable que les utilisateurs s'y perdent et que les e-commerçants fuient 3D Secure comme la peste.
Rappelons qu'en 2010, la fraude par paiement à distance en France a représenté 0,28% en valeur du total des transactions (source: Observatoire de la Sécurité des Cartes de Paiement). Pour beaucoup de sites marchands, le taux de fraude est bien inférieur voire inexistant, ils ont donc beaucoup plus à perdre qu'à gagner.
La lumière au bout du tunnel
Ce fiasco n'était pourtant pas une fatalité: selon le JDN, 3D Secure est utilisé par 95% des sites e-commerce au Royaume-Uni, avec pour toutes les banques une authentification de type code PIN aisément compréhensible par le consommateur.
Il semblerait d'ailleurs que depuis plusieurs mois, les autorités bancaires et les associations de professionnels aient pris conscience du problème et soient prêtes à étudier des améliorations.
En attendant, la solution suivante, retenue notamment par CDiscount, est intéressante: proposer 3D Secure en option seulement, avec l'avantage pour le client que sa commande sera traitée en priorité.
Que faire si j'ai un site marchand avec 3D Secure?
Si vous êtes vigneron et e-commerçant (un cas de figure de plus en plus fréquent), vous vous trouvez vraisemblablement dans la catégorie des sites "petits" à "moyens". Si votre banque a mis en place 3D Secure, avec ou sans votre accord, vous avez toujours la possibilité de demander sa désactivation (en ayant bien conscience du risque accru de fraude, que votre banque ne manquera pas de vous signaler). Après tout, votre banque percevant une commission sur chaque transaction, elle n'a pas intérêt à ce que vous perdiez des ventes...
Des outils comme Google Analytics permettent de mesurer via des "entonnoirs de conversion" votre taux d'abandon de panier. Munissez-vous de ces statistiques, de témoignages de clients, de chiffres sur le nombre d'appels dus à 3D Secure, de votre taux de fraude (sans doute très faible), bref de tout ce qui vous permettra d'être plus concrets dans votre argumentation.
Malheureusement votre banque est également en droit de vous refuser ce service, et tout dépendra alors de votre capacité à faire pression en menaçant d'aller voir ailleurs.
Faites de la pédagogie
Mieux vaut faire contre mauvaise fortune bon coeur: dédiez une page de votre site (facilement accessible!) à de la pédagogie sur 3D Secure, car ce ne sont pas les banques qui le feront pour vous. La page suivante est un bon exemple: Achat confiance.
Pensez également à faire un lien vers cette page depuis votre interface de commande pour que le client puisse la consulter facilement avant de passer au paiement en ligne.
Voilà qui devrait déjà résoudre une grande partie des problèmes liés à 3D Secure, en attendant un système simple, fiable, harmonisé, connu et accepté de tous. Est-ce trop demander?