L'authentification forte du client (SCA) imposée par la directive PSD2 et les exigences d'authentification de PCI DSS poursuivent des objectifs complémentaires mais opèrent dans des cadres distincts. Pour les marchands et prestataires de paiement européens, comprendre comment ces deux systèmes s'articulent est essentiel pour concevoir une architecture de paiement conforme et efficiente.
PSD2 et l'authentification forte du client (SCA) : les bases
La directive PSD2 (Payment Services Directive 2) a introduit en Europe l'obligation d'authentification forte du client (Strong Customer Authentication ou SCA) pour la majorité des paiements électroniques. La SCA exige que l'authentification repose sur au moins deux des trois facteurs suivants : quelque chose que l'utilisateur sait (mot de passe, PIN), quelque chose qu'il possède (smartphone, carte physique), et quelque chose qu'il est (empreinte biométrique, reconnaissance faciale).
La SCA s'applique principalement lors de l'initiation d'un paiement à distance par le payeur. Elle est mise en œuvre techniquement via le protocole 3D Secure 2 (3DS2) pour les paiements par carte en ligne. Les prestataires de services de paiement (PSP) qui émettent ou acquièrent des transactions sont responsables de l'application de la SCA, mais les marchands doivent s'assurer que leur intégration de paiement supporte le protocole 3DS2.
PCI DSS et authentification : un cadre distinct mais complémentaire
PCI DSS traite l'authentification sous un angle différent. L'exigence 8 de PCI DSS concerne l'authentification des utilisateurs qui accèdent aux systèmes du périmètre — c'est-à-dire les employés, les administrateurs, les développeurs et les tiers qui ont accès aux systèmes traitant, stockant ou transmettant des données de carte. La PCI DSS v4.0 a étendu l'obligation de MFA (Multi-Factor Authentication) à tous les accès au CDE (Cardholder Data Environment).
Ces deux systèmes d'authentification opèrent donc à des niveaux différents : la SCA s'applique à l'authentification des acheteurs pour valider leurs transactions, tandis que PCI DSS s'applique à l'authentification des opérateurs pour protéger l'accès aux systèmes de paiement. Ces deux exigences sont complémentaires et non redondantes : respecter la SCA n'exonère pas du respect des exigences MFA de PCI DSS, et vice versa.
Les exemptions SCA et leur impact sur le périmètre PCI DSS
La réglementation PSD2 prévoit plusieurs exemptions à la SCA qui sont particulièrement pertinentes pour les marchands. L'exemption de faible valeur (moins de 30 euros), l'exemption d'analyse des risques de transaction (TRA), l'exemption pour les bénéficiaires de confiance (listes blanches), et l'exemption pour les paiements récurrents de montant fixe permettent de traiter des transactions sans déclencher la SCA dans certaines conditions.
Les paiements récurrents et les abonnements bénéficient d'une exemption particulièrement importante : la SCA n'est requise que lors de la mise en place du mandat de prélèvement ou du premier paiement d'une série. Les paiements suivants de même montant au même bénéficiaire sont exemptés. Pour les marchands en mode abonnement, la tokenisation joue ici un rôle clé : le token créé lors de la première transaction authentifiée permet de traiter les paiements ultérieurs sans réauthentification du client.
3DS2, tokenisation et réduction du périmètre PCI DSS
L'implémentation de 3DS2 et de la tokenisation sont complémentaires sur le plan de la sécurité et de la conformité. La tokenisation réduit le périmètre PCI DSS en supprimant les données de carte brutes de l'environnement du marchand. Le 3DS2 renforce l'authentification du payeur pour les transactions en ligne. Ces deux mécanismes peuvent être déployés simultanément sans friction supplémentaire pour l'acheteur.
En pratique, le flux de paiement sécurisé optimal pour un e-commerçant européen est le suivant : les données de carte sont saisies dans un formulaire hébergé par un prestataire certifié PCI DSS Level 1 qui génère immédiatement un token ; si la transaction nécessite une authentification SCA, le protocole 3DS2 est déclenché à partir du token sans que les données de carte brutes ne transitent par les systèmes du marchand ; le token est ensuite utilisé pour le débit via la passerelle de paiement. Ce flux minimise le périmètre PCI et satisfait aux obligations SCA de PSD2.
PSD2 et RGPD : les données biométriques dans l'authentification
L'utilisation de données biométriques dans le cadre de la SCA (reconnaissance faciale, empreinte digitale) soulève des questions importantes au regard du RGPD. Les données biométriques sont des données sensibles au sens du RGPD et leur traitement est soumis à des exigences renforcées. Les PSP qui utilisent la biométrie pour la SCA doivent s'assurer de la légalité de leur base de traitement, de l'information adéquate des utilisateurs, et de la sécurité renforcée du stockage de ces données.
Pour les marchands européens, l'articulation entre PSD2, RGPD et PCI DSS crée un environnement réglementaire complexe. La bonne pratique est de déléguer l'intégralité du traitement SCA au PSP ou à la banque émettrice, qui sont directement soumis aux obligations PSD2. Le marchand évite ainsi de gérer directement les données biométriques et les données de carte, réduisant son exposition réglementaire sur les trois cadres simultanément.
Vers PSD3 : les évolutions réglementaires à anticiper
La Commission européenne a publié en juin 2023 les propositions pour PSD3 (Payment Services Directive 3) et PSR (Payment Services Regulation). Ces textes, qui devraient entrer en vigueur progressivement à partir de 2026, renforcent les obligations SCA, étendent l'open banking, et introduisent de nouvelles exigences sur la lutte contre la fraude. Les marchands européens doivent anticiper ces changements dans leur roadmap de conformité.
PSD3 prévoit notamment un renforcement des règles de responsabilité en cas de fraude et une meilleure harmonisation des règles SCA entre États membres. Les nouvelles exigences sur le monitoring de la fraude et la détection des transactions suspectes s'alignent avec les exigences PCI DSS v4 sur la surveillance continue des systèmes de paiement. Pour les marchands qui investissent aujourd'hui dans une conformité PCI DSS v4 robuste, la transition vers PSD3 sera facilitée.
Vous souhaitez implémenter une architecture de paiement conforme PSD2, SCA et PCI DSS ? Découvrir PCI Proxy EU.