Daniel Broche

Lors d'une conférence organisée par Atos en début d'année, Le directeur informatique de Cdiscount avait expliqué comment ils testaient 3D secure sur leur site de vente: La solution 3D secure était proposé non en remplacement, mais en alternative aux paiement CB standard (sans code 3D d'authentification).

Nous avions déjà envisagé cette idée chez Discounteo sans avoir le temps de l'implémenter. Suivant l'exemple de Cdiscount, nous avons donc travaillé le sujet:
Ok pour le marchand 3D secure protège contre la fraude, mais quel bénéfice pour le client ???

En partant donc du besoin consommateur, nous avons donc revu le "plus 3D secure". Si le risque est plus faible, nous pouvons donc accélérer un peu plus nos traitements d'envoi et zapper des procédures de scoring parfois longues.
Partant de là, nous avons charté la nouvelle page de paiement Discounteo qui propose le choix 3D secure en mettant l'accent sur:
- Le traitement immédiat dans l'entrepôt de la commande (moins d'une heure garanti)
- Les logo VerifiedByVisa et MastercardSecuriCode qui sont les marques grand publique

Un moteur de règle Magento nous permet ensuite d'ordonner et changer les présentations à la volée.
Pour se faire, nous avons du utiliser deux banques différentes car les solutions monétiques actuelles ne permettent pas d'utiliser 3Dsecure comme une option. Ce serait pourtant l'idéal: Que chaque e-marchand puisse fixer ses critères (montant du panier, type de produit, horaire, etc...) et qu'en fonction de cela la popup de contrôle 3D apparaisse ou non au client. Et bien sûr qu'en cas d'échec il puisse quand même payer sans authentification, le marchand choisissant alors ce qu'il souhaite faire.

En attendant que les amis banquiers se mettent d'accord pour nous livrer cela en 2025, nous allons étudier de près notre nouvelle page et son impact sur le taux de transfo. Résultats dans quelques jours...

Règles du jeu:

• Améliorer la sécurité ne rien perdre en simplicité.
• Objectif: Garder la confiance des consommateurs.
• Mise de départ: 25 milliards d'euros (marché e-commerce français).

1. 3DS n'est pas un système d'authentification, 3DS c'est une organisation 4 COINS (e-marchand + banque e-marchand + banque porteur CB + porteur CB). D'ou le 3 dans le sigle... Ne demandez pas d'où vient le D !!
2. Le GIE CB n'a pas précisé si cette histoire a été inventée au bistrot du coin, mais dans la salle on sentait que les marchands étaient sous pression.
3. Pour fonctionner cette organisation requiert une méthode d'authentification. Dans notre époque laminée par le fléau du libéralisme, cela implique qu'il existe une flopée de solutions concurrentes.
4. On ne peut donc plus faire confiance aux banquiers pour se mettre d'accord en douce et imposer aux consommateurs une solution unique, simple et rentable.
5. Si on en est là, c'est un peu à cause de 3 Suisses qui a demandé de pouvoir payer à distance dans les années 80 sans penser à Internet et aux réseaux sociaux ! (doléances à déposer chez Capitaine commerce qui aurait du arriver plus tôt et finir le job avant de partir avec son trophée)
6. Il y a une météo du 3Dsecure. Par moment le taux d'échec augmente beaucoup car une banque décide de lancer une nouvelle solution d'authentification sans prévenir personne, même pas le porteur de la carte. On y peut rien: Il faut bien que les ingénieurs dans banques s'amusent un peu avant que l'ecommerce ne devienne aussi barbant que le reste. On appelle ça des pilotes.
7. Chez Cdiscount ils sont couillus: Ils ont mis 3DS en place juste avant noel !
8. Chez AirFrance ils ont enlevé brièvement 3DS hier mais c'était une panne et non une blague juste avant cet atelier
9. Le taux de rejet 3DS dépend des banques. Dommage que l'ecommerçant ne puise pas encore proposer spontanément à l'internaute bloqué en fin de commande de changer de banque.
10. Il ne faut pas se plaindre, en Espagne la mise en place de 3DS c'est encore pire; et en Angleterre ils n'ont même pas eu le choix !
11. Olivier Levy n'était même pas là pour défendre le petit e-commerce (la FEVAD aurait du penser aux petits fours à la fin !)
12. C'est moins grave 3Dsecure pour le petit e-commerce car ils ont pas les moyens de mesurer et y a d'autres problèmes plus importants que gagner 0,3% de taux de transfo quand on démarre
13. 3DS fait bien rigoler Amazon. Ils n'ont pas l'intention d'y passer ni en France ni ailleurs. eBay/Paypal attend que tous les européens soient d'accord. On comprend donc pourquoi Amazon rigole.
14. Un paiement 3DS est bien valide 6+1 jours comme pour une transaction normale
15. Ne vous embêtez plus a optimiser votre tunnel de commande, 3DS offre au moins 8 nouvelles sources d'abandon de commande possibles. Ogone les a toutes recensées.
16. 3DS reste optionnel. Meme en juin, cela ne devrait pas être imposé aux emarchands. Seules les banques en ligne vont avoir à passer obligatoirement aux authentifications fortes.
17. Il y a plein de groupes de travail qui planchent sur 3DS au GIE cartes bancaires
18. Ca ne fait que depuis 2002 que 3D secure existe. Les groupes de travail n'ont donc pas encore analysé tout les cas possibles avec internet.
19. Le stockage des n° CB est un probleme à part entière. Les banques risquent gros mais la mafia n'a pas encore pigé la faille, donc c'est moins urgent que 3D secure.
20. Le GIE carte bancaire a compris qu'il y a avait un souci avec 3D secure. Par exemple pour le 3x sans frais. Ou pour les commandes téléphonique. Ou encore pour les abonnements. etc...
21. Le temps passé sur l'étape de paiement augmente de +25 secondes avec 3DS et encore +15 sec avec les super technologies d'authentifications fortes
22. La bataille navale c'est moyen. Au final il est préférable d'avoir un SMS pour payer. (Quid quand on payera via mobile ? un groupe de travail en plus ?)
23. Y a des gars futés qui développent des solutions intelligentes 3DS ou le e-marchand aurait la sécurisation du paiement même sans saisie du code par le client pour certaines transactions (petit montant, client connu...)
24. Reste aux futés à convaincre la banque de France en espérant que les escrocs ne seront pas plus malins.
25. La Fevad propose de créer un observatoire afin d'avoir des chiffres précis, mesurer les tendances et tenir les banquiers au courant de ce qui ne marche pas.

On ne s'est donc pas ennuyé et il y a du boulot pour tout le monde. Au final il est tout de même réconfortant de constater que tout ce petit monde veut arriver au même but. Le seul souci c'est que les e-marchands ont la facheuse tendance à focaliser sur le court terme à 1 mois alors que les banquiers travaillent sur le court-terme à 3 ans...

La journée des complications ecommerce ne se termine pas là, ce soir c'était débat parlementaire à propos des nouvelles loi VAD, avec plein d'idées intéressantes; comme les pénalités en cas de retard de paiement indexées sur le TEG max du e-marchand, ou encore la confirmation par écrit des commandes téléphones... Résultat des courses demain.

Ps: Si vous aussi vous voulez pouvoir assister aux prochains ateliers et découvrir en live les bonnes blagues de nos amis banquiers: Adhérez à la Fevad ! (la cotisation ne se paye pas via 3Dscure)

La filiale de paiement d'eBay annonce une ouverture de sa plateforme aux développeurs à partir du 3 novembre de façon originale. Un petit clip qui a de quoi stimuler l'imagination...

Prenez un groupe d'e-marchands qui n'ont toujours pas installé 3D-secure depuis le mois de novembre du fait du risque de perte de clientèle. Ajoutez une poignée de banquiers qui sont certains que ça fonctionne. Mettez le tout dans une salle et faites entrez un représentant de la banque de France qui annonce à tout ce beau monde que la récréation est finie:

1. La fraude CB explose sur le net: L'ecommerce représente 2% des achats CB et 23% de la fraude !
2. D'ici juin 2010 au plus tard, une méthode d'authentification forte devra être déployée pour les paiements CB.

Fini donc les codes que l'on ne retient pas et les popup qui demandent la date de naissance pour plus de sécurité... Chaque porteur de carte qui voudra l'utiliser en ligne aura en plus un systeme technique générateur de codes non réuilisables.
Bonne nouvelle pour les e-marchands: Si la solution est un peu plus compliquée pour le consommateur, sa banque sera bien contrainte à un peu plus de pédagogie et d'information. Le risque d'abandon lors du paiement du fait de la sécurité additionnelle dvrait donc chuter sensiblement.
Et cela devrait significativement diminuer les pertes liées fraude vu que 50% des détournements de n° CB sont liés à du vol (lors de l'acheminement des CB ou dans le portefeuille client). Le code non réutilisable réduit très fortement l'intérêt de tels vols.

Sauf que dans le même temps il faut aussi que les e-marchands trouvent une solution pour débiter à l'expédition ou couvrir les consommateurs sur l'avance de trésorerieà la demande du gouvernement. Et au vu de la complexité de gestion des encaissements CB, la généralisation de système type 3D secure ne facilite pas la tâche: Les authentifications 3D actuelles ne sont valables que 3 jours. Si l'on expédie en plus de 3j ou en fractionné, il est techniquement impossible de faire coller les contraintes de sécurité de délai.
Ne parlons même pas des cartes privatives pour lesquelles c'est le gros flou.

Nos confrères banquiers et les fournisseurs de solutions de paiement ont du pain sur la planche.

On a déjà eut l'occasion de bien râler sur nos amis banquiers qui ont communiqué comme des pieds sur la généralisation de 3D secure en France. Ils avaient peut être d'autres préoccupations... mais maintenant que la crise nous concerne plus qu'eux il est intéressant de revenir sur ce sujet.

Comme vous le savez surement beaucoup de marchands significatifs comme Discounteo ont volontairement mis en stand-by la bascule afin de ne pas voir le taux de transformation s'effondrer.
Sans parler des petits tracas comme la perte de validité de la responsabilité 3D secure quand on travaille sur des duplicatas (par exemple pour du 3x sans frais ou seul le 1er débit est de la responsabilité de la banque du porteur...)

Plus récemment j'ai eu des échos surprenant d'e-commerçants qui ont observé un autre phénomène lors de la bascule vers 3D secure: L'augmentation de la part de leurs ventes en provenance des places de marché (Amazon, RDC, Pixplace...). Je suppose en effet que 3D secure n'est pas encore déployé chez eux non plus.
L'internaute bloqué ou réfractaire à ce système opterait donc non pas pour l'abandon mais pour un autre canal ! D'ici à ce que 3D secure relance les ventes dans les magasins traditionnels...

Tout ceci devrait toutefois être transitoire car de nouveaux systèmes d'authentification forte arrivent et cette fois la communication vers le grand public devrait être meilleure.

ps: Ceci n'est pas une note sponsorisée par une place de marché !

Des sites e-commerce ont mis la clef sous la porte ces derniers mois en laissant bon nombre de clients débités et non livrés: Camif, showroom2001 (qui gérait aussi shoozle et armenager), mondialdiscount, priceforce...

Dans le secteur électroménager les paniers sont importants et certains consommateurs peuvent se retrouver avec des sommes de plus de 1000€ perdues dans la nature !

La raison principale de tout cela: par défaut les systèmes de paiement proposent un débit à date fixe à l'e-commerçant. On peut choisir le débit immédiat, le débit à 1jour, à 2jours, etc jusqu'à 7 jours. Ce délai s'applique alors pour TOUS les clients.

Pour Discounteo nous débitons à 2 jours car c'est le délai moyen d'envoi des produits: En semaine les produits sont expédiés en moins de 24h mais les commandes du week-end sont traitées seulement le lundi...

Il existe bien entendu des solutions afin d'ajuster client par client la date de débit. Seul hic, ces systèmes demandent des investissements informatiques pour être mis en place (et les banques ne les proposent aux e-marchands qu'à partir d'un certain volume). Dans notre nouvelle version nous avons prévu ce système.

A l'heure ou l'on parle de réduire les délais de règlements dans la distribution, il me semble que cela devrait être la norme dans l'e-commerce. Au moins pour les sites qui traitent des paniers au delà d'un certain montant.

Avant la loi Chatel, la règle sur les délais de livraison variait à partir d'un certain seuil. Pourquoi ne pas faire de même avec les nouveaux systèmes de paiement en ligne ?
Le délai d'encaissement est quelque chose que l'e-marchand maîtrise parfaitement, contrairement à la livraison qui elle, peut connaître des aléas.

Il est vrai que cela va réduire la trésorerie de certains sites dont les délais sont particulièrement long et qui ne misent pas sur le service. Cela est aussi un souci pour les sites d'intermédiation (eBay, Priceminister...) pour qui il n'est pas simple de savoir de façon fiable quand le produit est envoyé par le vendeur. Mais d'un autre côté peut on raisonnablement défendre l'idée que c'est au consommateur d'assumer pleinement le risque d'approvisionnement du marchand ?

Je crois donc qu'une telle mesure irait dans le sens d'une plus saine concurrence et pousserait les intermédiaires à innover un peu plus.
De plus, la durée de vie moyenne des entreprise étant de 3 ans, le nombre d'arrêts de e-commerce va commencer à exploser en France à partir de cette année (contre-coup de la croissance entamée il y a deux ans). Cela va poser avec d'autant plus d'actualité cette question au fur et à mesure des remontées de e-consommateurs.

C'est fait, le service Clicprotect de MMA est en ligne.

J'ai déjà exprimé mes doutes sur ce service lancé par MMA a destination des cyberacheteurs qui ont peur d'un litige. Deux des fondateurs (Jean-Christophe Villain & Jean-Paul Maze) expliquent plus en détail le positionnement de cette offre en video et apportent des précisions intéressantes:

Points notables:

• Clic protect a déposé un brevet sur la sécurisation de l'achat en ligne
• Le service est né suite à une mauvaise expérience lors d'une commande de gants de boxe
• Partenariat avec Oxatis, 1ere plate forme d'hébergement mutualisé e-commerce

Bien que le produit soit une promesse simple et claire pour le consommateur, je reste dubitatif sur le gain pour le partenaire e-marchand. Car pour devenir une solution grand public, Clicprotect a besoin d'être relayé par les sites emarchands. D'ou l'argumentaire que ce service va leur apporter un plus en terme de crédibilité.
Cela vise donc les plus petits marchands:

• Ceux qui ont le plus de temps pour régler à l'amiable les litiges car ils ont peu de clients et donc peuvent se permettre de les sur-bichonner
• Ceux aussi qui n'ont aucun intérêt à se lancer dans un bras de fer juridique avec un consommateur de mauvaise foi surtout si Clicprotect met à sa disposition 20 000€ d'avocat.

Enfin, il faut bien se rendre à l'évidence que Clicprotect ne sera d'aucune aide dans les cas ou l'on a affaire à de véritables escrocs. La DGCCRF a déjà, mis en lumière qu'une infime minorité de sites cause la majorité des plaintes. Ces derniers mois ont montré qu'il devient de plus en plus fréquent que les sites en question baissent le rideau en laissant sur la paille des centaines de commandes payées et non honorées, surtout quand ils sont à l'étranger. La loi Chatel n'y a rien changé, je vois mal comment Clicprotect pourrait résoudre ce vrai problème pour les consommateurs et les e-marchands.

Mediation, première mise en ligne par TomNatt.

En savoir plus:

Le JdN a relayé leur communiqué de presse

VUnet en parle également

J'ai réalisé hier mon premier paiement sur un site marchand qui a basculé 3Dsecure: Ruedeshommes
Marie Hélène, la patronne m'avais parlé de soucis rencontrés avec certains clients au moment du paiement. (Mathilde en parle également dans sa note: Elle observe une augmentation des abandons)

Bilan des courses:

• Techniquement ça marche: Les ingénieurs ont bien bossé. Mais faut dire que la technologie fonctionne depuis 2003 à l'étranger...
• Ergonomiquement c'est une catastrophe. Les temps d'attente de connexion sont horriblement longs pour des pages dépouillées. Et le plus terrible: je n'ai pas pu m'empêcher de me marrer au moment de créer mon code confidentiel. On se croirait sur un formulaire Fessebouc ! Manque plus que de pouvoir poker son conseiller de clientèle pour avoir un code aléatoire...

Il faut avouer que pour un système sensé apporter plus de confiance en ligne, on frôle le ridicule. Quand on sait qu'une grande partie des détournements de carte sont réalisés par les proches (enfants, conjoints...), on mesure la pertinence de la confidentialité.

Il ont peut-être confié ce projet à un stagiaire ?

Entre l'hypothétique faillite de l'Islande et le dévissage des banques anglaises, il y a toujours la place pour un sujet e-commerce flippant. La peur peut être à la base de business très rentables à développer sur le net. Dernier exemple en date que j'ai découvert au salon e-commerce: CLICPROTECT.

Crossing night, première mise en ligne par danielbroche.

Le site officiel ne dit pas grand chose sur la solution pour l'instant... La page sur le site du salon non plus. Heureusement, la plaquette et le brief que j'en ai eu sont plus explicites.

Le principe de CLICPROTECT sera de faire payer 2€ en plus au consommateur au moment de son achat contre la promesse de s'occuper de tous ses litiges éventuels: délai non respecté, marchandise abîmée, sécurité de paiement, etc...
En cas de problème, ce service gère la relation avec l'e-marchand au lieu du consommateur et recherche "LA solution conforme à votre commande initiale".

Enfin, la plaquette mentionne: "En cas de refus du site marchand, CLICPROTECT ira jusqu'au tribunal. Vous disposez en effet d'une garantie de 20 000€ de frais d'avocats et de procédures couverte par notre partenaire exclusif, le groupe MMA assurances."

Côté e-marchand, le service propose de créer une "confiance client sans équivalent".

Après avoir discuté et réfléchi, je ne comprend pas quel intérêt un e-marchand aura à proposer un tel service sur lequel il ne touche aucune commission. En revanche j'imagine tout à fait le boulot supplémentaire et couteux que peuvent nous occasionner des avocats procéduriers et intransigeants.

Conclusion: Pour faire du commerce, il faudra désormais souscrire un support juridique à chaque achat. On n'est pas rendus !

Plus généralement, je me demande même si en empilant les verrous, on ne finit pas par stresser encore un peu plus l'e-consommateur ! Avec le risque final d'alimenter ses peurs du web et de perdre tout bonnement la vente...

Si vous êtes e-marchand et que vous avez également vu ce service, je serai curieux d'avoir votre ressenti.

Il y aura bien des prix Favori's 2008 remis par la FEVAD dans le domaine e-commerce.
Le jury a délibéré chez Google cette semaine. Résultats fin novembre.
Les catégories sucitent déjà ma curiosité:

• Prix de l'Ethique: J'ignore de quoi il en retourne mais voilà un sujet qui en fait cogiter plus d'un
• Prix de l'Innovation: Est ce que Luc Chatel sera nominé ?
• Prix de la Meilleure Pub TV: Une bonne pub TV ne se mesure t'elle pas à son buzz sur Youtube / Dailymotion ? Dans tous les cas c'est une bonne chose que de plus en plus de tres gros marchands soient présents sur ce média pour renforcer la confiance dans l'achat en ligne.
• Prix du Nouveau site: Ils ont du passer du temps à éplucher les 16 000 nouvelles boutiques crées en 2007 !!!
• Prix de la meilleure campagne de Marketing Mobile: Je n'ai encore jamais reçu de pub sur mon mobile...
• Prix du Meilleur Blog de e-Commerce: Le jury a t'il retenu les blog thématiques ou les blogs de boutiques ?
• Prix de la Meilleure Campagne Virale: La meilleure compagne virale en 2008 se sera elle cantonnée à l'e-mail ou aura t'elle réussi le tour de force de se propager via Facebook et les autres sites 2.0 ?

Question subsidiaire: Vu toutes les rencontres intéressantes qui se déroulent dans les locaux de Google à Paris depuis le début de l'année, ils doivent vraiment être top. Mais à quoi cela sert-il pour Google d'avoir des locaux à Paris sinon pour flamber ?
Y a t'il vraiment des gens qui bossent dedans le reste du temps ?

MISE A JOUR DU 28 NOVEMBRE: Je n'ai pas pu me rendre à la soirée (trop de boulot).Les résultats des favori's sont annoncés sur le blog d'Henri Kaufman (et bientot sur le site officiel)