La réglementation relative aux sites marchands est en éternelle évolution. Découvrez dans cet article les dernières adaptations à mettre en place sur votre site de vente en ligne suite à l’annonce de la norme SCA et celle de la directive ePrivacy.
Norme SCA, directive ePrivacy, que dit la loi ?
Norme SCA
Avec la DSP2, annoncée en septembre 2019, de nouvelles exigences européennes doivent être mises en place. Et ce, au maximum, d’ici fin 2021. Notons que ces nouvelles exigences sont relatives à l’authentification des paiements en ligne. Elles sont identifiées sous le nom d’authentification forte du client (norme SCA). Mentionnons que ces normes ont pour but d’optimiser la sécurité des paiements en ligne et à réduire la fraude. Pour cela, une étape d’authentification supplémentaire doit être introduite aux flux de paiement initiés par le client. En clair, cela concerne la grande majorité des paiements par carte et virements bancaires effectués pour le compte d’une entreprise. Un entreprise située dans l’Espace Economique Européen (EEE) ayant une banque localisée en EEE. Les prélèvements sont eux dits « initiés par le vendeur » et ne sont pas soumis à cette authentification forte du client.
Directive ePrivacy
En parallèle de cette législation, la CNIL a rappelé, le 17 septembre 2020, les lignes directrices relatives au droit applicable au dépôt et à la lecture de traceurs (cookies). Elles sont d’ailleurs accompagnées d’une recommandation. Le but étant d’aider les acteurs dans la mise en place du recueil du consentement des utilisateurs de leurs sites web.
Ces textes viennent compléter la directive ePrivacy actuellement en vigueur. Cette obligation s’impose aux responsables des traitements utilisant des traceurs soumis au consentement (article 82 de la loi Informatique et Libertés), qui sont responsables de ces traitements. Elle prévoit de recueillir l’acceptation des internautes de façon obligatoire. Et cela, avant les opérations d’écriture et de lecture des traceurs (sauf exception). Mais aussi, d’offrir aux utilisateurs la possibilité de retirer à tout moment leur approbation, en toute simplicité. Les cookies concernés sont tous ceux ne qui ne sont pas strictement nécessaire à la fourniture d’un service. Mais aussi, ceux qui ne visent pas à permettre ou faciliter les échanges par voie électronique.
Les éditeurs de sites marchands sont donc concernés dès lors qu’ils mettent en place de la publicité personnalisée. Mais également, lorsqu’ils mettent en place des boutons de partage sur les réseaux sociaux. L’objectif de ces évolutions est d’octroyer aux utilisateurs un meilleur contrôle sur les traceurs en ligne.
Comment mettre votre site marchand en conformité ?
Avec la mise en place de la SCA, chaque transaction sur un site marchand ne peut être validée que si l’acheteur s’authentifie. Et cela, par le biais de deux facteurs parmi les trois types de facteurs existants. A savoir : le facteur de possession (comme un smartphone), le facteur d’inhérence (reconnaissance faciale) et le facteur de connaissance (mot de passe). Le protocole 3D Secure, ajoutant une étape après le règlement par CB, ne sera donc plus suffisant. Il peut être remplacé par le 3D Secure 2. Celui-ci répond aux exigences de la SCA tout en offrant la meilleure expérience utilisateur possible. D’autres moyens de paiement conformes peuvent également être utilisés, comme Apple Pay et Google Pay. Notons que pour éviter l’authentification à chaque achat, les clients peuvent inscrire des entreprises dans une liste de « bénéficiaires de confiance ».
Concernant la mise en conformité des sites marchands aux exigences de la directive ePrivacy, chaque acteur doit être prêt au plus tard fin mars 2021. Ainsi, pour tous les traceurs non exemptés du recueil de consentement, il est impératif que le bandeau de recueil de l’autorisation utilisateur possède deux boutons. Un bouton « tout accepter » ET un bouton « tout refuser ». Il est fortement conseillé aux sites marchands de conserver les réponses des internautes (consentement et refus) pendant une certaine période. Ainsi, cela évitera de réinterroger les visiteurs à chaque venue sur le site. Précisons que l’ensemble des finalités de l’utilisation des cookies doit être présenté au moment du consentement.