dsp2psd3ap2scapaiementagentic-commercefintech 22 min 23 mai 2026

DSP2, PSD3 et paiement agentique : ce que SCA et AP2 changent pour les marchands FR

Comment l'authentification forte du client (SCA) cohabite avec le paiement agentique en 2026 ? Décryptage opérationnel de DSP2 (en vigueur), PSD3 (transposition 2026-2027), et du protocole AP2 pour les marchands FR. Audience fintech, DAF, DSI e-commerce.

par Hugo Lemaire

Cover article : DSP2, PSD3 et paiement agentique : ce que SCA et AP2 changent pour les marchands FR 1200×630 /blog/dsp2-psd3-paiement-agentique-sca-ap2/cover.avif

Template Figma unique titre + motif violet, réutilisable pour OG

En une phrase : L’authentification forte du client (SCA) imposée par DSP2 reste obligatoire pour les paiements en ligne en 2026, y compris quand un agent IA déclenche la transaction. Trois mécanismes coexistent : la SCA classique (3D Secure 2 standard), la délégation SCA (l’authentification est faite dans l’app de l’agent, validée par l’émetteur de la carte), et l’AP2 mandate (la signature cryptographique du mandat utilisateur tient lieu de SCA selon la doctrine ACPR et EBA en construction). PSD3, qui remplacera DSP2 progressivement entre 2026 et 2028, intègre explicitement les agents IA et les Open Finance APIs, ce qui clarifie le cadre. Cet article décrit ce qui s’applique aujourd’hui à un marchand FR, ce qui change avec PSD3, et comment ton stack Stripe/Adyen/Shopify gère tout ça pratiquement.

À qui s’adresse cet article : DAF, DSI, responsables paiements et fintechs e-commerce qui veulent comprendre comment activer le paiement agentique sans casser leur conformité DSP2 ni dégrader leur taux de conversion checkout.

TL;DR

DSP2 reste pleinement en vigueur en 2026. Toute transaction en ligne carte > 30 € exige une authentification forte (SCA) du client. L’agent IA ne crée pas d’exception.
Trois flows de SCA cohabitent pour le paiement agentique : SCA classique 3DS2, SCA déléguée (biométrique dans l’app agent), SCA via mandate AP2 cryptographique.
Sur ChatGPT Instant Checkout, OpenAI utilise la SCA déléguée avec validation Apple Pay / Google Pay / Stripe Link. L’ACPR a validé ce flow en février 2026 pour les marchands FR.
PSD3 et PSR (règlement) sont en cours de transposition, application progressive 2026-2028. PSD3 reconnaît explicitement les agents IA et clarifie la responsabilité en cas de fraude.
Côté marchand FR, tu n’as rien à modifier dans ta config Stripe ou Adyen pour accepter les paiements agentiques. C’est l’émetteur (la banque du client) et l’agent (OpenAI, Google, Mistral) qui portent la conformité.
Le piège opérationnel : ne pas désactiver 3DS sur tes règles anti-fraude internes pour les commandes agentiques. Tu casserais ton taux de réussite sans gain de conformité. Stripe gère tout.
Pour les fintechs émettrices (cartes virtuelles, néobanques B2B, etc.), le sujet est plus lourd : il faut implémenter la délégation SCA côté agent ou faire signer les transactions par AP2. Six mois d’effort tech + juridique.

1. DSP2 et SCA en 2026 : rappel rapide

La directive (UE) 2015/2366 (DSP2) a introduit l’obligation d’authentification forte du client (Strong Customer Authentication, SCA) pour les paiements électroniques en Europe. Application effective sur les transactions en ligne depuis le 14 septembre 2019, puis progressivement durcie jusqu’à fin 2021.

Ce qu’impose la SCA

Toute transaction électronique initiée en ligne par un utilisateur doit être authentifiée par deux facteurs sur trois :

Connaissance (mot de passe, PIN).
Possession (téléphone, carte physique, token).
Inhérence (empreinte digitale, reconnaissance faciale).

En pratique sur le e-commerce, la SCA se matérialise par le protocole 3D Secure 2 (3DS2) qui déclenche soit une notification push dans l’app bancaire avec authentification biométrique (cas standard sur smartphone), soit un code SMS + mot de passe (cas legacy).

Les exemptions SCA

DSP2 a prévu des exemptions limitées :

TRA (Transaction Risk Analysis) : transactions < 30 € si l’émetteur a un taux de fraude bas.
Faible montant : < 30 € avec compteur cumulatif (5 transactions max ou 100 € cumulés avant SCA obligatoire).
Marchand de confiance (Trusted Beneficiary) : whitelist établie par l’utilisateur dans son app bancaire, suspendable.
Abonnement récurrent : SCA sur le premier paiement, exemption sur les suivants si même montant et même marchand.
MOTO (Mail Order Telephone Order) : exemption générale (jamais applicable à l’agentic).

Ces exemptions sont décidées par l’émetteur, pas par le marchand. Tu peux demander à Stripe ou Adyen d’optimiser ton taux d’exemption via leur moteur de routing, mais la décision finale revient à la banque du client.

Taux d’échec SCA en France en 2026

Statistiques publiques Stripe et Adyen (rapports Q1 2026) :

Taux d’authentification réussie 3DS2 : 96 % sur mobile, 89 % sur desktop.
Taux d’abandon checkout dû à 3DS2 : 4 % en moyenne, 8-12 % sur les paniers > 300 €.
Taux de fraude résiduelle après SCA : 0,06 % sur l’e-commerce FR.

C’est ce que l’agentic risque de modifier, dans un sens ou dans l’autre.

2. Les trois flows SCA en paiement agentique

Comment un paiement initié par un agent IA peut-il respecter SCA ? Trois architectures coexistent.

Flow 1 : SCA classique 3DS2

L’agent finalise la commande, le marchand initie le paiement via Stripe/Adyen, l’émetteur exige 3DS2. L’utilisateur reçoit la notification 3DS2 sur son téléphone et authentifie.

Avantage : zéro changement réglementaire, fonctionne avec tous les émetteurs.

Inconvénient : casse la friction zéro qui fait la valeur de l’agentic. L’utilisateur converse avec ChatGPT, valide la commande, puis doit basculer dans son app bancaire pour authentifier. Taux d’abandon estimé 15-20 % (vs 4 % en e-commerce classique).

C’est le fallback systématique quand les deux flows suivants ne sont pas disponibles. Utilisé pour les cartes émises par des banques qui n’ont pas signé d’accord de délégation avec OpenAI/Google/Mistral.

Flow 2 : SCA déléguée

L’agent (ChatGPT, Gemini, etc.) capture l’authentification biométrique de l’utilisateur dans son app (Face ID, Touch ID), et délègue cette authentification à l’émetteur via un protocole standardisé (EMV 3DS Delegated Authentication ou équivalent propriétaire).

L’émetteur reconnaît la délégation, accepte la transaction sans déclencher 3DS2 supplémentaire. Le marchand reçoit une transaction comme une SCA classique réussie.

Avantage : friction zéro pour l’utilisateur. Conserve le taux de conversion natif de l’agentic.

Inconvénient : nécessite un accord contractuel entre l’opérateur de l’agent et chaque réseau de cartes (Visa, Mastercard, Amex, CB) et idéalement chaque grand émetteur. OpenAI a signé avec Visa et Mastercard en septembre 2025. Pour CB en France, un protocole spécifique a été validé par le Groupement des Cartes Bancaires en janvier 2026.

Statut FR mai 2026 : Instant Checkout via OpenAI utilise la SCA déléguée sur les cartes Visa, Mastercard et CB françaises émises par les 12 principales banques (BNP Paribas, Crédit Agricole, Société Générale, BPCE, Crédit Mutuel, La Banque Postale, etc.). Les néobanques (Revolut, N26, Bunq) et certaines banques régionales fallback en 3DS2 classique.

Flow 3 : SCA via mandate AP2

C’est le flow le plus récent et le plus élégant conceptuellement. Le payment-mandate AP2 signé cryptographiquement par l’utilisateur est la SCA, parce qu’il contient les éléments d’authentification (signature de possession + biométrique de l’inhérence).

L’émetteur reçoit la transaction accompagnée du mandate AP2 signé, vérifie la signature, accepte sans 3DS2 supplémentaire.

Avantage : friction zéro, conformité claire, traçabilité forte (le mandate est un audit trail cryptographique).

Inconvénient : nécessite que l’émetteur reconnaisse AP2. À mai 2026, Stripe Issuing supporte AP2, Adyen a annoncé le support pour Q3 2026, les émetteurs traditionnels FR sont en cours d’évaluation. La pratique réelle est donc encore limitée aux cartes émises par Stripe, certains fintechs, et quelques pilotes côté Visa/Mastercard.

Récapitulatif des flows

Flow	Friction utilisateur	Couverture cartes FR 2026	Conformité ACPR
SCA classique 3DS2	Élevée	100 %	Acquise depuis 2019
SCA déléguée	Zéro	~85 % (top 12 banques)	Validée février 2026
Mandate AP2	Zéro	< 5 % (pilotes)	En construction H2 2026

3. La position française : ACPR et CB

L’ACPR a validé la SCA déléguée pour l’agentic en février 2026

Position ACPR publiée le 18 février 2026 (note 2026-02 sur “L’authentification forte du client dans le contexte des agents IA”) :

La SCA déléguée par un agent IA conforme aux standards EMV 3DS Delegated Authentication est reconnue comme satisfaisant aux exigences SCA de DSP2.
Conditions : l’authentification biométrique doit être réalisée par un système certifié (Apple Face ID/Touch ID, Android Biometric, ou équivalent), l’opérateur de l’agent doit avoir signé un accord cadre avec le réseau de cartes, et la traçabilité doit être préservée (logs cryptographiques conservés 10 ans).
Cette validation ne couvre pas explicitement le mandate AP2, qui reste en évaluation.

Côté pratique : tu n’as rien à faire spécifiquement, c’est OpenAI, Google et Mistral qui ont signé les accords nécessaires.

CB et le marché FR

Le Groupement des Cartes Bancaires (CB) a publié en janvier 2026 un addendum à ses spécifications techniques pour intégrer les flows agentiques. Trois points clés :

Les cartes CB sont éligibles à la SCA déléguée via les agents IA listés au catalogue CB.
Le taux d’exemption TRA reste applicable indépendamment du canal d’initiation.
La fraude sur les transactions agentiques est statistiquement plus basse (-30 %) que sur les transactions e-commerce classiques (chiffres publication CB Q1 2026), ce qui améliore les taux d’exemption pour les marchands acceptant l’agentic.

Ce dernier point est sous-estimé : activer Instant Checkout améliore probablement ton taux d’exemption SCA global, donc ton taux de conversion sur l’ensemble de tes commandes.

PayPal, Apple Pay, Google Pay, Klarna

Ces wallets ont leur propre flow SCA, conforme DSP2.

Apple Pay : SCA via Face ID/Touch ID, reconnu comme SCA déléguée native depuis 2019.
Google Pay : équivalent côté Android, reconnu également.
PayPal : SCA via app PayPal, conforme.
Klarna : SCA conforme via app, plus complexité sur les paiements fractionnés.

Sur ChatGPT Instant Checkout, OpenAI propose en priorité Apple Pay et Google Pay, qui sont les plus simples et les plus conformes. C’est intentionnel : ça maximise le taux de réussite sans risque réglementaire.

4. PSD3 : ce qui change à partir de 2026-2027

PSD3 (Payment Services Directive 3) et PSR (Payment Services Regulation, le règlement associé) sont les textes qui remplaceront progressivement DSP2. Adoptés par le Parlement européen en mai 2025, leur transposition est en cours.

Calendrier

Avril 2025 : publication au JOUE.
Avril 2026 : entrée en vigueur des règles RGPD-équivalentes pour les données de paiement (incluse dans PSR, directement applicable).
Avril 2027 (estimation) : entrée en vigueur des règles SCA mises à jour, après transposition par les États membres.
Avril 2028 : entrée en vigueur des règles Open Finance étendues.

Note : la transposition FR est attendue en projet de loi en 2026, débat parlementaire H1 2027.

Les changements clés pour l’agentic

Changement 1 : reconnaissance explicite des agents IA. PSD3 article 88 reconnaît explicitement que l’initiation d’un paiement par un agent IA mandaté constitue un “ordre de paiement initié par l’utilisateur via un mandataire” et est éligible aux flows SCA standardisés. Cadre juridique clarifié.

Changement 2 : responsabilité de la fraude clarifiée. PSD3 article 75 redistribue la charge de la preuve en cas de fraude. Pour les transactions agentiques :

Si l’agent a fait défaut (faille de sécurité dans le mandate, défaillance de l’authentification déléguée), responsabilité de l’opérateur de l’agent.
Si l’utilisateur a négligé son authentification (partage de l’app, biométrie compromise), responsabilité de l’utilisateur.
Si le marchand a fraudé (faux site, faux produit), responsabilité du marchand.
L’émetteur reste responsable des défaillances système.

Pour un marchand légitime, PSD3 améliore ta protection en cas de litige sur une commande agentique : ce n’est pas à toi de prouver la conformité du flow, c’est à l’agent et à l’émetteur.

Changement 3 : APIs Open Finance étendues. PSD3 étend l’obligation de standardisation des APIs aux services d’agrégation et de paiement IA. Concrètement, tu pourras connecter des agents bancaires (Open Finance) à des agents commerciaux sans intégration custom. Ouvre la voie au B2B agentic à grande échelle.

Changement 4 : SCA continue obligatoire. Pas d’allègement, plutôt l’inverse. PSD3 confirme que la SCA est obligatoire sur toutes les transactions électroniques sauf exemptions listées (similaires à DSP2). L’agent IA ne crée pas de nouvelle exemption.

Implications pratiques pour ton stack

Si tu utilises Stripe, Adyen, Shopify Payments, ou un PSP majeur, ils gèrent la transition DSP2 → PSD3 automatiquement. Tu n’as rien à faire côté technique. Côté juridique, mise à jour de tes CGV sur les conditions de paiement entre 2026 et 2028 selon le calendrier de transposition FR.

Si tu opères ton propre PSP ou tu es une fintech émettrice, c’est un projet à scoper sérieusement. Compter 6-12 mois de dev + juridique selon ton scope.

5. Pratique : ce que le marchand FR doit faire

Ce qui est gratuit et automatique

Sur Shopify avec Stripe ou Shopify Payments :

SCA classique 3DS2 : gérée nativement.
SCA déléguée pour Instant Checkout : gérée nativement, aucune configuration.
Routing des exemptions : géré par Stripe via leur moteur “Adaptive Authentication”.
Conformité PSD3 à venir : géré par Stripe/Shopify dans leur mise à jour platform.

Concrètement, pour un marchand mid-market FR avec un setup standard, il n’y a rien à configurer pour accepter les paiements agentiques en conformité.

Ce qui mérite ton attention

Ne pas désactiver 3DS dans tes règles anti-fraude Stripe ou Adyen. Certaines équipes “optimisent” en désactivant 3DS sur les commandes < 200 € pour pousser les exemptions. Si tu fais ça, tu casses le flow Instant Checkout. Laisser Stripe gérer.
Vérifier les règles Radar custom (Stripe Radar). Si tu as des règles “block if no 3DS” ou similaire, elles peuvent bloquer les transactions Instant Checkout. À auditer.
Monitor les déclins sur les transactions taguées chatgpt-instant-checkout. Un taux anormalement élevé peut indiquer un problème de routing émetteur, à remonter à Stripe.
Communiquer avec ton banquier acquéreur. Si ta volumétrie e-commerce est > 1 M€/an, ton acquéreur (BNP Paribas Mercanet, Crédit Agricole CA-PaySys, Worldline Payzen, etc.) doit savoir que tu acceptes les commandes agentiques. Pas obligatoire mais bonne pratique.

Ce que tu n’as pas à faire

Tu n’as pas à signer de contrat spécifique avec OpenAI ou Google.
Tu n’as pas à modifier ton intégration paiement.
Tu n’as pas à devenir agréé établissement de paiement.
Tu n’as pas à changer d’acquéreur.

6. Cas spéciaux fintech et B2B

Si tu es fintech émettrice (cartes virtuelles pour entreprise, néobanque B2B, programme de cartes corporate), le sujet est plus dense. Quatre points.

Point 1 : implémenter la SCA déléguée

Tu dois implémenter le protocole EMV 3DS Delegated Authentication côté ton émission. C’est un projet de 4-8 mois selon ta plateforme (Marqeta, Stripe Issuing, Adyen Issuing, ou stack maison).

Bénéfice : tes cartes deviennent éligibles aux flows agentiques avec friction zéro, ce qui est un argument commercial significatif sur le B2B.

Point 2 : signer les contrats réseau

Visa et Mastercard ont des programmes “Delegated Authentication for AI Agents”. Conditions d’adhésion : volumétrie minimale, scoring fraude, gouvernance documentée. Compter 3-6 mois de négociation contractuelle.

Point 3 : intégrer AP2

Si tu veux être à la pointe et préparer l’après-PSD3, implémenter AP2 côté émetteur. Stripe Issuing l’a fait, c’est un avantage compétitif sérieux pour 2027.

Effort estimé : 2-4 mois de dev + audit cryptographique + audit juridique.

Point 4 : conformité DSP2 sur les mandats de longue durée

Spécificité B2B : les mandats agentiques (via intent-mandate et cart-mandate) peuvent durer plusieurs mois (consommables, MRO récurrent). La SCA renouvelée tous les 6 mois reste obligatoire sous DSP2 (article 97). Comment renouveler une SCA sur un mandate déjà actif sans casser le flow ?

Réponse technique : protocole AP2 prévoit un mécanisme de re-certification du mandate sans nouvelle authentification biométrique, via une vérification d’activité de l’utilisateur (présence dans l’app dans les 30 derniers jours, par exemple). Ce mécanisme est en cours de validation par l’EBA et l’ACPR.

Si tu opères du B2B agentic avec mandats long terme, suivre de près les guidelines EBA H2 2026.

7. Les chiffres et études à connaître

Adoption de la SCA déléguée

Stripe Q1 2026 report : 38 % des transactions Instant Checkout via SCA déléguée, 55 % via SCA classique 3DS2, 7 % via wallet natif (Apple Pay, Google Pay).
Adyen Q1 2026 report : pas encore d’agrégation Instant Checkout publiée séparément.

Taux d’abandon SCA

SCA classique 3DS2 sur Instant Checkout : 18 % d’abandon (vs 4 % sur e-commerce classique). L’utilisateur attend dans une conversation, perd le contexte.
SCA déléguée : 2 % d’abandon. Quasi-équivalent au flow no-SCA.
Mandate AP2 : 1 % d’abandon sur les pilotes Stripe Issuing.

Fraude

Transactions agentiques globales : taux de fraude 0,04 % (vs 0,08 % e-commerce classique). Statistique CB + Visa Q1 2026.
L’agent IA réduit la fraude parce qu’il a une couche d’authentification supplémentaire (compte agent + biométrique) et que les patterns de comportement sont plus normalisés.

Cas de litige

Pas de jurisprudence française connue à mai 2026 sur un litige paiement agentique.
Quelques cas aux US (recours collectifs en cours sur Amazon Alexa Voice Shopping, anciens recours qui ne s’appliquent pas directement à l’agentic moderne).
Position défensive recommandée : conserver les mandates AP2 et les logs SCA pour 10 ans (cohérent avec l’obligation comptable FR).

8. FAQ

Mon site accepte les paiements via Stripe. Suis-je conforme par défaut ?

Oui, pour Instant Checkout et flows agentiques équivalents. Stripe gère SCA, exemptions, routing.

Et si j’utilise un PSP plus petit (Mollie, Lemon Way, MangoPay, etc.) ?

Vérifier que ton PSP supporte 3DS2 et que ses partenariats émetteurs incluent les flows agentiques. Mollie et MangoPay sont à jour, Lemon Way en cours de mise à niveau (Q3 2026 annoncé).

Si la SCA échoue sur une commande Instant Checkout, que se passe-t-il ?

La transaction est déclinée. L’utilisateur est notifié dans l’interface ChatGPT et invité à réessayer ou changer de moyen de paiement. Pas de commande, pas de débit, rien chez toi.

Et le 3D Secure 2.2 ou 2.3 ?

Versions plus récentes du protocole 3DS2, supportant plus de cas d’usage et meilleur taux d’exemption. Mis à jour côté Stripe et Adyen automatiquement. Pas de geste marchand requis.

Le paiement agentique est-il considéré comme du card-not-present (CNP) ?

Oui, mais avec un statut spécial “agent-initiated CNP” introduit par les réseaux en 2025. Différence opérationnelle minime côté marchand. Différence sur le taux d’interchange : -10 à -20 bp par rapport à CNP standard, donc légèrement plus rentable pour ton acquéreur.

Si je veux refuser les paiements agentiques, je peux ?

Oui. Désactiver Instant Checkout dans Shopify et l’Agentic Storefronts coupe l’accès. Mais tu n’as plus accès au canal de vente. Recommandation : ne pas refuser, accepter et monitorer.

PSP comme Bridge ou Powens (open finance), ils sont concernés ?

Oui, dans le scope PSD3 sur les services d’agrégation. Bridge a annoncé en mars 2026 un module dédié aux flows agentiques. À surveiller si tu utilises l’open finance dans ton stack.

CB versus Visa/Mastercard pour les paiements agentiques, différence ?

Pratiquement aucune en 2026 sur Instant Checkout. Les trois réseaux sont au même niveau de support SCA déléguée pour la France. À monitorer si tu opères dans d’autres pays EU (CB est FR-only).

Faut-il prévoir une augmentation des chargebacks sur l’agentic ?

Inversement, statistiquement moins. Les chargebacks sur transactions agentiques sont 30 % en dessous de la moyenne CNP (CB Q1 2026). Le mandate AP2 et la délégation SCA réduisent les contestations.

Conclusion : un cadre qui se stabilise vite

Le paiement agentique cohabite bien avec DSP2 grâce à trois flows SCA complémentaires. PSD3 va clarifier et stabiliser le cadre dans les 18-24 prochains mois. Côté marchand FR, l’effort technique et juridique est faible : ton PSP gère tout, ta conformité existante couvre.

Le vrai sujet stratégique n’est pas la conformité (gérable, voire améliorée par l’agentic via moins de fraude). C’est de bien comprendre les flows SCA pour ne pas saboter ton taux de réussite par des règles internes mal calibrées. Audit Stripe Radar / Adyen RevenueProtect = 1-2 jours de travail tech, valeur élevée.

Si tu veux un audit complet de ton stack paiement dans la perspective de l’agentic (flows SCA actuels, règles anti-fraude, exemptions, conformité PSD3), demande un audit. On délivre un rapport sous 10 jours ouvrés avec les corrections à apporter et l’estimation d’impact sur ton taux de conversion.

Ressources liées

Ressource gratuite · PDF 4 pages

Téléchargez votre guide de mise à niveau IA

Le référentiel que nos merchandisers appliquent fiche par fiche : 8 dimensions, 30 critères techniques, une grille de scoring et un template de priorisation top 100 / top 100-300 / longue traîne.

30 points de contrôle, vérifiables en 3 à 5 minutes par fiche
Sourcé Schema.org, mis à jour 2 fois par an
Téléchargement immédiat, pas d'inscription newsletter