E-commerce

Authentifier un client avant de répondre : bonnes pratiques SAV e-commerce

Authentifier un client avant de répondre : bonnes pratiques SAV e-commerce

28 juin 2026

Un client écrit : « Changez l'adresse de ma commande #4521 » ou « Remboursez-moi, produit défectueux ». L'agent veut aider vite. Mais le demandeur est-il vraiment l'acheteur ? Sans authentification client, vous exposez commandes, adresses et remboursements à des tiers ou à de simples erreurs.

Authentifier ne veut pas dire traiter chaque visiteur comme un suspect. C'est appliquer le bon niveau de vérification selon la sensibilité : info publique, donnée personnelle ou action financière. Shopify recommande une friction risk-based : step-up uniquement quand le risque augmente (Shopify, authentification client 2026).

Ce guide #122 couvre quand authentifier, 3 niveaux concrets, protocoles par demande, bot et UX. Complète sécurité support (#121) avec l'angle méthodes opérationnelles d'authentification avant adresse, remboursement ou modification commande.

Sommaire

Pourquoi authentifier le client avant certaines réponses ?

L'authentification client support protège acheteurs et boutique avant toute action sensible.

Risques sans vérification

  • Fraude support : tiers avec numéro commande volé

  • Erreur destinataire : email forwardé partagé

  • RGPD : divulgation PII non autorisée

  • Remboursement abusif : double dip ou commande ajena

Ce n'est pas de la paranoïa

Les banques authentifient avant virement. Le SAV e-commerce applique la même logique sur changement adresse ou refund. Vrai client authentifié en 30 secondes ; fraudeur bloqué sans accès données.

Exemple concret

Escroc avec confirmation commande forwardée publiquement. Demande changement adresse. Boutique expédie chez fraudeur. Vrai client initie chargeback. Auth mal calibrée = abandon ticket ; auth absente = fraude.

Voir sécurité support (#121).

Quand faut-il authentifier, et quand s'en passer ?

Savoir quand authentifier évite friction inutile et failles dangereuses.

Pas d'auth requise

Policy retour site, horaires, specs produit pré-achat, promo publique, contact marque, délai réponse support général.

Auth légère (niveau 1)

WISMO, délai livraison commande, lien tracking : order # + email match Shopify.

Auth standard (niveau 2)

Détail articles commande, initier retour, historique achats : email match + challenge factuel.

Auth forte (niveau 3)

Changement adresse, remboursement, modification compte, annulation, facture TVA, données sensibles complètes.

Arbre décision agent

L'action modifie argent ou livraison ? Oui → auth standard minimum. Non → info publique ou niveau 1. Commande > 200 € ou VIP CRM validé : niveau +1. Cookie.solutions recommande des tiers de vérification alignés sur le risque de la demande (Cookie.solutions, vérification support 2025).

Voir prioriser demandes Shopify, support B2B.

Quels sont les 3 niveaux d'authentification support ?

Trois niveaux d'authentification standardisent vos protocoles SAV.

Niveau 1 : email match

Client fournit email + numéro commande. Agent ou bot vérifie email = order.email sidebar Gorgias. Insensible à la casse. Alias Gmail + comptent si match order.

Niveau 2 : email match + challenge

Question factuelle : code postal livraison, 3 derniers chiffres tél, prénom billing, SKU premier article, montant total (fourchette ± 5 €). Standard KBA : 2 facteurs sur 3.

Niveau 3 : compte client ou OTP

Shopify Customer Accounts connecté = auth implicite. Sinon OTP email 6 chiffres expire 10 min, 3 tentatives max, ou magic link page statut commande.

Matrice niveau × action

  • Tracking link : niveau 1

  • Détail items : niveau 2

  • Changement adresse : niveau 2 min, 3 si > 200 €

  • Remboursement : niveau 2 + manager, 3 si litige

  • Changement email compte : niveau 3 obligatoire

Step-up et échec

Niveau 1 passé puis demande refund : step-up niveau 2. Deux échecs challenge : tag auth_failed, refus poli, contact depuis email order original uniquement.

Quelles méthodes concrètes utiliser au quotidien ?

Cinq méthodes d'authentification couvrent 99 % des cas Shopify DTC.

1. Email match (source de vérité)

order.email Gorgias sidebar. PayPal buyer email différent ? Vérifier les deux dans notes commande.

2. Challenge questions

Code postal = le plus fiable. Éviter montant exact au centime ou questions trop difficiles.

3. Compte client Shopify

New Customer Accounts : client logged in widget = badge authenticated. Agent voit customer ID lié. Passwordless OTP login côté compte réduit surface attaque credentials (Shopify, fraud management 2026).

4. OTP email et magic link

Code 6 chiffres envoyé email order. Lien « gérer ma commande » prouve accès boîte mail.

5. Dernier recours manager

4 derniers chiffres CB + preuve achat si client ne retrouve pas email. Jamais numéro commande seul, nom seul, IP ou caller ID téléphone non vérifié.

Voir intégration Shopify.

Quels protocoles appliquer par type de demande ?

Protocoles authentification par demande à documenter dans le playbook.

WISMO

  1. Demander order # + email

  2. Vérifier match Shopify

  3. Si OK : statut + lien tracking carrier

  4. Si fail : expliquer sécurité, aucune info

Changement adresse

  1. Vérifier statut unfulfilled

  2. Order # + email match + challenge code postal

  3. Confirmer nouvelle adresse par écrit

  4. Modifier Shopify, confirmer client

  5. Si shipped : refuser, options carrier redirect

Remboursement

  1. Order # + email match + 2 challenges

  2. Vérifier policy retour/délai, pas refund déjà processed

  3. Manager si > seuil ou exception

  4. Refund depuis sidebar Shopify, email confirmation

Cas particuliers

Cadeau : acheteur original seul modifie avant livraison. Abonnement Recharge : auth niveau 2 minimum. Gift card refund : niveau 3 + manager. Reset password : flow Shopify officiel uniquement.

Voir modification commande, support abonnement.

Comment adapter l'authentification à chaque canal ?

L'authentification multicanal doit rester cohérente entre email, chat, téléphone et social.

Email entrant

Vérifier From: vs order.email. Si différent : répondre « contactez depuis email commande » ou lancer challenge. From: spoof possible : challenge même si match visuel.

Chat widget

Bot collecte order # + email avant info. Pre-fill si customer logged in. Session auth valide 30 min.

Téléphone

Caller ID non fiable. Même protocole order # + email + challenge verbal. Callback numéro order si match.

Instagram / WhatsApp DM

Canal non vérifié par défaut. Info publique OK. Actions sensibles : rediriger email order ou compte client. Marketplace Amazon : auth via plateforme, pas email séparé.

Voir personnaliser par statut commande.

Comment intégrer l'authentification au bot IA ?

Le bot IA doit vérifier avant toute divulgation commande. Les numéros séquentiels sont devinables : matcher owner email avant réponse, jamais le jugement du modèle seul (Nylas, order-status agent 2026).

Flow bot standard

  1. Question commande → demander order # + email

  2. API Shopify verify match

  3. Si OK : réponse intent autorisé

  4. Si fail : message sécurité + magic link option

  5. Action sensible : handoff agent niveau 2

Intents auth-aware

track_order niveau 1 post-verify. order_details niveau 2. address_change et refund_request : agent only. account_access : magic link Shopify. Rate limit 5 tentatives/order #/heure.

Interdit bot sans verify

Adresse complète, téléphone, montant refund processed, historique achats complet.

Voir prioriser automation (#120).

Comment authentifier sans frustrer le vrai client ?

L'UX authentification protège sans créer de suspicion.

5 principes

  • Expliquer pourquoi : protéger votre commande

  • Minimum nécessaire : pas over-auth WISMO simple

  • Une fois par session : auth valide 30 min chat

  • Alternative claire : email order ou compte client

  • Ton empathique : pas accusation

Macro AUTH-EXPLAIN

« Afin de protéger vos informations et votre commande, nous devons vérifier que vous êtes l'acheteur. Confirmez l'email utilisé et [challenge]. Cela ne prend qu'un instant. »

Client mécontent ou bloqué

Escalade lead, ne pas céder sans verify. Client ne retrouve pas email : spam, typo, compte client reset. Mobile : clavier numérique pour code postal. Accessibilité : OTP email si lecture difficile.

Voir templates support, support mobile-first.

Comment former les agents et déployer les macros AUTH-* ?

La formation authentification transforme le protocole en réflexe agent.

Bibliothèque macros AUTH-*

  • AUTH-EXPLAIN : pourquoi vérifier

  • AUTH-REQUEST : order # + email

  • AUTH-CHALLENGE : code postal ou SKU

  • AUTH-FAIL : refus poli mismatch

  • AUTH-OTP : envoi code

  • AUTH-ESCALATE : handoff manager

Module formation 45 min

Matrice niveaux, demo Gorgias sidebar, roleplay fraude changement adresse, roleplay client pressé, quiz 8 scénarios.

Erreurs fréquentes

Skip auth si voix familière. Accepter email proche (john@gmail vs johnn@gmail). Divulguer avant verify. Challenge trop dur. Pas documenter échec. Probation 30 j : zero refund solo sans co-sign superviseur.

Voir playbook DTC (#118).

Comment documenter, taguer et auditer la conformité ?

Sans documentation auth, impossible de prouver conformité en litige ou chargeback.

Tags Gorgias

auth_passed, auth_failed, auth_bypass_vip (CRM pré-validé), auth_escalated, sensitive_action.

Log obligatoire

Note ticket : méthode auth, challenge utilisé, agent, timestamp. Audit mensuel sample 20 sensitive_action : 100 % auth documentée.

KPI auth

  • Auth fail rate : tentatives frauduleuses

  • CSAT segment auth : friction mesurée

  • Time to auth : cible < 60 sec chat

  • Compliance sensitive : 100 % logged

RGPD

Auth = intérêt légitime protection données. Logs conservés 12 mois min si investigation fraude. Pack défense chargeback inclut preuve auth acheteur légitime.

Voir commandes frauduleuses, prévention chargeback.

Comment Qstomy automatise l'authentification client ?

Qstomy intègre l'authentification client sans friction inutile.

Fonctionnalités

  • Order email verify : match Shopify temps réel

  • Challenge flow : code postal configurable

  • Session 30 min : pas re-demander même chat

  • Sensitive block : refund/adresse handoff auto

  • Rate limit : anti brute force order #

  • Audit log : export conformité

Scénario DTC chiffré

Boutique 600 tickets/mois. Avant protocole : 1 changement adresse frauduleux/trimestre. Après Qstomy verify + challenge bot : 12 auth_failed/mois bloqués, zéro incident, CSAT segment auth 4,5, time to auth 25 sec moyenne.

Setup 7 jours

  1. Activer verify email intents

  2. Configurer challenge code postal

  3. Block actions sensibles bot

  4. Sync tags auth_passed Gorgias

  5. Former agents module AUTH

  6. Tester 10 scénarios simulés

Explorez support IA, Shopify, demander une démo. Voir RGPD chatbot.

Quels playbooks opérationnels déployer cette semaine ?

Playbook 1 : matrice action × niveau auth

Rédigez 1 page Notion section 3. Post-it bureau agents. Délai 2 h.

Playbook 2 : audit 15 tickets sensibles

Export remboursements + changements adresse 30 j. Auth documentée sur 100 % ? Listez écarts. Délai 2 h.

Playbook 3 : macros AUTH-* Gorgias

Publiez EXPLAIN, REQUEST, CHALLENGE, FAIL. Lien playbook. Délai 1 h.

Playbook 4 : durcissement bot

Verify email avant WISMO, block refund/adresse, rate limit 5/h/order #, handoff flag security_review. Délai 1 journée.

Playbook 5 : formation agents 45 min

Demo sidebar, 2 roleplays, quiz 8 scénarios. Certification avant tickets sensibles solo. Délai 1 session.

Maillage utile

Authentifier, c'est respecter le vrai client en protégeant sa commande. Bien faite, l'authentification est invisible pour 99 % des acheteurs légitimes.

Enzo

28 juin 2026

Convertissez +2000 clients en moyenne par mois en utilisant Qstomy.

1ère IA Shopify dédiée à la conversion client au monde

200+ ecommerçants accompagnés

Abonnez-vous à la newsletter et obtennez un e-book personnalisé !

Solution no-code, sans connaissance technique requise. Une IA entrainée sur votre e-shop et non intrusive.

*Désabonnez-vous à tout moment. Nous n'envoyons pas de spam.

Abonnez-vous à la newsletter et obtennez un e-book personnalisé !

Solution no-code, sans connaissance technique requise. Une IA entrainée sur votre e-shop et non intrusive.

*Désabonnez-vous à tout moment. Nous n'envoyons pas de spam.