Directive sur les services de paiement II (DSP2) et authentification forte du client (SCA)

Ce que vous devez savoir

Strong customer authentication

À partir du 14 septembre 2019, une nouvelle directive européenne, la DSP2, entrera en vigueur dans l’Espace économique européen (EEE). Celle-ci vise à améliorer la sécurité des transactions de paiement en ligne et requiert de ce fait une authentification forte du client (SCA). Dès lors, les paiements en ligne de vos clients pourraient être impactés si vos solutions de paiement ne sont pas conformes d’ici là.

Cela vous semble très obscur et vous n’êtes pas sûr·e de ce que cela signifie pour vous ? Découvrez dans cet article quelques explications au sujet de cette nouvelle législation et son impact sur vos clients et votre établissement.

PSD2 regulation

Quel est l’objectif de la directive DSP2 ?

La directive DSP2 vise à rendre les paiements plus sûrs, à protéger vos clients et à garantir plus d’équité entre les prestataires de services de paiement nouveaux et existants. De ce fait, ces derniers, comme les banques, les émetteurs de cartes et les solutions technologiques, doivent apporter un nombre important de modifications à leurs opérations existantes. Cette directive a également un impact sur toute personne ou entreprise effectuant ou recevant des paiements en ligne, notamment les agences de voyage en ligne (OTA), les moteurs de réservation et les systèmes de gestion hôtelière (PMS).


What is SCA?

Qu’est-ce que la SCA ?

La directive DSP2 exige qu’un processus d’authentification forte du client (SCA) soit mis en place afin de valider tout paiement en ligne. Cette authentification a lieu si la banque émettrice (la banque du consommateur) et la banque acquéreuse (la banque vers laquelle les fonds du consommateur sont transférés) sont toutes deux situées dans l’EEE.

Dans le cadre de la directive DSP2, les consommateurs doivent recourir à une authentification forte, généralement par le biais d’un processus d’authentification à deux facteurs (2FA), pour approuver la quasi-totalité de leurs paiements en ligne. Ces facteurs sont :

  • Une information connue seulement du consommateur comme un code PIN ou un mot de passe.
  • Un objet que le consommateur possède comme une carte de paiement ou un téléphone mobile.
  • Une donnée biométrique du consommateur comme une identification faciale, une empreinte digitale ou une lecture de l’iris.


UNE INFORMATION QUE
LE CLIENT CONNAÎT

(code PIN ou mot de passe)

UN OBJET QUE
LE CLIENT POSSÈDE

(téléphone mobile ou carte bancaire)

UNE
DONNÉE BIOMÉTRIQUE

(identification faciale ou empreinte digitale)



3D Secure est un terme souvent employé en lien avec la SCA et correspond à la méthode utilisée par les prestataires de services de paiement pour effectuer cette authentification. Il s’agit d’un protocole maximisant la protection à la fois des commerçants et des consommateurs lors des paiements en ligne. Une transaction avec 3D Secure redirige le consommateur vers le site web de la banque émettrice de la carte afin d’autoriser le paiement. Dans le cadre de cette nouvelle directive DSP2, les prestataires de services de paiement doivent effectuer les ajustements nécessaires pour implémenter le protocole 3DS2.


How does SCA impact hotels?

Comment la SCA impacte-t-elle les hôteliers et les clients ?

La directive sur les services de paiement II (DSP2) aura un impact sur l’industrie du tourisme et de l’hôtellerie, en particulier dans le cadre des « réservations hotel collect » (c’est-à-dire lorsque l’hôtel détient les informations bancaires du client). Étant donné que la SCA requiert un processus d’authentification à deux facteurs, de nombreuses transactions hôtelières seront concernées, à la fois avant le séjour des clients (depuis la réservation jusqu’à leur arrivée) et après avoir quitté l’établissement.

Auparavant, une agence de voyage en ligne (OTA) ou un moteur de réservation en ligne pouvaient obtenir les données de carte bancaire du client afin de garantir la réservation sans avoir à procéder à une authentification des données de la carte ou de l’identité de la personne les saisissant.

Avec la directive DSP2, ce processus va changer.

À partir du 14 septembre 2019, les OTA et moteurs de réservation devront effectuer l’authentification SCA lors de la capture des données de la carte bancaire du client, peu importe si le paiement est effectué lors de la réservation ou ultérieurement (acompte différé, frais d’annulation ou de non-présentation, etc.). Pour vous permettre de réaliser une transaction avec la carte bancaire d’un client (souvent appelée opération initiée par le commerçant ou MIT), les données de cette carte et la confirmation que l’authentification SCA a bien été effectuée doivent être transmis à un réseau d’intermédiaires comme les agences de voyage en ligne, les moteurs de réservation et les passerelles de paiement. Cela signifie que vos paiements en ligne pourraient échouer si les données de carte bancaire ont été obtenues sans passer par l’authentification forte du client ou si aucune confirmation de celle-ci n’est disponible au moment où le montant doit être débité de la carte en question.


Que doivent faire les hôtels pour être conformes à la SCA ?

Les prestataires de services de paiement, comme les banques et passerelles de paiement, sont chargés de faciliter le processus d’authentification pour les clients effectuant des paiements en ligne. Toutefois, l’impact sur les paiements hôteliers n’est pas négligeable. Nous vous recommandons donc vivement de passer en revue vos méthodes et processus de paiement afin de déterminer l’impact que pourrait avoir la SCA sur votre activité. Voici quelques exemples de types de paiement auxquels faire attention :

Paiement lors de la réservationg (paiement total ou partiel au moment où la réservation est effectuée)
  • Assurez-vous que votre passerelle de paiement puisse authentifier de façon sécurisée la carte de votre client lorsque celui-ci effectue un paiement en ligne.
  • Les OTA auront la possibilité de demander la SCA pour toutes les réservations qui proviennent de leurs canaux respectifs. Vérifiez donc que vos canaux fournissent la confirmation de la SCA avec les données de paiement du client afin d’éviter tout problème lors des étapes suivantes du processus de paiement.
  • Renseignez-vous aussi pour savoir si vos agences de voyage en ligne vous enverront des cartes bancaires virtuelles permettant d’effectuer des transactions, étant donné que ces types de paiement ne sont pas concernés par la SCA.
Paiement différé (prépaiement avant l’arrivée et frais d’annulation ou de non-présentation)
  • Les opérations initiées par les commerçants (MIT) employant des cartes bancaires pré-enregistrées ne sont normalement pas soumises à la SCA. Toutefois, si la SCA n’a pas été effectuée lors de la capture des données de la carte et si la confirmation de la SCA n’a pas été transmise au prestataire de services de paiement, vous pourriez ne pas pouvoir traiter le paiement ultérieurement sans la présence de la carte. Dans l’optique de collecter les paiements, incitez les clients à payer au moment de leur réservation. Ceci implique de facturer également l’acompte couvrant le prépaiement ainsi que les frais d’annulation et de non-présentation.
Règlement du compte client à son départ (paiement du solde dû et des frais supplémentaires)
  • Réglez le paiement en présence du client avec présentation de sa carte (cela nécessite un terminal de paiement physique pour procéder au paiement, et donc d’une puce et d’un code PIN).
Paiement après le départ (départ sans payer, frais de minibar ou dégâts)
  • Il existe un risque que vous ne puissiez pas traiter ce type de paiement en utilisant une carte pré-enregistrée. Dès lors, à l’arrivée du client, nous vous recommandons de lui demander une autorisation préalable pour le montant total de la réservation comprenant également les frais supplémentaires, à l’aide de la lecture de la puce de sa carte bancaire et de son code PIN. Ainsi, vous pourrez débiter la carte de tout montant dû ultérieurement.

Vous ne savez pas comment vous préparer pour la directive PSD2 et la SCA ?

Voici une vidéo qui saura répondre à toutes vos questions sur l’authentification forte du client (SCA) dans le cadre de la nouvelle directive sur les services de paiement II (DSP2). Découvrez également l’impact que celle-ci pourrait avoir pour vous, vos clients et votre établissement.

Nous avons également mis au point un petit guide pratique que vous pouvez télécharger pour avoir toutes les informations dont vous avez besoin à portée de main.

Téléchargez notre guide pratique

 

SiteMinder et la SCA

Les paiements en ligne réalisés par le biais de notre moteur de réservation (TheBookingButton) au moment de la réservation sont conformes aux normes de la SCA dans les pays où notre solution Paiements SiteMinder est disponible. Elle sera disponible dans le reste de l’Espace économique européen au cours de l’année 2020.

Le channel manager de SiteMinder acceptera les nouvelles méthodes de paiement en ligne qui font leur apparition avec cette directive, comme l’utilisation de cartes de paiement virtuelles. Notre produit pourra également recevoir la confirmation de la part des sites de réservation que l’authentification SCA a bien été effectuée, et transmettre cette information à votre PMS, en plus des données de carte bancaire du client. Nous serons donc prêts dès que nos partenaires de connectivité seront en mesure d’envoyer cette confirmation.

Nous contacter (lien vers notre service client)

Foire aux questions

La directive sur les services de paiement (DSP2) est une nouvelle réglementation en vigueur dans l’Espace économique européen (EEE) qui vise à améliorer la sécurité des transactions de paiement en ligne à la fois pour les commerçants et pour les consommateurs. Cette directive a pour but de réduire le risque de fraude, en particulier lorsque le commerçant n’est pas en présence du détenteur de la carte bancaire au moment du paiement (lorsque celui-ci effectue un paiement en ligne par exemple).

La directive DSP2 requiert une authentification forte du client (SCA), qui entrera officiellement en application le 14 septembre 2019.

La SCA exige des prestataires de services de paiement qu’ils vérifient que le client à l’origine d’un paiement en ligne a légalement le droit de faire ce paiement. Par exemple : un commerçant en ligne (comme vous) doit pouvoir certifier qu’un client effectuant une réservation en ligne est bien le détenteur de la carte bancaire. L’authentification fait partie du processus de paiement en ligne et requiert de ce client qu’il présente au moins deux des éléments suivants :

  • Une information connue seulement de lui-même comme un code PIN ou un mot de passe.
  • Un objet en sa possession comme une carte de paiement ou un téléphone mobile.
  • Une donnée biométrique comme une identification faciale, une empreinte digitale ou une lecture de l’iris
  • La SCA est réalisée par le biais d’un protocole appelé 3D Secure (3DS), utilisé par la banque du détenteur de la carte pour vérifier que celui-ci est bien à l’origine d’une transaction donnée. Cette authentification est généralement effectuée au moyen d’un code envoyé sur le téléphone mobile du consommateur. Le protocole 3DS a ensuite été optimisé et est maintenant connu sous le nom de 3DS2, dans le but d’offrir une meilleure expérience en ligne au client.

Bien comprendre les différentes étapes du processus de paiement des clients est indispensable pour se conformer à cette nouvelle directive. En règle générale, les étapes suivantes doivent se conformer à la directive DSP2 :

  • Paiement lors de la réservation (paiement total ou partiel pour lequel une authentification SCA peut être exigée lorsque le client effectue sa réservation)
  • Paiement différé (prépaiement avant l’arrivée et frais d’annulation et de non-présentation)
  • Règlement du compte client à son départ (paiement du solde dû et des frais supplémentaires)
  • Paiement après le départ (départ sans payer, frais de minibar ou dégâts)

Lorsqu’un client effectue une réservation en ligne, les données de sa carte bancaire sont pré-enregistrées de façon sécurisée pour permettre à l’hôtelier de traiter le paiement ultérieurement, par exemple lorsque le client n’est plus en ligne. Toutefois, cela rend le paiement de l’acompte, du solde, des suppléments ou encore des frais d’annulation ou de non-présentation difficile étant donné que le client n’est alors pas disponible pour procéder à l’authentification SCA. Les paiements par le biais de cartes pré-enregistrées risquent d’être déclinés par la banque émettrice si l’authentification SCA n’a pas lieu. Afin d’éviter tout éventuel désagrément de ce genre, assurez-vous d’obtenir les données de carte bancaire du client à son arrivée en employant une méthode de paiement conforme et demandez-lui une autorisation préalable de débiter sa carte ultérieurement en cas de besoin.

Voici quelques exemples de méthodes de paiement conformes à la directive DSP2 :
  • Les solutions technologiques, comme les moteurs de réservation ou les systèmes de gestion hôtelière, qui disposent d’une passerelle de paiement en ligne conforme.
  • Les transactions réalisées par le biais d’un terminal de paiement physique nécessitant la lecture de la puce de la carte et un code PIN, puisqu’elles requièrent la présence du client et de sa carte bancaire.
  • Les paiements réalisés avec Apple Pay étant donné que le client doit utiliser son téléphone mobile ainsi que la reconnaissance faciale ou la lecture d’une empreinte digitale pour effectuer le paiement.

Afin de réduire les cas de fraude à la carte de paiement, la pression vis-à-vis de la règlementation concernant les paiements reçus par les hôtels est de plus en plus importante. Avec l’implémentation de la SCA, votre établissement risque de ne pas percevoir les paiements en cas de non-conformité ou de connaître éventuellement une baisse du taux de conversion, du taux d’occupation et de ses revenus à cause d’un processus de réservation plus complexe. La gestion des frais d’annulation et de non-présentation sera également plus compliquée puisque le paiement par le biais d’une carte pré-enregistrée ne sera plus possible.

L’ensemble de l’industrie travaille activement à satisfaire les exigences de la SCA, et SiteMinder collabore également avec ses partenaires tels que les OTA, les PMS et les passerelles de paiement, afin de veiller à rendre ses produits conformes à cette nouvelle directive.

L’objectif de la directive DSP2 et de la SCA est de protéger les consommateurs et les commerçants. Bien qu’un impact soit à prévoir sur le taux de conversion, les bénéfices de cette nouvelle législation devraient rapidement prendre le dessus sur cet obstacle initial.

Pour éviter tout éventuel désagrément en attendant que les solutions soient pleinement conformes, envisagez d’autres flux de paiement pour ne pas avoir à vous soumettre à la SCA ou à simplifier son usage. Voici quelques conseils :

  • Réglez le paiement en présence du client étant donné qu’il pourra présenter sa carte bancaire et utiliser son code PIN.
  • Demandez le paiement intégral directement au moyen de votre moteur de réservation afin de minimiser le risque de ne pas pouvoir débiter une carte pré-enregistrée ultérieurement.
  • Distribuez votre inventaire sur les OTA qui fournissent une carte bancaire virtuelle puisque ce type de paiement n’est pas soumis à cette législation.

Les principales transactions non soumises à la SCA sont :

  • Les transactions de faible valeur : toute transaction de moins de 30 € peut être exemptée de l’authentification SCA. Toutefois, il n’est pas possible d’effectuer plus de cinq transactions consécutives ou qui dépassent un montant total de 100 €. Une fois ces limites atteintes, vous devrez procéder à l’authentification SCA.
  • Les clients sur liste blanche : après une première transaction vérifiée par l’authentification SCA, un consommateur peut placer un commerçant sur sa liste blanche afin de ne plus avoir à procéder à la SCA dans le cadre de transactions futures. Pour activer la fonctionnalité de la liste blanche, les commerçants doivent implémenter le protocole 3DS2 (voir la définition ci-dessous).
  • Les paiements professionnels et les cartes de crédit virtuelles : les cartes d’entreprises qui sont au nom de l’entreprise (et non pas au nom d’un individu) et les cartes virtuelles ne sont pas soumises à la SCA.
  • Les opérations initiées par les commerçants (ou MIT) : les paiements effectués au moyen de cartes pré-enregistrées, lorsque le client n’est pas présent lors du processus de paiement (hors session), peuvent être considérés comme des opérations initiées par les commerçants (MIT). En théorie, une MIT n’est pas soumise à la SCA. En pratique toutefois, marquer un paiement comme étant une « opération initiée par le commerçant » revient à soumettre une requête d’exemption transmise à la banque qui devra décider si l’authentification est nécessaire ou non pour cette transaction.

La commande par courrier ou téléphone (MOTO) : ce type de transaction n’est pas soumis à la SCA étant donné qu’il est complexe de mettre en place un processus d’authentification à deux facteurs par téléphone, fax ou e-mail.

Les OTA auront la possibilité de demander la SCA au moment de l’obtention des données de la carte bancaire lors de la réservation.

Au cours de la période précédant l’entrée en vigueur de la directive DSP2, prévue pour le 14 septembre 2019, les OTA offriront des informations et recommandations relatives à l’implémentation de la directive à leurs clients et partenaires. Beaucoup d’OTA proposeront sans doute à leurs partenaires situés dans l’Espace économique européen (EEE) des systèmes de paiement « OTA collect » et fourniront une carte de crédit virtuelle aux établissements plutôt que les données de la carte bancaire du client. Les cartes de crédit virtuelles ne sont pas soumises à la SCA. Dès lors, cette solution pourrait être une option pour certains, même si celle-ci ne sera pas idéale pour tous.

Nous vous conseillons vivement de contacter vos OTA partenaires afin de vous assurer qu’elles travaillent avec des prestataires de services de paiement qui seront conformes à partir du 14 septembre.

L’instance de régulation du secteur financier du Royaume-Uni (Financial Conduct Authority – FCA) a affirmé qu’une « phase d’implémentation » d’une durée de 18 mois est prévue à compter du 14 septembre 2019. Cela signifie que cette instance ne prendra pas de mesures contre les banques et les prestataires de services de paiement au Royaume-Uni si ceux-ci ne sont pas conformes à la SCA à partir du 14 septembre 2019. Toutefois, la conformité vis-à-vis de l’authentification SCA devra être effective au terme de la période de 18 mois annoncée. Enfin, un paiement effectué par un client dont la banque ne se situe pas au Royaume-Uni (par exemple, quelqu’un voyageant depuis un pays européen) pourrait être décliné si la transaction ne répond pas aux exigences de la SCA. En effet, la décision d’accepter ou de décliner un paiement revient à la banque émettrice (celle du détenteur de la carte).

Cette nouvelle législation concerne seulement les établissements situés dans l’un des pays faisant partie de l’Espace économique européen (EEE). L’authentification SCA est demandée lorsque la banque émettrice (la banque du consommateur) et la banque acquéreuse (la banque vers laquelle les fonds du consommateur sont transférés) sont toutes deux situées dans l’EEE.

Néanmoins, des variantes similaires à la directive DSP2 et SCA pourraient être implémentées à travers le monde dans les années à venir.

Nous vous recommandons de contacter votre prestataire de services de paiement afin de vous assurer qu’il sera conforme à cette directive d’ici le 14 septembre 2019.

Définitions

DSP2 La directive sur les services de paiement II fut introduite par l’Union européenne dans l’optique d’unifier et de créer un marché unique pour les paiements européens.
SCA Requise par la directive DSP2, l’authentification forte du client vise à rendre les paiements en ligne plus sûrs et à réduire le risque de fraude.
3DS Le protocole 3DS, autrement appelé 3D Secure, est un processus d’authentification employé par les banques émettrices pour vérifier que le détenteur de la carte est bien à l’origine d’une transaction donnée. Pour ce faire, celui-ci reçoit généralement un code sur son téléphone mobile, qu’il doit insérer dans le champ prévu à cet effet sur la page web sur laquelle le paiement s’effectue afin que ce dernier puisse être traité.
3DS2 Il s’agit d’une version optimisée du protocole 3DS qui vise à offrir aux consommateurs une meilleure expérience en ligne. Le protocole 3DS2 est désormais le standard auquel les nouveaux prestataires de services de paiement doivent se référer pour être conformes à la directive DSP2.
UE L’Union européenne, composée de 28 états membres.
EEE L’Espace économique européen, composé des pays de l’Union européenne ainsi que de la Norvège, de l’Islande et du Liechtenstein.
SEPA Introduit par l’Autorité bancaire européenne, le règlement de l’espace unique de paiement en euros (ou SEPA) rassemble une série de normes et de règles techniques relatives aux services et infrastructures de paiement en Europe.
MIT Une opération initiée par le commerçant (MIT) est une opération au cours de laquelle le commerçant collecte le paiement au nom du client, en son absence.
Carte de crédit virtuelle (VCC) Une carte de crédit virtuelle est un numéro virtuel de carte de crédit employé dans le cadre d’achats en ligne, souvent pour une transaction unique.
MOTO Canal de commande par courrier ou téléphone.
OLO One Leg Out — Une transaction est qualifiée de « one leg-out » (OLO) dans les cas de figure suivants :
  • La carte bancaire est émise hors de l’Union européenne,
  • La banque du client est située hors de l’Union européenne (pour les virements),
  • Le commerçant est basé hors de l’Union européenne.

Send this to a friend