Directive sur les services de paiement II (DSP2) et authentification forte du client (SCA)

La directive sur les services de paiement (DSP2) est une nouvelle réglementation en vigueur dans l’Espace économique européen (EEE) qui vise à améliorer la sécurité des transactions de paiement en ligne à la fois pour les commerçants et pour les consommateurs. Cette directive a pour but de réduire le risque de fraude, en particulier lorsque le commerçant n’est pas en présence du détenteur de la carte bancaire au moment du paiement (lorsque celui-ci effectue un paiement en ligne par exemple).

La directive DSP2 requiert une authentification forte du client (SCA), qui entrera officiellement en application le 14 septembre 2019.

La SCA exige des prestataires de services de paiement qu’ils vérifient que le client à l’origine d’un paiement en ligne a légalement le droit de faire ce paiement. Par exemple : un commerçant en ligne (comme vous) doit pouvoir certifier qu’un client effectuant une réservation en ligne est bien le détenteur de la carte bancaire. L’authentification fait partie du processus de paiement en ligne et requiert de ce client qu’il présente au moins deux des éléments suivants :

• Une information connue seulement de lui-même comme un code PIN ou un mot de passe.
• Un objet en sa possession comme une carte de paiement ou un téléphone mobile.
• Une donnée biométrique comme une identification faciale, une empreinte digitale ou une lecture de l’iris

La SCA est réalisée par le biais d’un protocole appelé 3D Secure (3DS), utilisé par la banque du détenteur de la carte pour vérifier que celui-ci est bien à l’origine d’une transaction donnée. Cette authentification est généralement effectuée au moyen d’un code envoyé sur le téléphone mobile du consommateur. Le protocole 3DS a ensuite été optimisé et est maintenant connu sous le nom de 3DS2, dans le but d’offrir une meilleure expérience en ligne au client.

Bien comprendre les différentes étapes du processus de paiement des clients est indispensable pour se conformer à cette nouvelle directive. En règle générale, les étapes suivantes doivent se conformer à la directive DSP2 :

• Paiement lors de la réservation (paiement total ou partiel pour lequel une authentification SCA peut être exigée lorsque le client effectue sa réservation)
• Paiement différé (prépaiement avant l’arrivée et frais d’annulation et de non-présentation)
• Règlement du compte client à son départ (paiement du solde dû et des frais supplémentaires)
• Paiement après le départ (départ sans payer, frais de minibar ou dégâts)

Lorsqu’un client effectue une réservation en ligne, les données de sa carte bancaire sont pré-enregistrées de façon sécurisée pour permettre à l’hôtelier de traiter le paiement ultérieurement, par exemple lorsque le client n’est plus en ligne. Toutefois, cela rend le paiement de l’acompte, du solde, des suppléments ou encore des frais d’annulation ou de non-présentation difficile étant donné que le client n’est alors pas disponible pour procéder à l’authentification SCA. Les paiements par le biais de cartes pré-enregistrées risquent d’être déclinés par la banque émettrice si l’authentification SCA n’a pas lieu. Afin d’éviter tout éventuel désagrément de ce genre, assurez-vous d’obtenir les données de carte bancaire du client à son arrivée en employant une méthode de paiement conforme et demandez-lui une autorisation préalable de débiter sa carte ultérieurement en cas de besoin.

• Les solutions technologiques, comme les moteurs de réservation ou les systèmes de gestion hôtelière, qui disposent d’une passerelle de paiement en ligne conforme.
• Les transactions réalisées par le biais d’un terminal de paiement physique nécessitant la lecture de la puce de la carte et un code PIN, puisqu’elles requièrent la présence du client et de sa carte bancaire.
• Les paiements réalisés avec Apple Pay étant donné que le client doit utiliser son téléphone mobile ainsi que la reconnaissance faciale ou la lecture d’une empreinte digitale pour effectuer le paiement.

Afin de réduire les cas de fraude à la carte de paiement, la pression vis-à-vis de la règlementation concernant les paiements reçus par les hôtels est de plus en plus importante. Avec l’implémentation de la SCA, votre établissement risque de ne pas percevoir les paiements en cas de non-conformité ou de connaître éventuellement une baisse du taux de conversion, du taux d’occupation et de ses revenus à cause d’un processus de réservation plus complexe. La gestion des frais d’annulation et de non-présentation sera également plus compliquée puisque le paiement par le biais d’une carte pré-enregistrée ne sera plus possible.

L’ensemble de l’industrie travaille activement à satisfaire les exigences de la SCA, et SiteMinder collabore également avec ses partenaires tels que les OTA, les PMS et les passerelles de paiement, afin de veiller à rendre ses produits conformes à cette nouvelle directive.

L’objectif de la directive DSP2 et de la SCA est de protéger les consommateurs et les commerçants. Bien qu’un impact soit à prévoir sur le taux de conversion, les bénéfices de cette nouvelle législation devraient rapidement prendre le dessus sur cet obstacle initial.

Pour éviter tout éventuel désagrément en attendant que les solutions soient pleinement conformes, envisagez d’autres flux de paiement pour ne pas avoir à vous soumettre à la SCA ou à simplifier son usage. Voici quelques conseils :

• Réglez le paiement en présence du client étant donné qu’il pourra présenter sa carte bancaire et utiliser son code PIN.
• Demandez le paiement intégral directement au moyen de votre moteur de réservation afin de minimiser le risque de ne pas pouvoir débiter une carte pré-enregistrée ultérieurement.
• Distribuez votre inventaire sur les OTA qui fournissent une carte bancaire virtuelle puisque ce type de paiement n’est pas soumis à cette législation.

Les principales transactions non soumises à la SCA sont :

• Les transactions de faible valeur : toute transaction de moins de 30 € peut être exemptée de l’authentification SCA. Toutefois, il n’est pas possible d’effectuer plus de cinq transactions consécutives ou qui dépassent un montant total de 100 €. Une fois ces limites atteintes, vous devrez procéder à l’authentification SCA.
• Les clients sur liste blanche : après une première transaction vérifiée par l’authentification SCA, un consommateur peut placer un commerçant sur sa liste blanche afin de ne plus avoir à procéder à la SCA dans le cadre de transactions futures. Pour activer la fonctionnalité de la liste blanche, les commerçants doivent implémenter le protocole 3DS2 (voir la définition ci-dessous).
• Les paiements professionnels et les cartes de crédit virtuelles : les cartes d’entreprises qui sont au nom de l’entreprise (et non pas au nom d’un individu) et les cartes virtuelles ne sont pas soumises à la SCA.
• Les opérations initiées par les commerçants (ou MIT) : les paiements effectués au moyen de cartes pré-enregistrées, lorsque le client n’est pas présent lors du processus de paiement (hors session), peuvent être considérés comme des opérations initiées par les commerçants (MIT). En théorie, une MIT n’est pas soumise à la SCA. En pratique toutefois, marquer un paiement comme étant une « opération initiée par le commerçant » revient à soumettre une requête d’exemption transmise à la banque qui devra décider si l’authentification est nécessaire ou non pour cette transaction.

La commande par courrier ou téléphone (MOTO) : ce type de transaction n’est pas soumis à la SCA étant donné qu’il est complexe de mettre en place un processus d’authentification à deux facteurs par téléphone, fax ou e-mail.

Les OTA auront la possibilité de demander la SCA au moment de l’obtention des données de la carte bancaire lors de la réservation.

Au cours de la période précédant l’entrée en vigueur de la directive DSP2, prévue pour le 14 septembre 2019, les OTA offriront des informations et recommandations relatives à l’implémentation de la directive à leurs clients et partenaires. Beaucoup d’OTA proposeront sans doute à leurs partenaires situés dans l’Espace économique européen (EEE) des systèmes de paiement « OTA collect » et fourniront une carte de crédit virtuelle aux établissements plutôt que les données de la carte bancaire du client. Les cartes de crédit virtuelles ne sont pas soumises à la SCA. Dès lors, cette solution pourrait être une option pour certains, même si celle-ci ne sera pas idéale pour tous.

Nous vous conseillons vivement de contacter vos OTA partenaires afin de vous assurer qu’elles travaillent avec des prestataires de services de paiement qui seront conformes à partir du 14 septembre.

L’instance de régulation du secteur financier du Royaume-Uni (Financial Conduct Authority – FCA) a affirmé qu’une « phase d’implémentation » d’une durée de 18 mois est prévue à compter du 14 septembre 2019. Cela signifie que cette instance ne prendra pas de mesures contre les banques et les prestataires de services de paiement au Royaume-Uni si ceux-ci ne sont pas conformes à la SCA à partir du 14 septembre 2019. Toutefois, la conformité vis-à-vis de l’authentification SCA devra être effective au terme de la période de 18 mois annoncée. Enfin, un paiement effectué par un client dont la banque ne se situe pas au Royaume-Uni (par exemple, quelqu’un voyageant depuis un pays européen) pourrait être décliné si la transaction ne répond pas aux exigences de la SCA. En effet, la décision d’accepter ou de décliner un paiement revient à la banque émettrice (celle du détenteur de la carte).

Cette nouvelle législation concerne seulement les établissements situés dans l’un des pays faisant partie de l’Espace économique européen (EEE). L’authentification SCA est demandée lorsque la banque émettrice (la banque du consommateur) et la banque acquéreuse (la banque vers laquelle les fonds du consommateur sont transférés) sont toutes deux situées dans l’EEE.

Néanmoins, des variantes similaires à la directive DSP2 et SCA pourraient être implémentées à travers le monde dans les années à venir.

Vous pouvez trouver davantage d’informations au sujet de la directive DSP2 et de la SCA sur les pages suivantes :

• Document en anglais sur la directive DSP2 et SCA rédigé par l’Autorité bancaire européenne
• Guide en anglais sur l’authentification forte du client publié par Stripe
• Communiqué de presse publié en anglais par la Commission européenne

Nous vous recommandons de contacter votre prestataire de services de paiement afin de vous assurer qu’il sera conforme à cette directive d’ici le 14 septembre 2019.