Conception de flux de paiement pour la SCA

Une nouvelle réglementation appelée authentification forte du client, ou SCA, modifie les paiements en ligne en Europe. Découvrez son impact potentiel sur vos flux de paiement et apprenez comment Stripe peut vous aider.

Introduction

Dernière mise à jour le 14 septembre 2019

Depuis le 14 septembre 2019, une nouvelle réglementation exigeant l’authentification forte du client (SCA) pour de nombreux paiements en ligne au sein de l’Espace économique européen (EEE)est entrée en vigueur en Europe. La SCA fait partie de la seconde Directive sur les services de paiement (DSP2).

Pour répondre aux exigences de la SCA, une forme d’authentification à deux facteurs est requise pour nombre de paiements en ligne par carte en Europe. Sans authentification, de nombreux paiements peuvent être refusés par les banques de vos clients. Nous avons conçu des nouvelles API de paiements de base pour aider les entreprises à gérer ce changement et à tirer pleinement parti de toutes les exemptions à la SCA.

Nous vous recommandons de lire ce guide pour comprendre les changements requis pour les différents types de flux de paiement en raison de la SCA, et de le consulter lors de la modification de vos flux de paiement.

L’évolution des paiements

Les paiements traditionnels par carte se font généralement en deux étapes : l’autorisation et le débit. Un paiement est autorisé lorsque la banque ou l’émetteur de la carte d’un client décide de l’approuver, et il est effectif au moment où la carte est débitée.

Avec la SCA, une autre étape obligatoire intervient avant l’autorisation et le débit : l’authentification. Cette étape contribue à protéger les clients en prévenant la fraude. Pour authentifier un paiement, un client répond à une invite de sa banque à fournir des informations supplémentaires. Cela peut se faire par un élément qu’il connaît, comme un mot de passe, un élément qu’il utilise, comme son téléphone, ou un élément qui fait partie de lui, comme son empreinte digitale.

La méthode d’authentification des paiements la plus courante s’appelle 3D Secure. Vous connaissez peut-être 3D Secure sous ses dénominations commerciales comme « Visa Secure » ou « Mastercard Identity Check ». Il existe une nouvelle version, du nom de 3D Secure 2, qui sera disponible plus tard au cours de cette l’année. 3D Secure 2 devrait devenir la méthode standard d’authentification des paiements, mais elle n’est pas encore disponible. Vous pouvez découvrir les différences entre ces méthodes dans notre guide relatif à 3D Secure 2. Si votre entreprise fait appel à 3D Secure sur notre nouvelle API de paiements, Stripe Billing ou la nouvelle version de Stripe Checkout, vous passerez automatiquement à 3D Secure 2 une fois qu’elle sera prise en charge, sans aucune intervention de votre part.

Peu importe la méthode que vous utilisez, les clients doivent être en session pour s’authentifier, ce qui signifie qu’ils doivent être connectés à votre site web ou votre application. L’ajout de cette étape est plus simple pour les entreprises qui débitent leurs clients immédiatement, et plus complexe pour celles qui les débitent après qu’ils ont quitté le flux de paiement (parfois appelé hors session).

Les scénarios présentés dans ce guide illustrent la façon dont ces trois étapes (authentification, autorisation et débit) peuvent varier en fonction du moment où vous débitez vos clients et de la façon dont vous le faites.

  1. Authentifier
    Un client authentifie un paiement en ligne.

    Un client répond à une invite 3D Secure de sa banque lui demandant de fournir des informations supplémentaires pour authentifier le paiement. Voir 3D Secure côté client.

    L'authentification est nécessaire lorsqu'un paiement n'est pas admissible à une exemption ou lorsque la banque du client refuse une demande d'exemption. Notre nouvelle API de paiements sollicite automatiquement les exemptions admissibles avant d'ajouter l'étape d'authentification. Cela simplifie les flux de paiement et préserve les taux de conversion.

    Le saviez-vous ? L'authentification doit avoir lieu pendant que le client est en session, ou qu'il est connecté à votre site Web ou application. En conséquence, cette étape se déroule généralement au moment où le client passe sa commande.

  2. Autoriser
    Votre entreprise demande à la banque du client d'approuver le paiement.

    La banque du client décide d'approuver ou de refuser un paiement. En cas d'approbation, les fonds sont bloqués et garantis pendant sept jours. En cas de refus d'une demande d'autorisation, votre entreprise doit faire en sorte que le client rouvre une session pour réauthentifier le paiement, puis demander une nouvelle autorisation.

    Le saviez-vous ? Une demande d'autorisation peut encore être refusée par la banque du client après l'authentification. Cette situation peut se produire si le client ne possède pas suffisamment de fonds ou si la carte a expiré.

  3. Jusqu'à 7 jours

    Le délai entre l'autorisation et le débit peut aller jusqu'à sept jours, mais la plupart des entreprises débitent le paiement immédiatement après son autorisation.

    Le saviez-vous ? La banque d'un client peut indiquer qu'un paiement est « en attente » s'il a été autorisé sans avoir été débité.

  4. Débiter
    L'entreprise débite la carte du client, ce qui valide le paiement.

Comprendre les exemptions

Certains types de paiements, comme les transactions à faible risque, les abonnements forfaitaires, les ventes par téléphone et les transactions effectuées par le marchand, peuvent être exemptés de la SCA. Les transactions effectuées par le marchand sont des paiements réalisés avec une carte enregistrée alors que le client est hors session. Le paiement d’un abonnement à une salle de sport ou d’une facture d’eau ou d’électricité en sont des exemples courants. Pour bénéficier de cette exemption, votre entreprise doit avoir établi un accord avec le client et lui demander d’authentifier sa carte au moment de son enregistrement ou d’authentifier le premier paiement. Notre guide relatif à l’authentification forte du client explique dans le détail ces exemptions et d’autres.

Les API de paiements et les produits intégrant la SCA de Stripe aideront votre entreprise à tirer pleinement parti de ces exemptions en les sollicitant automatiquement. Lorsque les banques de vos clients accepteront les exemptions, ils n’auront pas à s’authentifier, ce qui réduira l’impact sur la conversion.

Néanmoins, les entreprises ne doivent pas compter sur les exemptions et doivent concevoir leurs flux de paiement de façon à ce qu’ils authentifient les clients lorsque nécessaire. La raison en est que les règles relatives aux exemptions dépendent des banques de vos clients. Elles évaluent chaque paiement et décident si une exemption s’applique ; et chaque banque appliquera les exemptions différemment.

Scénarios commerciaux

Afin d’illustrer l’impact de la SCA et son application, nous vous présentons ci-dessous la façon dont une étape d’authentification peut être intégrée aux flux de paiement pour différents types d’entreprises.

Retour aux guides
You’re viewing our website for Brazil, but it looks like you’re in the United States. Switch to the United States site