Authentification forte du client

Ce que les entreprises Internet doivent savoir sur la nouvelle directive européenne

Dernière mise à jour le 4 mai 2020

Introduction

Le 14 septembre 2019, de nouvelles exigences en matière d’authentification des paiements en ligne ont été introduites en Europe dans le cadre de la Directive sur les services de paiement 2e version (PSD2). Nous espérons que ces exigences seront appliquées au cours des années 2020 et 2021.

Dans ce guide, nous examinerons de plus près ces nouvelles exigences connues sous le nom d’Authentification forte du client (SCA) et les types de paiements qu’elles concernent. Nous aborderons également les exemptions qui peuvent être utilisées pour les transactions à faible risque afin d’offrir une expérience de règlement sans friction.

Nous avons publié une page séparée contenant les dernières informations sur le calendrier d’application de la SCA, ainsi qu’un guide) pour vous aider à déterminer quand ajouter l’authentification dans votre parcours client. Visitez notre site pour plus d’informations sur les produits de Stripe prêts pour la SCA.

Qu’est-ce que l’authentification forte du client?

L’authentification forte du client (SCA) est une nouvelle exigence européenne en matière de régulation visant à réduire la fraude et à rendre les paiements en ligne plus sûrs. Pour accepter les paiements et vous conformer aux exigences de la SCA, vous devez ajouter une étape supplémentaire d’authentification à vos flux de paiement. La SCA nécessite que l’authentification utilise au moins deux des trois éléments suivants.

Un élément CONNU du client (p. ex. mot de passe ou NIP)
Un élément DÉTENU par le client (p. ex. téléphone ou jeton de matériel)
Un élément DÉFINISSANT le client (p. ex. empreintes digitales ou reconnaissance faciale)

(Si vous souhaitez lire les exigences originales de la SCA, elles sont présentées dans les [Normes techniques réglementaires] (https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2018.069.01.0023.01.ENG&toc=OJ:L:2018:069:TOC) ou RTS.)

Les banques devront commencer à refuser les paiements nécessitant une SCA et ne répondant pas à ces critères. Bien que le règlement ait été introduit le 14 septembre 2019, nous nous attendons à ce que ces exigences soient appliquées par les autorités de réglementation au cours des années 2020 et 2021.

Quand une authentification forte du client est-elle nécessaire?

L’authentification forte du client s’applique aux paiements en ligne « effectués par le client » en Europe. La plupart des paiements par carte bancaire et tous les virements bancaires nécessitent par conséquent une SCA. En revanche, les prélèvements automatiques récurrents sont considérés comme « effectués par le marchand » et ne nécessitent pas d’authentification forte. À l’exception des paiements sans contact, les paiements par carte bancaire en personne ne sont pas non plus concernés par le nouveau règlement.

Concernant les paiements par carte bancaire en ligne, ces exigences s’appliquent aux transactions dans lesquelles l’entreprise et la banque du titulaire de la carte sont toutes deux situées dans l’Espace économique européen (EEE). (Nous espérons que la réglementation de la SCA sera appliquée au Royaume-Uni, quelle que soit l’issue du Brexit.)

Comment authentifier un paiement

Actuellement, le moyen le plus courant d’authentifier un paiement par carte bancaire en ligne repose sur 3D Secure, une norme d’authentification prise en charge par la grande majorité des cartes bancaires européennes. L’application de 3D Secure ajoute généralement une étape supplémentaire après le règlement où le titulaire de la carte est invité par sa banque à fournir des informations supplémentaires pour terminer un paiement (par ex. un code unique envoyé sur son téléphone ou une authentification par empreinte digitale via son application bancaire mobile).

3D Secure 2, la nouvelle version du protocole d’authentification déployée en 2019, sera la principale méthode d’authentification des paiements par carte bancaire en ligne et de respect des nouvelles exigences de la SCA. Cette nouvelle version introduit une meilleure expérience utilisateur qui contribuera à minimiser les frictions que l’authentification ajoute au flux de règlement.

D’autres moyens de paiement par carte bancaire tels que Apple Pay ou Google Pay prennent déjà en charge les flux de paiement avec une couche d’authentification intégrée (biométrique ou mot de passe). Ces moyens peuvent être une excellente façon pour les entreprises d’offrir une expérience de règlement sans friction tout en répondant aux nouvelles exigences.

Nous espérons également que de nombreux moyens de paiement européens communs, tels que iDEAL, Bancontact, ou Multibanco, suivront les nouvelles règles de la SCA sans modification majeure de leur expérience utilisateur.

Exemptions de l’authentification forte du client

Dans le cadre de ce nouveau règlement, certains types de paiements à faible risque peuvent être exemptés de l’authentification forte du client. Les prestataires de service de paiement comme Stripe peuvent demander ces exemptions lors du traitement du paiement. La banque du titulaire de la carte recevra alors la demande, évaluera le niveau de risque de la transaction et décidera finalement d’approuver ou non l’exemption ou si l’authentification est toujours nécessaire.

L’intégration de l’authentification dans le flux de règlement introduit une étape supplémentaire qui peut ajouter des frictions et augmenter la baisse des clients. L’utilisation d’exemptions pour les paiements à faible risque peut réduire le nombre de fois où vous devrez authentifier un client et diminuer les frictions. Nous avons conçu nos nouveaux produits de paiement prêts pour la SCA pour vous permettre de profiter des exemptions lorsque cela est possible afin de protéger votre conversion.

Les exemptions les plus pertinentes pour les entreprises sur Internet sont les suivantes :

Transactions à faible risque

Un prestataire de service de paiement (comme Stripe) est autorisé à effectuer une analyse de risque en temps réel pour déterminer s’il doit appliquer la SCA à une transaction. Cela ne peut être possible que si le taux de fraude global du prestataire de service de paiement ou de la banque pour les paiements par carte bancaire ne dépasse pas les seuils suivants :

  • 0,13 % pour exempter les transactions inférieures à 100 €
  • 0,06 % pour exempter les transactions inférieures à 250 €
  • 0,01 % pour exempter les transactions inférieures à 500 €

Ces seuils seront convertis en montants équivalents locaux, le cas échéant.

Dans les cas où le taux de fraude du prestataire de service de paiement est inférieur au seuil mais où celui de la banque du titulaire de la carte est supérieur à ce seuil, nous nous attendons à ce que la banque refuse l’exemption et exige une authentification.

Paiements inférieurs à 30 €

Il s’agit d’une autre exemption qui peut être utilisée pour les paiements d’un faible montant. Les transactions inférieures à 30 € sont considérées comme « de faible valeur » et peuvent être exemptées de la SCA. Les banques doivent toutefois demander une authentification si l’exemption a été utilisée cinq fois depuis la dernière authentification réussie du titulaire de la carte ou si la somme des paiements exemptés précédemment dépasse 100 €. La banque du titulaire de la carte doit suivre le nombre de fois où cette exemption a été utilisée et décider si l’authentification est nécessaire.

Abonnements à montant fixe

Cette exemption peut s’appliquer lorsque le client effectue une série de paiements récurrents du même montant, au profit de la même entreprise. La SCA est requise pour le premier paiement du client; les paiements ultérieurs peuvent toutefois être exemptés de la SCA.

Transactions effectuées par le marchand (abonnements variables compris)

Les paiements effectués avec des cartes bancaires sauvegardées lorsque le client n’est pas présent dans le flux de règlement (parfois appelé « hors session ») peuvent être considérés comme des transactions effectuées par le marchand. Ces paiements ne relèvent pas techniquement du champ d’application de la SCA. En pratique, identifier un paiement comme une « transaction effectuée par le marchand » revient à demander une exemption. Et comme pour toute autre exemption, il appartient toujours à la banque de décider si l’authentification est nécessaire pour la transaction.

Pour utiliser les transactions initiées par le marchand, vous devez authentifier la carte bancaire soit lors de son enregistrement, soit lors du premier paiement. Enfin, vous devez obtenir l’accord du client (également appelé « mandat »), pour débiter sa carte ultérieurement.

Bénéficiaires de confiance

Lors de l’exécution de l’authentification pour un paiement, les clients peuvent avoir la possibilité de mettre sur liste blanche une entreprise de confiance pour éviter d’avoir à authentifier ses futurs achats. Ces entreprises sont alors inscrites sur une liste de « bénéficiaires de confiance » tenue par la banque ou le prestataire de service de paiement du client.

Ventes par téléphone

Les informations de carte collectées par téléphone ne relèvent pas du champ d’application de la SCA et ne nécessitent pas d’authentification. Ce type de paiement est parfois appelé « commandes par courrier/par téléphone » (MOTO). Tout comme les paiements exemptés, les transactions MOTO doivent être signalées comme telles, la banque du titulaire de la carte prenant la décision finale d’accepter ou de refuser la transaction.

Paiements des entreprises

Cette exemption peut couvrir les paiements effectués avec des cartes bancaires « déposées » (par ex. lorsqu’une carte d’entreprise utilisée pour gérer les frais de voyage des employés est détenue directement auprès d’une agence de voyage en ligne), ainsi que les paiements d’entreprise effectués à l’aide de numéros de cartes bancaires virtuels (également utilisés dans le secteur des voyages).

Que se passe-t-il en cas d’échec d’une exemption?

Bien que les exemptions puissent être très utiles, il est important de se rappeler que c’est la banque du titulaire de la carte qui prend la décision finale d’accepter ou non une exemption. Les banques peuvent renvoyer de nouveaux codes de refus pour les paiements qui ont échoué en raison d’une authentification manquante. Ces paiements doivent ensuite être soumis à nouveau au client avec une demande d’authentification forte du client. Les produits prêts pour la SCA de Stripe déclenchent automatiquement cette authentification supplémentaire lorsque les banques l’exigent.

Si votre entreprise est concernée par la SCA, nous vous recommandons de vous préparer à une solution de repli au cas où une exemption serait rejetée et où votre client aurait besoin de s’authentifier. Cela est particulièrement important si vous débitez vos clients lorsqu’ils ne sont pas activement dans votre flux de règlement (c.-à-d. lorsqu’ils sont hors session) et que votre client doit retourner sur votre site Web ou votre application pour s’identifier. Pour plus d’informations, consultez notre guide sur la conception des flux de paiement pour la SCA.

Comment Stripe vous aide à répondre aux exigences de l’authentification forte du client

Les changements introduits par ce nouveau règlement vont profondément affecter le commerce en ligne en Europe. Et bien que nous nous attendions à ce que ces exigences ne soient appliquées que dans le courant de 2020 et 2021, les entreprises concernées qui ne se préparent pas à ces nouvelles exigences pourraient voir leurs taux de conversion baisser de manière significative en raison de l’application de la SCA dans les banques européennes.

En plus de prendre en charge de nouvelles méthodes d’authentification comme 3D Secure 2, nous pensons que le traitement efficace des exemptions constitue un élément clé pour créer une expérience de paiement de premier ordre qui limite les frictions. Nos nouveaux produits de paiement sont optimisés pour différentes règles réglementaires, bancaires et de réseau de cartes bancaires et appliquent des exemptions pertinentes pour les paiements à faible risque, de manière à ne déclencher 3D Secure que lorsque cela est nécessaire. Et à mesure que ces règles évolueront, nous serons en mesure de maintenir et d’actualiser cette logique de SCA en temps réel, en tenant compte du calendrier d’application de chaque pays.

Nous avons publié une nouvelle API de paiement fondamentale qui utilise la logique de SCA de Stripe pour appliquer la bonne exemption et déclencher 3D Secure si nécessaire. Notre nouveau Checkout ainsi que Stripe Billing reposent sur cette API et peuvent appliquer dynamiquement 3D Secure si nécessaire.

En savoir plus sur les produits Stripe prêts pour la SCA. Si vous avez des questions ou des commentaires, veuillez nous contacter!

Retour aux guides
You’re viewing our website for Australia, but it looks like you’re in the United States.