Introduction
Dernière mise à jour le 14 septembre 2019
Depuis le 14 septembre 2019, une nouvelle réglementation exigeant l’authentification forte du client (SCA) pour de nombreux paiements en ligne au sein de l’Espace économique européen (EEE)est entrée en vigueur en Europe. La SCA fait partie de la seconde Directive sur les services de paiement (DSP2).
Pour répondre aux exigences de la SCA, une forme d’authentification à deux facteurs est requise pour nombre de paiements en ligne par carte en Europe. Sans authentification, de nombreux paiements peuvent être refusés par les banques de vos clients. Nous avons conçu des nouvelles API de paiements de base pour aider les entreprises à gérer ce changement et à tirer pleinement parti de toutes les exemptions à la SCA.
Nous vous recommandons de lire ce guide pour comprendre les changements requis pour les différents types de flux de paiement en raison de la SCA, et de le consulter lors de la modification de vos flux de paiement.
L’évolution des paiements
Les paiements traditionnels par carte se font généralement en deux étapes : l’autorisation et la capture. Un paiement est autorisé lorsque la banque ou l’émetteur de la carte d’un client décide de l’approuver, et il est effectif au moment où la carte est débitée.
Avec la SCA, une autre étape obligatoire intervient avant l’autorisation et la capture : l’authentification. Cette étape contribue à protéger les clients en prévenant la fraude. Pour authentifier un paiement, un client répond à une invite de sa banque à fournir des informations supplémentaires. Cela peut se faire par un élément qu’il connaît, comme un mot de passe, un élément qu’il utilise, comme son téléphone, ou un élément qui fait partie de lui, comme son empreinte digitale.
La méthode d’authentification des paiements la plus courante s’appelle 3D Secure. Vous connaissez peut-être 3D Secure sous ses dénominations commerciales comme « Visa Secure » ou « Mastercard Identity Check ». Il existe une nouvelle version, du nom de 3D Secure 2, qui sera disponible plus tard au cours de cette l’année. 3D Secure 2 devrait devenir la méthode standard d’authentification des paiements, mais elle n’est pas encore disponible. Vous pouvez découvrir les différences entre ces méthodes dans notre guide relatif à 3D Secure 2. Si votre entreprise fait appel à 3D Secure sur notre nouvelle API de paiements, Stripe Billing ou la nouvelle version de Stripe Checkout, vous passerez automatiquement à 3D Secure 2 une fois qu’elle sera prise en charge, sans aucune intervention de votre part.
Peu importe la méthode que vous utilisez, les clients doivent être en session pour s’identifier, ce qui signifie qu’ils doivent être connectés à votre site Web ou à votre application. L’ajout de cette étape est susceptible d’être plus simple pour les entreprises qui débitent leurs clients immédiatement, et plus complexe pour celles qui les débitent après qu’ils ont quitté le flux de paiement (parfois appelé hors session).
Les scénarios présentés dans ce guide illustrent la façon dont ces trois étapes (authentification, autorisation et capture) peuvent varier en fonction du moment où vous débitez vos clients et de la façon dont vous le faites.
-
S'identifierUn client authentifie un paiement en ligne.
Un client répond à une invite 3D Secure de sa banque lui demandant de fournir des informations supplémentaires pour authentifier le paiement. Voir 3D Secure côté client.
L'authentification est nécessaire lorsqu'un paiement n'est pas admissible à une exemption ou lorsque la banque du client refuse une demande d'exemption. Notre nouvelle API de paiements sollicite automatiquement les exemptions admissibles avant d'ajouter l'étape d'authentification. Cela simplifie les flux de paiement et préserve les taux de conversion.
Le saviez-vous? L'authentification doit avoir lieu pendant que le client est en session, ou qu'il est connecté à votre site Web ou application. En conséquence, cette étape se déroule généralement au moment où le client passe sa commande.
-
Jusqu'à 7 jours
Le délai entre l'autorisation et la capture peut aller jusqu'à sept jours, mais la plupart des entreprises capturent le paiement immédiatement après son autorisation.
Le saviez-vous? La banque d'un client peut indiquer qu'un paiement est « en attente » s'il a été autorisé sans avoir été capturé.
-
CapturerL'entreprise débite la carte du client, ce qui valide le paiement.
Comprendre les exemptions
Certains types de paiements, comme les transactions à faible risque, les abonnements forfaitaires, les ventes par téléphone et les transactions effectuées par le marchand, peuvent être exemptés de la SCA. Les transactions effectuées par le marchand sont des paiements réalisés avec une carte enregistrée alors que le client est hors session. Le paiement d’un abonnement à une salle de sport ou d’une facture d’eau ou d’électricité en sont des exemples courants. Pour bénéficier de cette exemption, votre entreprise doit avoir établi un accord avec le client et lui demander d’authentifier sa carte au moment de son enregistrement ou d’authentifier le premier paiement. Notre guide relatif à l’authentification forte du client explique dans le détail ces exemptions et d’autres.
Les API de paiements et les produits intégrant la SCA de Stripe aideront votre entreprise à tirer pleinement parti de ces exemptions en les sollicitant automatiquement. Lorsque les banques de vos clients accepteront les exemptions, ils n’auront pas à s’identifier, ce qui réduira l’impact sur la conversion.
Néanmoins, les entreprises ne doivent pas compter sur les exemptions et doivent concevoir leurs flux de paiement de façon à ce qu’ils authentifient les clients lorsque nécessaire. La raison en est que les règles relatives aux exemptions dépendent des banques de vos clients. Elles évaluent chaque paiement et décident si une exemption s’applique; et chaque banque appliquera les exemptions différemment.
Scénarios commerciaux
Afin d’illustrer l’impact de la SCA et son application, nous vous présentons ci-dessous la façon dont une étape d’authentification peut être intégrée aux flux de paiement pour différents types d’entreprises.
Les entreprises de commerce en ligne débitent généralement leurs clients en cours de session, sans enregistrer les informations de carte pour les paiements ultérieurs. Si votre entreprise utilise un flux de paiement de ce type, l'ajout de l'authentification devrait être facile : vous pouvez réaliser l'authentification à l'aide de 3D Secure immédiatement après que le client a saisi les informations de sa carte et a passé sa commande.
Stripe demande automatiquement les éventuelles exemptions admissibles de façon à ce que vos clients ne soient pas obligés de s'identifier. Toutefois, chaque banque appliquant les exemptions différemment, votre entreprise doit concevoir des flux de paiement permettant aux clients de s'identifier lorsque cela est nécessaire.
-
Commande passée
Élisa saisit les informations de sa carte et ses coordonnées pour la livraison. Le total est de 29 SEK, TVA comprise.
-
S'identifierUn montant de 29 SEK authentifié avec 3D Secure
Élisa effectue l'authentification 3D Secure.
-
CapturerUn montant de 29 SEK capturé
-
Commande expédiée
Recommandations
Choisissez une option :
Bénéficiez de flux de paiement préconfigurés optimisés pour la conversion et nécessitant très peu de codage.
Lire la documentationConcevez des flux de paiement dynamiques et optimisez les exemptions.
Lire la documentationLes entreprises proposant du covoiturage et d'autres services à la demande capturent généralement les paiements dans les sept jours suivant l'autorisation, et le montant final peut augmenter ou baisser. Si votre entreprise utilise un flux de paiement de ce type, vous pouvez réaliser l'authentification 3D Secure immédiatement après que le client a demandé la course, car il est encore en session. Si le montant final se révèle supérieur au montant initialement authentifié, le client devra s'identifier à nouveau pour le montant majoré. Si le montant final est inférieur au montant initialement authentifié, aucune nouvelle identification ne sera nécessaire.
Une autre manière de procéder avec ce flux de paiement consisterait à authentifier et autoriser un montant plus élevé au moment où le client demande la course. Si le client souhaite ajouter un pourboire plus tard, et que le total est inférieur au montant authentifié, le client n'aura pas besoin de s'identifier à nouveau. L'inconvénient de cette procédure est que l'authentification anticipée d'un montant plus élevé peut dissuader les clients sensibles au prix.
Stripe demandera automatiquement les éventuelles exemptions admissibles de façon à ce que vos clients ne soient pas obligés de s'identifier. Toutefois, chaque banque appliquant les exemptions différemment, votre entreprise doit concevoir des flux de paiement permettant aux clients de s'identifier et de rouvrir une session pour s'identifier à nouveau.
-
Course demandée
Sami ouvre l'application et demande une course d'un montant de 20 SEK.
-
S'identifierUn montant de 20 SEK authentifié avec 3D Secure
Sami effectue l'authentification 3D Secure.
-
Passager pris en charge et déposé
Un chauffeur vient chercher Sami et le dépose à sa destination.
-
Pourboire ajouté
Il ouvre l'application, évalue le chauffeur et ajoute un pourboire de 3 SEK.
-
S'identifier23 SEK (course de 20 SEK + pourboire de 3 SEK) authentifiés avec 3D Secure
Sami effectue l'authentification 3D Secure.
-
CapturerUn montant de 23 SEK capturé
Recommandation
Concevez des flux de paiement dynamiques et optimisez les exemptions.
Lire la documentationLes plateformes de financement participatif capturent généralement les paiements plus de sept jours après l'autorisation. Chaque campagne se déroule pendant une période définie et les paiements sont capturés une fois que la campagne a atteint son objectif. Si votre entreprise utilise ce type de flux de paiement, vous pouvez réaliser l'authentification à l'aide de 3D Secure au moment où les clients font une promesse de don en soutien à une campagne, et effectuer l'autorisation et la capture au terme de la campagne si elle a atteint son objectif. En cas d'échec de l'autorisation, votre entreprise devra faire en sorte que le client rouvre une session pour s'identifier à nouveau.
Stripe demandera automatiquement les exemptions admissibles. Toutefois, chaque banque appliquant les exemptions différemment, votre entreprise doit concevoir des flux de paiement permettant aux clients de s'identifier et de rouvrir une session pour s'identifier à nouveau.
-
Campagne lancée
-
Promesse de don effectuée
Lucas soutient la campagne en faisant une promesse de don de 40 SEK.
-
S'identifierCarte authentifiée avec 3D Secure
Luka effectue l'authentification 3D Secure après avoir saisi les informations de sa carte.
-
30 jours après
-
Campagne terminée
La carte de Lucas est débitée une fois que la campagne a atteint son objectif.
-
CapturerUn montant de 40 SEK capturé
-
Promesse de don effectuée
Lucas soutient une campagne de financement participatif en faisant une promesse de don de 40 SEK.
-
S'identifierCarte authentifiée avec 3D Secure
Luka effectue l'authentification 3D Secure après avoir saisi les informations de sa carte.
-
30 jours après
-
Campagne terminée
La carte de Lucas est débitée une fois que la campagne a atteint son objectif.
-
RefuserL'autorisation a échoué parce que la carte ayant expiré, une réauthentification est requise.
-
Courriel envoyé
Lucas ouvre un courriel reçu du site Web de financement participatif, puis clique sur un lien.
-
Informations mises à jour
Il retourne sur le site Web de financement participatif et saisit les informations d'une nouvelle carte.
-
S'identifierUn montant de 40 SEK authentifié avec 3D Secure
Luka effectue l'authentification 3D Secure.
-
CapturerUn montant de 40 SEK capturé
Recommandation
Concevez des flux de paiement dynamiques et optimisez les exemptions.
Lire la documentationLes entreprises de location de voitures capturent généralement les paiements plus de sept jours après l'autorisation, et le montant du paiement final est susceptible d'augmenter ou de baisser en fonction des remises, surclassements ou services complémentaires au moment de la remise des clés ou du retour de la voiture. Si votre entreprise utilise ce type de flux de paiement, vous pouvez fractionner le paiement en plusieurs débits : un premier débit utilisant l'authentification de la carte avec 3D Secure lors de l'enregistrement du paiement, puis un second débit pour autoriser et capturer le coût de la location et les frais accessoires ultérieurement.
Stripe demandera automatiquement les éventuelles exemptions admissibles de façon à ce que vos clients ne soient pas obligés de s'identifier. Toutefois, chaque banque appliquant les exemptions différemment, votre entreprise doit concevoir des flux de paiement permettant aux clients de s'identifier et de rouvrir une session pour s'identifier à nouveau.
-
Voiture réservée
Emma loue une voiture pour ses prochaines vacances.
-
S'identifierCarte authentifiée avec 3D Secure
Emma effectue l'authentification 3D Secure après avoir saisi les informations de sa carte.
-
Voiture récupérée
-
Plus de 7 jours après
-
Retour de la voiture
Elle rend la voiture sans remplir le réservoir d'essence, ce qui lui occasionne des frais de 50 SEK.
-
Capturer350 SEK capturé (réservation)50 SEK capturé (frais de carburant)
Recommandation
Concevez des flux de paiement dynamiques et optimisez les exemptions.
Lire la documentationLes abonnements aux salles de sport sont généralement des paiements récurrents d'un montant fixe et peuvent commencer par une période d'essai gratuit. Si votre entreprise utilise un flux de paiement de ce type, l'authentification 3D Secure est requise pour le paiement qui active l'abonnement, et Stripe sollicitera automatiquement les exemptions pour les paiements ultérieurs. Dans ce scénario, le paiement peut bénéficier des exemptions pour les abonnements forfaitaires et les transactions effectuées par le marchand. Si la banque du client accepte une exemption, il n'aura pas à authentifier chaque paiement mensuel.
Les transactions effectuées par le marchand sont des paiements effectués avec une carte enregistrée alors que le client est hors session. Pour en bénéficier, votre entreprise doit avoir établi un accord avec le client et lui demander d'authentifier sa carte au moment de son enregistrement ou du premier paiement.
Il est important de noter que les exemptions ne sont pas garanties et que les paiements ultérieurs pourront nécessiter une authentification. Chaque banque appliquant les exemptions différemment, votre entreprise doit concevoir des flux de paiement permettant aux clients de rouvrir une session pour s'identifier à nouveau.
-
L'abonnement débute
Imani saisit son adresse courriel et les informations de sa carte afin de s'inscrire à la salle de sport de son quartier pour un montant de 50 SEK/mois.
-
S'identifierUn montant de 50 SEK authentifié avec 3D Secure
Imani effectue l'authentification 3D Secure.
-
CapturerUn montant de 50 SEK capturé
-
30 jours après
-
L'abonnement se poursuit
Imani suit des cours collectifs et se rend souvent à la salle de sport.
-
CapturerUn montant de 50 SEK capturé
-
L'essai débute
Imani s'inscrit à la salle de sport de son quartier pour 50 SEK/mois. Elle saisit son adresse courriel et les informations de sa carte bancaire. De cette façon, son abonnement débutera immédiatement après la période d'essai de 7 jours.
-
S'identifierUn montant de 50 SEK authentifié avec 3D Secure
Imani effectue l'authentification 3D Secure.
-
7 jours après
-
L'essai se termine et l'abonnement débute
La carte d'Imani est débitée automatiquement à la fin de l'essai.
-
CapturerUn montant de 50 SEK capturé
-
30 jours après
-
L'abonnement se poursuit
Imani suit des cours collectifs et se rend souvent à la salle de sport.
-
RefuserL'autorisation a échoué et la réauthentification est requise
-
Courriel envoyé
Imani ouvre un courriel, puis clique sur un lien.
-
Informations mises à jour
Elle retourne sur le site Web de la salle de sport et saisit les informations d'une nouvelle carte.
-
S'identifierUn montant de 50 SEK authentifié avec 3D Secure
Imani effectue l'authentification 3D Secure.
-
CapturerUn montant de 50 SEK capturé
Recommandations
Choisissez une option :
Gérez vos abonnements et profitez d'outils automatisés pour vous conformer à la SCA.
Lire la documentationConcevez des flux de paiement dynamiques et optimisez les exemptions.
Lire la documentationLes factures d'eau ou d'électricité sont des paiements récurrents dont les montants sont susceptibles de varier d'un mois à l'autre en raison de la facturation à la consommation. Si votre entreprise utilise un flux de paiement de ce type, l'authentification 3D Secure est requise au moment où le client enregistre sa carte pour configurer les paiements automatiques. Pour ce faire, le client effectue l'authentification 3D Secure en dehors d'une transaction.
Stripe demandera automatiquement les exemptions pour les paiements ultérieurs. Dans ce scénario, le paiement bénéficie d'une exemption car il s'agit d'une transaction effectuée par le marchand. Si la banque du client accepte les exemptions, il n'aura pas à s'authentifier à chaque paiement mensuel.
Il est important de noter que les exemptions ne sont pas garanties et que les paiements ultérieurs pourront nécessiter une authentification. Chaque banque pouvant appliquer les exemptions différemment, votre entreprise doit concevoir des flux de paiement permettant aux clients de rouvrir une session pour se réauthentifier lorsque nécessaire.
-
Compte configuré
Salim emménage dans un nouvel appartement et s'inscrit pour régler automatiquement sa facture mensuelle d'eau ou d'électricité.
-
Carte enregistrée
Salim ajoute une carte à son compte.
-
S'identifierFacturation automatique confirmée avec 3D Secure
Salim effectue l'authentification 3D Secure.
-
30 jours après
-
Facture reçue
Salim reçoit un courriel de la compagnie d'eau ou d'électricité l'informant d'un paiement planifié de 63 SEK.
-
CapturerUn montant de 63 SEK débité
-
30 jours après
-
Facture reçue
Salim reçoit un courriel de la compagnie d'eau ou d'électricité l'informant d'un paiement planifié de 91 SEK.
-
RefuserL'autorisation a échoué et la réauthentification est requise
-
Courriel envoyé
Salim reçoit un courriel de la compagnie d'eau ou d'électricité contenant une facture de 91 SEK et clique sur le lien.
-
S'identifierUn montant de 91 SEK authentifié avec 3D Secure
Salim effectue l'authentification 3D Secure.
-
CapturerUn montant de 91 SEK débité
-
Facture reçue
Salim reçoit un courriel de la compagnie d'eau ou d'électricité contenant une facture de 63 SEK et clique sur le lien.
-
S'identifierUn montant de 63 SEK authentifié avec 3D Secure
Salim effectue l'authentification 3D Secure.
-
CapturerUn montant de 63 SEK débité
-
30 jours après
-
Facture reçue
Salim reçoit un courriel de la compagnie d'eau ou d'électricité contenant une facture de 91 SEK et clique sur le lien.
-
S'identifierUn montant de 91 SEK authentifié avec 3D Secure
Salim effectue l'authentification 3D Secure.
-
CapturerUn montant de 91 SEK débité
Recommandations
Choisissez une option :
Gérez vos abonnements et profitez d'outils automatisés pour vous conformer à la SCA.
Lire la documentationConcevez des flux de paiement dynamiques et optimisez les exemptions.
Lire la documentation