Authentification forte du client

Ce que les entreprises Internet doivent savoir sur la nouvelle directive européenne

Dernière mise à jour le 18 octobre 2019

Introduction

Le 14 septembre 2019, de nouvelles exigences relatives aux paiements en ligne ont été introduites en Europe dans le cadre de la Directive sur les services de paiement 2e version (DSP2). Nous nous attendons à ce que ces exigences soit entièrement appliquées d’ici le 31 décembre 2020.

Dans ce guide, nous allons examiner de plus près ces nouvelles exigences connues sous le nom d’authentification forte du client (Strong Customer Authentication, SCA) et le type de paiements sur lesquelles elles ont un impact. Nous passerons également en revue les exemptions qui peuvent être utilisées pour les transactions à faible risque afin d’offrir une expérience de paiement facile.

Nous avons publié une page séparée contenant les dernières informations sur le calendrier d’application de la SCA ainsi qu’un guide afin de vous aider à identifier lorsqu’une authentification est nécessaire dans l’expérience de paiement de votre client. Visitez notre site pour plus d’informations sur les produits Stripe prêts pour la SCA.

Qu’est-ce que l’authentification forte du client ?

L’authentification forte du client (SCA) est une nouvelle exigence européenne en matière de régulation visant à réduire la fraude et à rendre les paiements en ligne plus sûrs. Pour accepter les paiements et vous conformer aux exigences de la SCA, vous devez ajouter une étape supplémentaire d’authentification à vos flux de paiement. La SCA nécessite que l’authentification utilise au moins deux des trois éléments suivants.

Un élément CONNU du client (p. ex. mot de passe ou PIN)
Un élément DÉTENU par le client (p. ex. téléphone ou token de matériel)
Un élément DÉFINISSANT le client (p. ex. empreintes digitales ou reconnaissance faciale)

(Si vous souhaitez consulter les exigences initiales de la SCA, vous les trouverez dans les normes techniques de réglementation ou NTR.)

Les banques devront commencer à refuser les paiements qui nécessitent une authentification forte du client (SCA) et qui ne satisfont pas aux exigences de cette procédure d’authentification. Bien que la réglementation ait été introduite le 14 septembre 2019, nous prévoyons une application complète de ces exigences d’ici le 31 décembre 2020.

Quand l’authentification forte du client est-elle exigée ?

L’authentification forte du client s’applique aux paiements en ligne « initiés par les clients » en Europe. Ainsi, la plupart des paiements par carte bancaire et tous les virements bancaires nécessitent la SCA. Les débits automatiques récurrents sont, quant à eux, considérés comme des paiements « initiés par le marchand » et ne nécessiteront donc pas une authentification forte. À l’exception des paiements sans contact, les paiements en personne avec carte bancaire ne seront pas non plus concernés par la nouvelle réglementation.

Pour les paiements par carte bancaire réalisés en ligne, ces exigences s’appliquent pour les transactions où l’entreprise et la banque du titulaire de la carte sont toutes les deux situées au sein de l’Espace économique européen. (Nous nous attendons à ce que la réglementation de la SCA s’applique au Royaume-Uni, indépendamment de l’issue du Brexit.)

Authentification d’un paiement

Actuellement, la méthode la plus utilisée pour authentifier un paiement par carte bancaire réalisé en ligne est 3D Secure, une norme d’authentification prise en charge par la plupart des cartes bancaires européennes. La procédure 3D Secure ajoute une étape supplémentaire après le paiement lors de laquelle le titulaire de la carte est invité par sa banque à fournir des informations complémentaires pour terminer le paiement (par ex., un code unique envoyé sur son téléphone ou une authentification de ses empreintes digitales via l’application bancaire mobile).

3D Secure 2, la nouvelle version du protocole d’authentification, qui débutera en 2019, sera la principale méthode pour authentifier des paiements par carte bancaire réalisés en ligne et satisfaire aux nouvelles exigences de la SCA. Cette nouvelle version crée une meilleure expérience client qui contribuera à réduire les problèmes qu’une authentification génère dans le flux de paiement.

Les autres moyens de paiement par carte bancaire comme Apple Pay ou Google Pay prennent déjà en charge les flux de paiement dotés d’une étape d’authentification intégrée (biométrique ou mot de passe). Ces méthodes constituent une excellente solution pour les entreprises qui souhaitent offrir une expérience de paiement facilitée tout en satisfaisant aux nouvelles exigences.

Nous nous attendons aussi à ce que de nombreux moyens de paiement courants en Europe, comme iDEAL, Bancontact ou Multibanco se conforment aux nouvelles règles de la SCA sans engendrer de changement majeur pour leur expérience client.

Exemptions à l’authentification forte du client

Dans le cadre de cette nouvelle réglementation, des types spécifiques de paiement à faible risque pourraient être dispensés de l’authentification forte du client. Les prestataires de paiement tels que Stripe peuvent demander ces exemptions lors du traitement du paiement. La banque du titulaire de la carte recevra cette demande, évaluera le niveau de risque de la transaction et décidera si elle approuve l’exemption ou si l’authentification est nécessaire.

En intégrant l’authentification à votre flux de paiement, vous créez une étape supplémentaire qui peut engendrer des problèmes et entraîner une baisse de la clientèle. Utiliser des exemptions pour les paiements à faible risque peut réduire le nombre de fois que vous devrez authentifier un client et faciliter ainsi le processus. Nous avons conçu de nouveaux produits de paiement prêts pour la SCA pour que vous puissiez tirer profit des avantages des exemptions lorsque cela est possible, afin de vous aider à protéger votre conversion.

Les exemptions les plus pertinentes pour les entreprises sur Internet sont :

Les transactions à faible risque

Un prestataire de paiement (comme Stripe) est autorisé à effectuer une analyse de risque en temps réel pour déterminer si une transaction nécessite la SCA. Cela ne pourra être possible que si les taux de fraude généraux du prestataire de paiement et de la banque pour les paiements par carte ne dépassent pas les seuils suivants :

  • 0,13 % pour exempter les transactions de moins de 100 €
  • 0,06 % pour exempter les transactions de moins de 250 €
  • 0,01 % pour exempter les transactions de moins de 500 €

Ces seuils seront convertis dans des devises locales, le cas échéant.

Dans certains cas, lorsque seul le taux de fraude du prestataire de paiement est en dessous du seuil, mais que celui de la banque du titulaire de la carte est au-dessus, nous nous attendons à ce que la banque refuse l’exemption et exige l’authentification.

Paiements de moins de 30 €

Il s’agit d’une autre exemption qui pourra être utilisée pour les paiements d’un petit montant. Les transactions de moins de 30 € sont considérées comme de « faible valeur » et peuvent être dispensées de la SCA. Les banques doivent cependant demander l’authentification si l’exemption a été utilisée plus de cinq fois depuis la dernière authentification réussie du titulaire de la carte ou si la somme des paiements par carte qui ont bénéficié de cette exemption dépasse 100 €. La banque du titulaire de la carte doit enregistrer le nombre de fois que l’exemption a été utilisée et décider si l’authentification est nécessaire.

Abonnements d’un montant fixe

Cette exemption peut s’appliquer lorsque le client effectue une série de paiements récurrents du même montant pour le compte de la même entreprise. La SCA est exigée lors du premier paiement du client, mais les paiements suivants en seront exemptés.

Transactions initiées par le marchand (y compris les abonnements variables)

Les paiements réalisés à l’aide de cartes enregistrées lorsque le client n’est pas présent lors du flux de paiement (parfois appelées « sessions déconnectées ») peuvent être considérés comme des transactions initiées par le marchand. Ces paiements sont techniquement exclus du champ d’application de la SCA. En pratique, marquer un paiement comme « transaction initiée par le marchand » équivaut à demander une exemption, et comme pour toute exemption, c’est à la banque de décider si l’authentification est nécessaire pour la transaction.

Pour utiliser des transactions initiées par le marchand, vous devez authentifier la carte lors de son enregistrement ou lors du premier paiement. Enfin, vous devez obtenir l’accord du client (aussi appelé « mandat ») pour être autorisé à débiter sa carte ultérieurement.

Bénéficiaires de confiance

Lorsque les clients s’authentifient pour un paiement, ils pourront avoir la possibilité de mettre une entreprise à laquelle ils font confiance sur une liste blanche afin d’éviter d’avoir à authentifier leurs futurs achats. Ces entreprises figurent alors sur la liste des « bénéficiaires de confiance » gérée par la banque ou le prestataire de paiement du client.

Ventes par téléphone

Les informations de carte bancaire recueillies par téléphone ne relèvent pas du champ d’application de la SCA et ne nécessitent pas d’authentification. Ce type de paiement est parfois appelé « commandes par correspondance et par téléphone » (MOTO en anglais). Comme pour les paiements exemptés, les transactions MOTO doivent être marquées comme telles, la banque du titulaire de la carte prenant la décision finale d’accepter ou de refuser la transaction.

Paiements d’entreprise

Cette exemption couvre les paiements qui sont effectués avec des cartes « d’entreprise » (par ex., lorsque la carte bancaire d’une entreprise utilisée pour gérer les frais de voyage d’un employé est retenue directement par un agent de voyage en ligne) et pour les paiements d’entreprises effectués en utilisant des numéros de carte virtuelle (également utilisés dans le secteur du voyage).

Que se passe-t-il si une exemption échoue ?

Même si les exemptions seront très utiles, il est important de se souvenir que la banque du titulaire de la carte a le dernier mot sur l’acceptation ou non d’une exemption. Les banques renverront les nouveaux codes de refus des paiements qui échouent en raison d’un manque d’authentification. Ces paiements doivent alors être soumis à nouveau au client avec une demande d’authentification forte du client. Les produits prêts pour la SCA de Stripe déclenchent automatiquement cette procédure d’authentification supplémentaire lorsque les banques l’exigent.

Si votre entreprise est concernée par la SCA, nous vous recommandons de préparer un plan de secours dans l’éventualité où une exemption est refusée et votre client doit s’authentifier. Il est particulièrement important de le faire si vous débitez vos clients lorsqu’ils ne sont pas activement dans votre flux de paiement (c.-à-d. lorsqu’ils sont déconnectés) et que votre client doit revenir sur votre site web ou application pour s’authentifier. Lisez notre guide sur la conception des flux de paiement pour la SCA pour plus d’informations.

Stripe vous aide à vous conformer aux exigences de l’authentification forte du client

Les changements instaurés par cette nouvelle réglementation vont grandement affecter le commerce en ligne en Europe. Et bien que nous nous attendions à ce que ces exigences ne soient intégralement appliquées qu’au 31 décembre 2020, les entreprises concernées qui ne se préparent pas à ces nouvelles exigences pourraient voir leur taux de conversion chuter de manière considérable à mesure que la SCA sera appliquée dans les banques européennes.

En plus de prendre en charge les nouvelles méthodes d’authentification comme 3D Secure 2, nous sommes convaincus que gérer les exemptions de manière satisfaisante est une composante-clé pour construire une expérience de paiement facilitée et de très haute qualité.

Nos nouveaux produits de paiement sont conformes aux différentes réglementations, règles de banque et de réseaux de cartes, et accorderont les exemptions pertinentes pour les paiements à faible risque de manière à ne déclencher 3D Secure que lorsque cela est nécessaire. Par ailleurs, comme ces règles évoluent, nous serons en mesure de maintenir et mettre à jour la logique de la SCA en temps réel, en tenant compte du calendrier d’application de chaque pays.

Nous avons lancé une nouvelle API de paiements fondamentale qui utilise la logique de la SCA de Stripe pour accorder les bonnes exemptions et déclencher 3D Secure lorsque cela est nécessaire. Nos nouveaux Checkout et Stripe Billing sont tous deux construits sur cette API et peuvent déclencher 3D Secure de manière dynamique au besoin.

En savoir plus sur les produits Stripe prêts pour la SCA. Si vous avez des questions ou des commentaires, n’hésitez pas à nous écrire !

Retour aux guides
You’re viewing our website for Italy, but it looks like you’re in the United States. Switch to the United States site