Conception de flux de paiement pour la SCA

Une nouvelle réglementation connue sous le nom d'authentification forte du client, ou SCA, vient modifier les paiements en ligne en Europe. Découvrez son impact potentiel sur vos flux de paiement et apprenez comment Stripe peut vous aider.

Introduction

Dernière mise à jour le 15 avril 2019

Le 14 septembre 2019, une nouvelle réglementation exigera l’authentification forte du client (SCA) pour de nombreux paiements en ligne au sein de l’Espace économique européen (EEE), y compris le Royaume-Uni. La SCA fait partie de la seconde Directive sur les services de paiement (PSD2).

Lorsque la SCA entrera en vigueur, une forme d’authentification à deux facteurs sera requise pour nombre de paiements en ligne par carte en Europe. Sans authentification, de nombreux paiements seront refusés par les banques de vos clients. Nous avons conçu Payment Intents, une nouvelle API de base, afin d’aider les entreprises à gérer ce changement et à tirer pleinement parti de toutes les exemptions à la SCA.

Vous devrez mettre à jour vos flux de paiement et votre intégration Stripe en vue de vous préparer à la SCA. Le processus dépendra de votre intégration et de vos flux de paiement actuels. Nous vous recommandons de lire ce guide pour comprendre les changements requis aux différents types de flux de paiement en raison de la SCA, et de le consulter lors de la modification de vos flux de paiement.

L’évolution des paiements

Les paiements traditionnels par carte se font généralement en deux étapes : l’autorisation et le débit. Un paiement est autorisé lorsque la banque ou l’émetteur de la carte d’un client décide de l’approuver, et il est effectif au moment où la carte est débitée.

Lors de l’entrée en vigueur de la SCA en septembre, une autre étape obligatoire interviendra avant l’autorisation et le débit : l’authentification. Cette étape contribue à protéger les clients en prévenant la fraude. Pour authentifier un paiement, un client répond à une invite de sa banque à fournir des informations supplémentaires. Ceci peut se faire par un élément qu’il connaît, comme un mot de passe, un élément qu’il utilise, comme son téléphone, ou un élément qui fait partie de lui, comme son empreinte digitale.

La méthode d’authentification des paiements la plus courante s’appelle 3D Secure. Vous connaissez peut-être 3D Secure sous ses dénominations commerciales comme « Visa Secure » ou « Mastercard Identity Check ». Il existe une nouvelle version, du nom de 3D Secure 2, qui sera disponible plus tard au cours de cette l’année. 3D Secure 2 devrait devenir la méthode standard d’authentification des paiements, mais elle n’est pas encore disponible. Vous pouvez découvrir les différences entre ces méthodes dans notre guide relatif à 3D Secure 2. Si votre entreprise fait appel à 3D Secure sur notre API Payment Intents, Stripe Billing ou la nouvelle version de Stripe Checkout, vous passerez automatiquement à 3D Secure 2 une fois qu’elle sera prise en charge, sans aucune intervention de votre part.

Peu importe la méthode que vous utilisez, les clients doivent être en session pour s’authentifier, ce qui signifie qu’ils doivent être connectés à votre site Web ou votre application. L’ajout de cette étape sera plus simple pour les entreprises qui débitent leurs clients immédiatement, et plus complexe pour celles qui les débitent après qu’ils ont quitté le flux de paiement (parfois appelé hors session).

Les scénarios présentés dans ce guide illustrent la façon dont ces trois étapes (authentification, autorisation et débit) peuvent varier en fonction du moment où vous débitez vos clients et de la façon dont vous le faites.

  1. Authentifier
    Un client authentifie un paiement en ligne.

    Un client répond à une invite 3D Secure de sa banque lui demandant de fournir des informations supplémentaires pour authentifier le paiement. Voir 3D Secure côté client.

    L'authentification est nécessaire lorsqu'un paiement n'est pas admissible à une exemption ou lorsque la banque du client refuse une demande d'exemption. Notre API Payment Intents sollicite automatiquement les exemptions admissibles avant d'ajouter l'étape d'authentification. Cela simplifie les flux de paiement et préserve les taux de conversion.

    Le saviez-vous ? L'authentification doit avoir lieu pendant que le client est en session, ou qu'il est connecté à votre site Web ou application. En conséquence, cette étape se déroule généralement au moment où le client passe sa commande.

  2. Autoriser
    Votre entreprise demande à la banque du client d'approuver le paiement.

    La banque du client décide d'approuver ou de refuser un paiement. En cas d'approbation, les fonds sont bloqués et garantis pendant sept jours. En cas de refus d'une demande d'autorisation, votre entreprise doit faire en sorte que le client rouvre une session pour réauthentifier le paiement, puis demander une nouvelle autorisation.

    Le saviez-vous ? Une demande d'autorisation peut encore être refusée par la banque du client après l'authentification. Cette situation peut se produire si le client ne possède pas suffisamment de fonds ou si la carte a expiré.

  3. Jusqu'à 7 jours

    Le délai entre l'autorisation et le débit peut aller jusqu'à sept jours, mais la plupart des entreprises débitent le paiement immédiatement après son autorisation.

    Le saviez-vous ? La banque d'un client peut indiquer qu'un paiement est « en attente » s'il a été autorisé sans avoir été débité.

  4. Débiter
    L'entreprise débite la carte du client, ce qui valide le paiement.

Comprendre les exemptions

Certains types de paiements, comme les transactions à faible risque, les abonnements forfaitaires, les ventes par téléphone et les transactions effectuées par le marchand, peuvent être exemptés de la SCA. Les transactions effectuées par le marchand sont des paiements réalisés avec une carte enregistrée alors que le client est hors session. Le paiement d’un abonnement à une salle de sport ou une facture d’eau ou d’électricité en sont des exemples courants. Pour bénéficier de cette exemption, votre entreprise doit avoir établi un accord avec le client et lui demander d’authentifier sa carte au moment de son enregistrement ou d’authentifier le premier paiement. Notre guide relatif à l’authentification forte du client explique dans le détail ces exemptions et d’autres.

Les API de paiement et les produits intégrant la SCA de Stripe aideront votre entreprise à tirer pleinement parti de ces exemptions en les sollicitant automatiquement. Lorsque les banques de vos clients accepteront les exemptions, ils n’auront pas à s’authentifier, ce qui réduira l’impact sur la conversion.

Néanmoins, les entreprises ne doivent pas compter sur les exemptions et doivent concevoir leurs flux de paiement de façon à ce qu’ils authentifient les clients lorsque nécessaire. La raison en est que les règles relatives aux exemptions dépendent des banques de vos clients. Elles évaluent chaque paiement et décident si une exemption s’applique ; et chaque banque appliquera les exemptions différemment.

Scénarios commerciaux

Afin d’illustrer l’impact de la SCA et son application, nous présentons la façon dont une étape d’authentification peut être intégrée aux flux de paiement pour différents modèles économiques.

Retour aux guides