Authentification forte du client

Ce que les entreprises en ligne doivent savoir sur la nouvelle directive européenne

Dernière mise à jour le 4 mai 2020

Introduction

Le 14 septembre 2019, de nouvelles exigences en matière d’authentification des paiements en ligne ont été introduites en Europe dans le cadre de la Directive sur les services de paiement 2ème version (DSP2). Ces exigences devraient être appliquées courant 2020 et 2021.

Dans ce guide, nous examinerons de plus près ces nouvelles exigences connues sous le nom d’authentification forte du client (SCA) et les types de paiements qu’elles concernent. Nous évoquerons également les exemptions qui peuvent être utilisées pour les transactions à faible risque afin d’offrir une expérience de règlement fluide.

Nous avons publié une page distincte contenant les dernières informations sur le calendrier d’application de l’authentification forte du client, ainsi qu’un guide) pour vous aider à déterminer quand ajouter un processus d’authentification dans votre parcours client. Visitez notre site pour plus d’informations sur les produits de Stripe prêts pour la SCA.

Qu’est-ce que l’authentification forte du client ?

L’authentification forte du client (SCA) est une nouvelle exigence européenne en matière de régulation visant à réduire la fraude et à rendre les paiements en ligne plus sûrs. Pour accepter les paiements et vous conformer aux exigences de la SCA, vous devez ajouter une étape supplémentaire d’authentification à vos flux de paiement. La SCA nécessite que l’authentification utilise au moins deux des trois éléments suivants.

Un élément CONNU du client (p. ex. mot de passe ou PIN)
Un élément DÉTENU par le client (p. ex. téléphone ou token de matériel)
Un élément DÉFINISSANT le client (p. ex. empreintes digitales ou reconnaissance faciale)

(Si vous souhaitez connaître les exigences originales de la SCA, vous pouvez les consulter dans les Normes techniques réglementaires ou RTS.)

Les banques vont devoir commencer à refuser les paiements nécessitant une authentification forte du client qui ne respectent pas les exigences de la nouvelle réglementation. Bien que la SCA ait été introduite le 14 septembre 2019, ces exigences devraient être appliquées par les autorités de contrôle courant 2020 et 2021.

Quand une authentification forte du client est-elle nécessaire ?

L’authentification forte du client s’applique aux paiements en ligne "initiés par le client" au sein de l’Europe. La plupart des paiements par carte bancaire et tous les virements bancaires doivent par conséquent faire l’objet d’une authentification forte du client. En revanche, les prélèvements automatiques récurrents sont considérés comme "initiés par le marchand" et ne nécessitent donc pas d’authentification forte. À l’exception des paiements sans contact, les paiements par carte bancaire en personne ne sont pas non plus concernés par la nouvelle réglementation.

En ce qui concerne les paiements par carte bancaire en ligne, ces exigences s’appliquent aux transactions dans lesquelles l’entreprise et la banque du titulaire de la carte sont toutes deux situées dans l’Espace économique européen (EEE). (Le Royaume-Uni devrait également être concerné par la réglementation de la SCA, quelle que soit l’issue du Brexit.)

Comment authentifier un paiement

Actuellement, le moyen le plus courant d’authentifier un paiement par carte bancaire en ligne est le protocole 3D Secure, une norme d’authentification prise en charge par la grande majorité des cartes bancaires européennes. L’application du protocole 3D Secure ajoute généralement une étape supplémentaire après le règlement. Au cours de cette nouvelle étape, le titulaire de la carte est invité par sa banque à fournir des informations supplémentaires pour finaliser un paiement (par ex. un code unique envoyé sur son téléphone ou une authentification par empreinte digitale via son application bancaire mobile).

3D Secure 2, la nouvelle version du protocole d’authentification déployée en 2019, sera la principale méthode d’authentification des paiements par carte bancaire en ligne et de mise en œuvre des nouvelles exigences de la SCA. Cette nouvelle version offre une meilleure expérience utilisateur qui contribuera à minimiser les complexités que l’authentification ajoute au flux de règlement.

D’autres moyens de paiement par carte bancaire tels que Apple Pay ou Google Pay prennent déjà en charge les flux de paiement avec une couche d’authentification intégrée (biométrique ou mot de passe). Ces moyens de paiement peuvent être une excellente façon pour les entreprises d’offrir une expérience de règlement fluide tout en répondant aux nouvelles exigences.

De nombreux autres moyens de paiement européens, tels que iDEAL, Bancontact ou Multibanco devraient également adopter les nouvelles règles de la SCA sans apporter de modification majeure à leur expérience utilisateur.

Exemptions de l’authentification forte du client

Dans le cadre de cette nouvelle réglementation, certains types de paiements à faible risque peuvent être exemptés de l’authentification forte du client. Les prestataires de service de paiement comme Stripe peuvent demander ces exemptions lors du traitement du paiement. La banque du titulaire de la carte recevra alors la demande, évaluera le niveau de risque de la transaction et décidera finalement d’approuver ou non l’exemption, ou si l’authentification est toujours nécessaire.

L’intégration de l’authentification dans le flux de règlement introduit une étape supplémentaire qui peut ajouter une certaine complexité et augmenter le taux de perte de clients. L’utilisation d’exemptions pour les paiements à faible risque contribue à réduire le nombre de fois où vous devez authentifier un client et à rendre l’expérience plus fluide. Nous avons conçu nos nouveaux produits de paiement prêts pour la SCA pour vous permettre de profiter des exemptions lorsque cela est possible afin de préserver votre taux de conversion.

Les exemptions les plus pertinentes pour les entreprises en ligne sont les suivantes :

Transactions à faible risque

Un prestataire de services de paiement (comme Stripe) est autorisé à effectuer une analyse de risque en temps réel pour déterminer s’il doit appliquer la SCA à une transaction. Cela ne peut être possible que si le taux de fraude global des paiements par carte bancaire du prestataire de service de paiement ou de la banque ne dépasse pas les seuils suivants :

  • 0,13 % pour exempter les transactions inférieures à 100 €
  • 0,06 % pour exempter les transactions inférieures à 250 €
  • 0,01 % pour exempter les transactions inférieures à 500 €

Ces seuils seront convertis en montants équivalents locaux, le cas échéant.

Dans les cas où le taux de fraude du prestataire de service de paiement est inférieur au seuil alors que celui de la banque du titulaire de la carte est supérieur à ce seuil, il est probable que la banque refuse l’exemption et exige une authentification.

Paiements inférieurs à 30 €

Il s’agit d’une autre exemption qui peut être utilisée pour les paiements d’un faible montant. Les transactions inférieures à 30 € sont considérées comme "de faible valeur" et peuvent être exemptées de la SCA. Les banques doivent toutefois demander une authentification si l’exemption a été utilisée cinq fois depuis la dernière authentification réussie du titulaire de la carte ou si la somme des paiements exemptés précédemment dépasse 100 €. La banque du titulaire de la carte doit suivre le nombre de fois où cette exemption a été utilisée et décider si l’authentification est nécessaire.

Abonnements à montant fixe

Cette exemption peut s’appliquer lorsque le client effectue une série de paiements récurrents du même montant, au profit de la même entreprise. La SCA est requise pour le premier paiement du client ; les paiements ultérieurs peuvent toutefois être exemptés de la SCA.

Transactions initiées par le marchand (abonnements variables compris)

Les paiements effectués avec des cartes bancaires sauvegardées alors que le client n’est pas présent dans le flux de règlement (parfois appelés "paiements hors session") peuvent être considérés comme des transactions initiées par le marchand. Ces paiements ne relèvent pas techniquement du champ d’application de la SCA. En pratique, identifier un paiement comme une "transaction initiée par le marchand" revient à demander une exemption. Et comme pour toute autre exemption, il appartient toujours à la banque de décider si la transaction doit faire l’objet d’une exemption.

Pour utiliser les transactions initiées par le marchand, vous devez authentifier la carte bancaire soit lors de son enregistrement, soit lors du premier paiement. Enfin, vous devez obtenir l’accord du client (également appelé "mandat"), pour débiter sa carte ultérieurement.

Bénéficiaires de confiance

Lors de l’exécution de l’authentification pour un paiement, les clients ont la possibilité de mettre sur liste blanche une entreprise de confiance afin d’éviter d’avoir à authentifier ses futurs achats. Ces entreprises sont alors inscrites sur une liste de "bénéficiaires de confiance" tenue par la banque ou le prestataire de service de paiement du client.

Ventes par téléphone

Les informations de carte collectées par téléphone ne relèvent pas du champ d’application de la SCA et ne nécessitent pas d’authentification. Ce type de paiement est parfois appelé "commandes par courrier/par téléphone" (MOTO). Tout comme les paiements exemptés, les transactions MOTO doivent être signalées comme telles, la banque du titulaire de la carte prenant la décision finale d’accepter ou de refuser la transaction.

Paiements des entreprises

Cette exemption peut couvrir les paiements effectués avec des cartes bancaires "déposées" (par ex. lorsqu’une carte d’entreprise utilisée pour payer les frais de voyage des employés est détenue directement par une agence de voyage en ligne), ainsi que les paiements d’entreprise effectués à l’aide de numéros de cartes bancaires virtuelles (également utilisés dans le secteur des voyages).

Que se passe-t-il en cas d’échec d’une exemption ?

Bien que les exemptions puissent être très utiles, il est important de se rappeler que seule la banque du titulaire de la carte prend la décision finale d’accepter ou non une exemption. Les banques peuvent renvoyer de nouveaux codes de refus pour les paiements qui ont échoué en raison d’une authentification manquante. Ces paiements doivent ensuite être à nouveau soumis au client avec une demande d’authentification forte du client. Les produits prêts pour la SCA de Stripe déclenchent automatiquement cette authentification supplémentaire lorsque les banques l’exigent.

Si votre entreprise est concernée par la SCA, nous vous recommandons de prévoir une solution alternative au cas où une exemption serait rejetée et où votre client aurait besoin de s’authentifier. Cela est particulièrement important si vous débitez vos clients lorsqu’ils ne sont pas activement dans votre flux de règlement (c.-à-d. lorsqu’ils sont hors session) et que votre client doit retourner sur votre site Web ou votre application pour s’authentifier. Pour plus d’informations, consultez notre guide sur la conception des flux de paiement pour la SCA.

Comment Stripe vous aide à répondre aux exigences de l’authentification forte du client

Les changements introduits par cette nouvelle réglementation vont profondément affecter le commerce en ligne en Europe. Et bien que ces exigences ne devraient être appliquées que courant 2020 et 2021, les entreprises qui ne se préparent pas à cette nouvelle réglementation pourraient voir leurs taux de conversion baisser de manière significative à mesure que les banques européennes mettent la SCA en application.

Tout comme la prise en charge de nouvelles méthodes d’authentification telles que 3D Secure 2, nous pensons que le traitement efficace des exemptions constitue un élément clé pour créer une expérience de paiement fluide et efficace. Nos nouveaux produits de paiement sont optimisés pour les différentes règles établies par les autorités, les banques et les réseaux de cartes bancaires et appliquent des exemptions pertinentes pour les paiements à faible risque, de manière à ne déclencher l’authentification 3D Secure uniquement lorsque cela est nécessaire. Et à mesure que ces règles évolueront, nous serons en mesure de maintenir et d’actualiser cette logique de SCA en temps réel, en tenant compte du calendrier d’application de chaque pays.

Nous avons publié une nouvelle API de paiement fondamentale qui utilise la logique de la SCA de Stripe pour appliquer l’exemption appropriée et déclencher l’authentification 3D Secure le cas échéant. Notre nouveau Checkout ainsi que Stripe Billing reposent sur cette API et peuvent appliquer dynamiquement l’authentification 3D Secure si nécessaire.

En savoir plus sur les produits Stripe prêts pour la SCA. Si vous avez des questions ou des commentaires, veuillez nous contacter !

Retour aux guides