Authentification forte du client

Ce que les entreprises en ligne doivent savoir sur la directive européenne

  1. Introduction
  2. Quest-ce que lauthentification forte du client ?
    1. Quand lauthentification forte du client est-elle requise ?
    2. Comment authentifier un paiement
    3. Exemptions de lauthentification forte du client
    4. Que se passe-t-il si une exemption est refusée ?
    5. Comment Stripe vous aide à satisfaire les exigences de lauthentification forte du client

Ce guide se penche sur les exigences européennes d'authentification forte du client (SCA) et les types de paiements concernés. Il décrit également les exemptions possibles pour les transactions à faible risque afin de fluidifier l'expérience de paiement.

Pour vous aider à identifier à quelle étape de votre parcours client l'authentification doit être ajoutée, nous avons publié un guide sur le sujet. Consultez notre site pour en savoir plus sur les produits Stripe prêts pour la SCA.

Qu'est-ce que l'authentification forte du client ?

L'authentification forte du client (SCA) est une réglementation européenne visant à réduire la fraude et à sécuriser les paiements en ligne et sans contact. Pour accepter des paiements tout en vous conformant aux exigences de la SCA, vous devez ajouter une étape d'authentification supplémentaire à votre tunnel de paiement. L'authentification forte du client utilise au moins deux des trois éléments suivants.

Ces exigences sont évoquées dans le texte original sur les Normes techniques réglementaires ou RTS. Les banques doivent refuser les paiements qui ne satisfont pas aux exigences de la SCA.

Quand l'authentification forte du client est-elle requise ?

L'authentification forte du client concerne les paiements en ligne initiés par les clients et les paiements hors-ligne sans contact effectués au sein de l'Europe. Ainsi, la plupart des paiements par carte et des transferts bancaires requièrent la SCA. N'étant pas considérés comme « initiés par les marchands », les prélèvements automatiques ne nécessitent pas d'authentification forte du client.

Ces exigences concernent les transactions par carte pour lesquelles l’entreprise et la banque du titulaire de la carte sont toutes deux implantées dans l’Espace économique européen (EEE).

Comment authentifier un paiement

À l'heure actuelle, les paiements en ligne sont le plus souvent authentifiés via le protocole 3D Secure, une norme d'authentification prise en charge par la majorité des cartes européennes. L'utilisation de 3D Secure ajoute généralement au flux de paiement une étape supplémentaire dans laquelle la banque invite le titulaire de la carte à fournir d'autres informations pour finaliser le paiement (par exemple, un code éphémère envoyé sur son téléphone ou la reconnaissance de ses empreintes digitales par le biais de son application bancaire mobile).

3D Secure 2 est principalement utilisée pour authentifier les paiements en ligne effectués par carte et garantir le respect des exigences de l'authentification forte du client. Cette version offre une meilleure expérience utilisateur en réduisant la friction apportée au tunnel de paiement par ces étapes d'authentification supplémentaires.

Les transactions par carte effectuées hors-ligne en saisissant un code PIN satisfont déjà les exigences d'authentification.

D'autres moyens de paiement qui utilisent une carte, comme Apple Pay ou Google Pay, prennent déjà en charge des tunnels de paiement comportant une couche d'authentification intégrée (biométrique ou mot de passe). Ces moyens de paiement permettent aux entreprises d'offrir une expérience de paiement fluide tout en respectant les réglementations en vigueur.

Nous nous attendons à voir de nombreux autres moyens de paiement populaires en Europe, tels qu'iDEALBancontact ou Multibanco, appliquer les règles de la SCA sans nuire à l'expérience utilisateur.

Exemptions de l'authentification forte du client

Cette réglementation prévoit d'exempter de l'authentification forte du client certains types de paiements à faible risque. Les prestataires de services de paiement comme Stripe sont en mesure de demander ces exemptions lors du traitement du paiement. C'est à la banque du détenteur de la carte qu'il revient toutefois d'estimer le niveau de risque de la transaction et de décider d'exiger ou non l'authentification.

L'intégration d'un mécanisme d'authentification à votre tunnel de paiement s'accompagne d'une étape supplémentaire susceptible de rendre le processus moins fluide et d'augmenter le taux d'abandon de panier. L'application d'exemptions aux paiements à faible risque peut réduire le nombre d'authentifications nécessaires et ainsi simplifier le processus. Nous avons conçu nos produits de paiement prêts pour la SCA de façon à protéger vos taux de conversion en tirant parti des exemptions (lorsqu'elles sont applicables).

Les exemptions les plus fréquentes pour les entreprises opérant en ligne sont les suivantes.

Transactions à faible risque

Un prestataire de services de paiement (comme Stripe) peut effectuer des analyses du risque en temps réel afin de déterminer si une transaction doit être soumise à la SCA. Cela n'est possible que si le taux de fraude des paiements par carte du prestataire de services de paiement ou de la banque n'excède pas les seuils suivants :

  • 0,13 % pour exempter les transactions inférieures à 100 €
  • 0,06 % pour exempter les transactions inférieures à 250 €
  • 0,01 % pour exempter les transactions inférieures à 500 €

Ces seuils seront convertis, le cas échéant, aux montants équivalents dans la devise locale.

Si seul le taux de fraude du prestataire de services de paiement est inférieur au seuil alors que celui de la banque du titulaire de la carte le dépasse, il est probable que la banque refuse l'exemption et demande l'authentification.

Ceci est sans doute l'une des exemptions les plus utiles pour les entreprises et l'une des plus largement autorisées par les banques. L'évaluation des risques complète en temps réelle de Stripe Radar nous permet d'accorder cette exemption à nos utilisateurs.

Paiements inférieurs à 30 €

Ce type d'exemption peut être utilisé pour les paiements de faibles montants. Les transactions inférieures à 30 € sont considérées de « faible valeur » et peuvent faire l'objet d'une exemption de SCA. Les banques doivent néanmoins demander l'authentification si le titulaire de la carte a déjà bénéficié de cinq exemptions depuis sa dernière authentification réussie ou si la somme des paiements précédemment exemptés dépasse 100 €. C'est à la banque du titulaire de la carte de suivre le nombre de fois que cette exemption a été appliquée et de décider si l'authentification est nécessaire.

En raison des limites strictes de cette exemption, l'exemption pour les transactions à faible risque sera sans doute plus pertinente pour la plupart des paiements. Notez toutefois que nous prenons en charge cette exemption pour nos clients.

Abonnements à montant fixe

Cette exemption peut être appliquée lorsque le client effectue des paiements récurrents de même montant à la même entreprise. L'authentification forte du client est requise lors du premier paiement du client. Les paiements suivants peuvent ensuite être exemptés de la SCA.

Cette exemption devrait être particulièrement utile pour les entreprises qui facturent des abonnements, et largement prise en charge par les banques européennes. Nous activons cette exemption pour les utilisateurs Stripe. Si vous utilisez Stripe Billing pour créer des abonnements, nous appliquons automatiquement cette exemption lorsque cela est possible et pouvons vous aider à gérer les demandes d'authentification dans le cas où l'exemption serait refusée par la banque du client.

Transactions initiées par le marchand (y compris les abonnements variables)

Les paiements effectués avec des cartes enregistrées alors que le client n'est pas présent dans le tunnel de paiement (également appelés les paiements hors session) peuvent être considérés comme des transactions initiées par le marchand. De par leur nature, ces paiements ne sont pas concernés par la SCA. Dans la pratique, signaler un paiement comme « transaction initiée par le marchand » revient à demander une exemption. Au même titre que pour les autres exemptions, ce sera alors à la banque de décider si la transaction doit faire l'objet d'une authentification.

Pour utiliser des transactions initiées par le marchand, vous devez authentifier la carte au moment de son enregistrement ou lors du premier paiement. Enfin, vous devez recueillir le consentement (mandat) du client afin de pouvoir débiter sa carte ultérieurement.

Il s'agit d'un cas d'usage essentiel pour les modèles économiques reposant sur les paiements différés, les abonnements à montant variable ou la facturation des produits additionnels. La plupart des banques européennes prennent en charge ce type de transactions et acceptent celles qu'elles considèrent à faible risque.

L'API de Stripe vous permet d'authentifier une carte lorsqu'elle est enregistrée pour une utilisation ultérieure et de marquer les paiements ultérieurs comme « transactions initiées par le marchand ».

Bénéficiaires de confiance

Au moment d'une authentification, les clients ont la possibilité de placer une entreprise de confiance sur une liste blanche pour éviter les étapes d'authentification lors de futurs achats. Ces entreprises sont ajoutées à une liste de « bénéficiaires de confiance » gérée par la banque du client ou le prestataire de services de paiement.

Alors que les listes blanches simplifient les achats récurrents et les abonnements, peu de banques utilisent cette fonctionnalité. Nous avons fait le choix de prendre en charge cette exemption dès que c'est possible.

Ventes par téléphone

Les informations de carte collectées par téléphone ne sont pas concernées par la SCA et ne requièrent donc pas d'authentification. Ce type de paiement est parfois appelé « commandes par courrier ou téléphone ». Tout comme les paiements exemptés, ces transactions doivent être signalées à la banque du titulaire de la carte afin que cette dernière puisse décider d'accepter ou de rejeter la transaction.

Largement pris en charge par les banques, ce cas d'usage est important pour toute entreprise acceptant des paiements par téléphone. Les paiements créés via le Dashboard Stripe sont automatiquement marqués comme étant des paiements MOTO.

Si votre entreprise est conforme PCI et que vous avez créé votre propre système pour accepter les commandes par téléphone, nos API de paiements vous permettent de marquer un paiement comme MOTO. Veuillez nous contacter pour activer cette fonctionnalité sur votre compte Stripe et accéder à la documentation technique.

Paiements par carte d'entreprise

Cette exemption concerne les paiements effectués avec une carte d'entreprise hébergée (par exemple, une carte d'entreprise utilisée pour payer les dépenses de transport des employés mais hébergée par une agence de voyages en ligne), ainsi que les dépenses d'entreprise réglées avec des numéros de carte virtuelle (également utilisés dans le secteur du transport).

Cette exemption ne devrait pas être très populaire hors de l'industrie du tourisme en raison de sa portée très limitée. L'exemption elle-même ne peut être demandée que par la banque du titulaire de la carte, étant donné que ni l'entreprise ni les prestataires de paiement (tels que Stripe) sont en mesure de détecter si une carte appartient à l'une de ces catégories.

Que se passe-t-il si une exemption est refusée ?

Bien que les exemptions soient très utiles, il ne faut pas oublier que seule la banque du titulaire de la carte peut décider de les accepter ou de les refuser. Les banques peuvent renvoyer des codes de refus pour les paiements ayant échoué en raison d'une authentification manquante. Ces paiements doivent alors être de nouveau soumis au client en l'invitant à procéder à une authentification forte. Les produits Stripe prêts pour la SCA déclenchent automatiquement cette authentification supplémentaire lorsqu'elle est demandée par les banques.

Si votre entreprise est concernée par la SCA, il est probable que votre taux d'abandon de panier augmente si des exemptions sont refusées et que les clients doivent s'authentifier. Ce sera notamment le cas si vous débitez vos clients alors qu'ils sont absents de votre tunnel de paiement (c'est-à-dire lorsqu'ils sont hors session) et qu'ils doivent retourner sur votre site Web ou votre application pour s'authentifier. Pour plus d'informations, consultez notre guide sur la conception de tunnels de paiement pour la SCA.

Comment Stripe vous aide à satisfaire les exigences de l'authentification forte du client

Les changements introduits par l'authentification forte du client auront de profondes répercussions sur le commerce en ligne en Europe. Les entreprises concernées qui ne se préparent pas d'ores et déjà à l'entrée en vigueur de cette réglementation pourraient voir leur taux de conversion chuter à mesure que l'application de la SCA se répand au sein des banques européennes.

Outre la prise en charge de méthodes d'authentification comme 3D Secure 2, la gestion des exemptions est essentielle pour proposer une expérience de paiement fluide. Optimisés pour les règles des organismes réglementaires, des banques et des réseaux de cartes, nos produits de paiement appliquent des exemptions pertinentes aux paiements à faible risque de façon à déclencher le protocole 3D uniquement si nécessaire. Par ailleurs, nous gérons et mettons à jour cette logique SCA en temps réel, à mesure que ces règles évoluent, tenant ainsi compte du calendrier d'application de chaque pays.

Nous avons déployé une API de paiement qui utilise la logique SCA de Stripe pour appliquer l'exemption appropriée et déclencher le protocole 3D Secure lorsque cela est nécessaire. Stripe Checkout et Stripe Billing sont toutes deux basées sur cette API et peuvent, si nécessaire, appliquer de manière dynamique le protocole 3D Secure.

Consultez notre site pour obtenir plus d'informations sur les produits Stripe prêts pour la SCA. Si vous avez des questions ou des remarques, n'hésitez pas à nous en faire part.

Envie de vous lancer ? Contactez-nous ou créez un compte.

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.