PSD2 : qu’est-ce que c’est et quelles sont les conséquences pour les consommateurs et les entreprises ?

psd2

La nouvelle directive européenne sur les paiements PSD2 est pleinement en vigueur depuis le week-end dernier et constitue une introduction à l’authentification forte du client (SCA). En avez-vous déjà entendu parler, mais vous ne savez pas exactement de quoi il s’agit ni quelles en sont les conséquences ? Nous vous l’expliquerons !

À mesure que le volume des paiements traités s’envole, le risque de comportement frauduleux augmente simultanément. C’est à la fois dommageable et inévitable — mais, surtout, surmontable.

Afin de créer un environnement plus sûr pour le traitement des paiements des consommateurs, le Parlement européen a projeté de mettre en application la directive révisée sur les services de paiement (DSP2) fin 2015. Dans le cadre de cette directive, certains paiements en ligne nécessiteront à compter du 14 septembre 2019 des niveaux de confirmation supérieurs de la part des consommateurs afin de se conformer à ce que la directive appelle l’« Authentification forte du client » ou « AFC ».

Pour s’assurer que les activités se poursuivent comme si de rien n’était une fois que les nouvelles réglementations seront entrées en vigueur, les organisations doivent dès à présent prendre les mesures appropriées en vue de se conformer à l’AFC — avant que cette conformité ne soit requise.

D’abord, qu’est-ce que l’AFC ?

Comme son nom le laisse penser, l’Authentification forte du client consiste simplement à s’assurer qu’un client est bien celui qu’il prétend être, avant d’approuver son paiement — et cela afin de diminuer le risque de fraude. Comment prouver que des personnes sont bien celles qu’elles disent être ? Bonne question. En relation avec l’AFC, les clients devront prouver leur identité en utilisant deux des trois méthodes suivantes :

  • Une chose que le client DÉTIENT :
    • Ce pourrait être un dispositif comme un smartphone, une montre intelligente ou un badge
  • Une chose que le client SAIT :
    • Des exemples courants peuvent être un mot de passe, un code PIN, ou la réponse à une question secrète
  • Une chose que le client EST :
    • Il s’agit d’une caractéristique physique unique de votre client — comme une empreinte digitale, son visage, ses yeux ou sa voix

Les clients devront-ils authentifier chaque paiement ?

Vous pensez peut-être qu’ajouter ces étapes à chaque paiement que vous traitez représente beaucoup de travail. Et vous auriez raison. Toutefois, l’intention de l’AFC est de réduire le risque de fraude pour des transactions susceptibles de présenter des taux de fraude supérieurs à d’autres. Vu ces intentions, plusieurs types de transactions ne nécessiteront pas d’AFC une fois que la directive sera entrée en vigueur. Ces dérogations sont :

Paiements inférieurs à 30 € : Les paiements sous ce seuil sont exemptés d’AFC. Toutefois, les banques demanderont une authentification si la carte n’a pas été authentifiée lors des 5 dernières transactions ou si la somme des transactions non authentifiées totalise plus de 100 €.

Transactions à risque peu élevé : Les transactions considérées comme étant à risque peu élevé seront également exemptées d’AFC. Le terme de « Risque peu élevé » est bien entendu subjectif et sera défini par la banque qui traite le paiement sur la base des moyennes de fraude tant de l’émetteur de la carte que de l’entité assurant le traitement de la transaction. Dans certains cas, l’émetteur de la carte comme son acquéreur peuvent demander une dérogation.

Transactions récurrentes : Une AFC est requise pour chaque première transaction d’un abonnement. Les sociétés qui exploitent un modèle d’abonnement pour leur facturation seront heureuses d’apprendre que la plupart des frais récurrents seront exemptés d’AFC — en supposant qu’ils concernent le même montant. Si le montant change, une AFC peut être exigée, à moins qu’une exemption soit possible en vertu de la dérogation suivante…

Transactions initiées par le commerçant : Les sociétés qui recourent à une facturation sous abonnement à montant variable ou qui facturent des suppléments alors que le client n’est pas présent seront exemptées en vertu de la dérogation des transactions initiées par le commerçant. Toutefois, la carte en question devra probablement être authentifiée lors de son utilisation initiale.

Commerçants sur liste blanche : Un client qui entretient une relation commerciale avec une entreprise donnée et ne souhaite pas que ses transactions soient authentifiées à l’avenir peut ajouter ce commerçant sur une « liste blanche » auprès de sa banque. Il évitera ainsi de devoir authentifier ses paiements ultérieurement.

Transactions passées par courrier ou par téléphone : Puisque les ordres de paiement passés par courrier ou par téléphone ne constituent pas une forme de paiement électronique, ils ne seront pas soumis à l’AFC.

Transactions interrégionales : Les sociétés acceptant des paiements de clients en dehors de l’Europe ne devront pas les authentifier. Cependant, si le client est situé en dehors de l’Europe mais que l’émetteur de la carte et le responsable du traitement de la transaction sont tous deux basés en Europe, cette transaction ne sera pas considérée comme interrégionale et pourrait être soumise à l’AFC.

Frais de stationnement et de transport : Ceci concerne les terminaux sans surveillance, y compris les paiements sans contact et sans limite de montant. L’indicateur est le code MCC, attendu qu’il n’existe pas en l’occurrence de dérogation standard.

Remarque : l’émetteur décide si une authentification est requise ou non, car il vérifie les transactions. Un émetteur assume donc le risque en cas de dérogation. De surcroît, en cas de dérogation, la responsabilité passe de l’émetteur à l’acquéreur.

Comment les entreprises peuvent-elles se conformer à l’AFC ?

Maintenant que la date d’entrée en vigueur approche à grands pas, il est temps pour les entreprises de réfléchir à la manière de se conformer à l’AFC afin de minimiser son impact sur leurs activités quotidiennes.

Aujourd’hui, les entreprises recourent généralement à 3D Secure pour traiter leurs transactions en ligne — c’est pourquoi 3D Secure 2.0 a été lancé de manière à favoriser la conformité AFC. En utilisant 3D Secure 2.0 pour authentifier vos paiements en ligne, vous aurez la certitude que vos clients subiront le moins de complications possible lors de la finalisation de leur expérience d’achat.

En soutenant des méthodes de paiement réputées comme Apple Pay ou Google Pay, vos clients assumeront une bonne part du travail d’authentification sans s’en rendre compte — étant donné qu’ils devront obligatoirement s’identifier pour utiliser ces services.

Résumé : protection des clients et des entreprises

À mesure que le monde du commerce bascule toujours plus vers un environnement en ligne, les environnements commercial et réglementaire continueront d’évoluer afin d’assurer la sécurité des acheteurs. Même si l’AFC peut sembler difficile à appréhender aujourd’hui, à longue échéance, elle protégera tant les clients que les entreprises des comportements malveillants.

Réfléchir à la manière de vous conformer tout en impactant le moins possible l’expérience d’achat de vos clients vous permettra de prendre des mesures qui minimiseront les impacts négatifs de ces changements de réglementation sur vos activités.

Veuillez noter que ces informations peuvent être soumises à interprétation. Si vous recherchez une aide experte pour appréhender la DSP2 et l’AFC — et continuer à vous conformer de la manière la plus indolore possible — contactez-nous dès aujourd’hui. Nous assurons un traitement sûr et sécurisé des paiements sans compromettre la commodité pour vos clients. Contactez-nous pour plus d’informations.