1. Introduction

En 2013, la Commission européenne a publié une proposition de version révisée de la première Directive sur les services de paiement, afin de simplifier le traitement des paiements et de créer des règles et réglementations pour les services de paiement au sein de l’Union européenne (UE). Le besoin d’une deuxième Directive sur les services de paiement également appelée PSD2 s'est fait sentir ainsi que celui d'une nouvelle version de 3-D Secure, version 2.1 (3DSv2.1). La PSD2 est entrée en vigueur en janvier 2018. Elle a pour but d’assurer la protection des consommateurs avec tous les types de paiement. Elle promeut un paysage de paiement encore plus et ouvert et concurrentiel. En tant que fournisseur de services de paiement, nous sommes fiers d’avoir reçu la confirmation de notre respect de la PSD2 le 29 mai 2018.

La date limite pour la mise en œuvre de la PSD2 est fixée au 31 décembre 2020 pour les membres de l’Union européenne. La seule exception s’applique au Royaume-Uni (R-U) qui appliquera la SCA le 14 septembre 2021. Pour plus d’informations, visitez notre section actualité.

Dans le guide, nous vous indiquerons comment tirer pleinement profit de cette nouvelle norme et comment vous pouvez vous assurer de la respecter.

2. Qu’est-ce que l’authentification renforcée des clients (SCA) ?

Une partie de cette nouvelle réglementation est la mise en œuvre de l’authentification renforcée des clients (SCA) qui s’applique aux transactions électroniques européennes. Cela signifie que vos clients doivent s’authentifier avec au minimum DEUX des trois méthodes suivantes :
  • Quelque chose qu’ils connaissent (comme un PIN ou un mot de passe)
  • Quelque chose qu’ils détiennent (comme un lecteur de carte ou un téléphone portable)
  • Quelque chose qu’ils sont (comme une reconnaissance vocale ou une empreinte digitale)

Le plus grand changement et avantage pour vous en tant que marchand est le fait que vous ne serez pas responsable en cas de transaction frauduleuse. La décision de demande d’authentification sera dans les mains de la banque du client (émetteur).

Electronic Transactions SCA - FR.pngLe graphique explique les types de transactions électroniques concernées par la PSD2.

3. Indiquer le scénario de SCA préféré

Lorsque votre client (le titulaire de carte) commence une transaction sur votre site de e-commerce, l’un des deux scénarios suivants peut se produire :

  1. Flux avec vérification : le titulaire de carte devra fournir des données supplémentaires pour s’authentifier.
  2. Flux sans interaction : les titulaires de carte ne doivent pas s’authentifier parce que l’authentification a eu lieu en arrière-plan sans qu’ils doivent intervenir. Dans ce cas, l’émetteur a confiance en les informations que vous avez fournies avec la transaction et la responsabilité passe du côté de l’émetteur. 

Puisque la décision repose à présent dans les mains de l’émetteur, il vous demandera plus de données. Les émetteurs veulent obtenir des points de données pour améliorer la précision de leurs décisions, ce qui peut en définitive mener à un scénario sans interaction même si c’est vous qui êtes en première ligne et collectez les données. 

Nous offrons la possibilité d’indiquer le scénario que vous préférez. Pour ce faire, vous devrez envoyer des paramètres supplémentaires vers notre plateforme afin que les émetteurs puissent les utiliser pour évaluer les risques de la transaction. S’ils sont faibles, un flux sans interaction aura lieu.

En fonction de votre intégration, les paramètres requis peuvent varier : 

Remarque : avant que vous puissiez envoyer tout paramètre, assurez-vous d’avoir activé 3DS pour toutes vos méthodes de paiement par carte de crédit. Si tel n’est pas le cas, veuillez nous contacter et demander une activation. 

Image of 3DS activation for all payment methods

4. Exclusions de SCA

Certaines transactions sont considérées comme n’étant pas concernées et sont exclues de la PSD2. Par conséquent, il n’y a pas de SCA obligatoire.

5. Exemptions de SCA

Afin de réduire les interactions lors du passage de la commande, certaines transactions sont exemptées de SCA. Vous devrez demander une exemption et l’émetteur décidera si celle-ci est accordée ou non. Vous pouvez demander des exemptions en envoyant des paramètres supplémentaires à notre plateforme.

Les transactions pouvant faire l’objet d’une exemption sont : 

  • Les marchands figurant sur une liste blanche : les clients peuvent demander une exemption à leur émetteur pour faire figurer un marchand sur la liste blanche. Ces marchands sont considérés comme des « bénéficiaires dignes de confiance ».
  • Les transactions entre entreprises : il s’agit de transactions passées entre deux entreprises. 
  • TRA (analyse de risque des transactions) de l’acquéreur : vous pouvez demander une exemption pour les transactions que vous considérez présenter un faible risque. Étant donné que c’est la responsabilité de l’acquéreur qui est engagée, il analyse le portefeuille de transactions dans son ensemble (valeur des transactions, taux de fraude) et décide s’il y lieu d’accorder une exemption ou non. Veuillez contacter votre acquéreur pour obtenir plus d’informations.
  • TRA de l’émetteur : l’émetteur peut demander une exemption si vous ou l’acquéreur n’avez pas fait d’exemption. L’émetteur analysera le portefeuille de transactions dans son ensemble (valeur des transactions, taux de fraude) et décidera s’il y lieu d’accorder une exemption ou non. 
  • Les transactions de faibles montants : une exemption peut être appliquée pour les achats dont la valeur est inférieure à 30 €. Cependant, la SCA aura lieu si un client fait cinq transactions d’affilée ou atteint une valeur de plus de 100 €.
  • Authentification déléguée (portefeuille certifié) : un émetteur peut donner le pouvoir à un tiers, tel qu’un fournisseur de portefeuille certifié ou un marchand, de réaliser la SCA pour son compte.

En fonction de votre intégration, les paramètres requis peuvent varier : 

6. Passer la SCA avec un refus révocable (Soft Decline)

Comme nous l’avons décrit dans le chapitre précédent, vous pouvez demander à ne pas du tout réaliser la SCA pour certaines de vos transactions. Cependant, il est toujours possible que la banque de votre client insiste pour réaliser la procédure 3-D Secure, ce qui entraînera un refus de la transaction.

Notre mécanisme de refus révocable (Soft Decline) est une excellente façon de récupérer ces transactions refusées. Il vous permet de renvoyer la transaction une fois de plus vers notre plateforme après un premier refus en raison d’une procédure 3-D Secure manquante. L’envoi des données d’authentification avec la deuxième demande augmentera la probabilité que votre transaction soit acceptée après tout. Il est disponible pour Visa, American Express, MasterCard et Carte Bancaire. 

Pour plus d’informations sur le refus révocable, lisez notre guide DirectLink à ce sujet.