Respecter PSD2
1. Introduction
En 2013, la Commission européenne a publié une proposition de version révisée de la première Directive sur les services de paiement, afin de simplifier le traitement des paiements et de créer des règles et réglementations pour les services de paiement au sein de l’Union européenne (UE). Le besoin d’une deuxième Directive sur les services de paiement également appelée PSD2 s'est fait sentir ainsi que celui d'une nouvelle version de 3-D Secure, version 2.1 (3DSv2.1). La PSD2 est entrée en vigueur en janvier 2018. Elle a pour but d’assurer la protection des consommateurs avec tous les types de paiement. Elle promeut un paysage de paiement encore plus et ouvert et concurrentiel. En tant que fournisseur de services de paiement, nous sommes fiers d’avoir reçu la confirmation de notre respect de la PSD2 le 29 mai 2018.
La date limite pour la mise en œuvre de la PSD2 (deuxième directive sur les services de paiement) était le 31 décembre 2020 pour tous les pays membres de l’Union européenne. La seule exception s’applique au Royaume-Uni (R-U), qui a décidé d’appliquer la SCA (authentification forte du client) à partir du Mars 2022. Pour plus d’informations, visitez notre section actualité.
Dans le guide, nous vous indiquerons comment tirer pleinement profit de cette nouvelle norme et comment vous pouvez vous assurer de la respecter.
2. Qu’est-ce que l’authentification renforcée des clients (SCA) ?
Une partie de cette nouvelle réglementation est la mise en œuvre de l’authentification renforcée des clients (SCA) qui s’applique aux transactions électroniques européennes. Cela signifie que vos clients doivent s’authentifier avec au minimum DEUX des trois méthodes suivantes :- Quelque chose qu’ils connaissent (comme un PIN ou un mot de passe)
- Quelque chose qu’ils détiennent (comme un lecteur de carte ou un téléphone portable)
- Quelque chose qu’ils sont (comme une reconnaissance vocale ou une empreinte digitale)
Le plus grand changement et avantage pour vous en tant que marchand est le fait que vous ne serez pas responsable en cas de transaction frauduleuse. La décision de demande d’authentification sera dans les mains de la banque du client (émetteur).
Le graphique explique les types de transactions électroniques concernées par la PSD2.
3. Indiquer le scénario de SCA préféré
Lorsque votre client (le titulaire de carte) commence une transaction sur votre site de e-commerce, l’un des deux scénarios suivants peut se produire :
- Flux avec vérification : le titulaire de carte devra fournir des données supplémentaires pour s’authentifier.
- Flux sans interaction : les titulaires de carte ne doivent pas s’authentifier parce que l’authentification a eu lieu en arrière-plan sans qu’ils doivent intervenir. Dans ce cas, l’émetteur a confiance en les informations que vous avez fournies avec la transaction et la responsabilité passe du côté de l’émetteur.
Puisque la décision repose à présent dans les mains de l’émetteur, il vous demandera plus de données. Les émetteurs veulent obtenir des points de données pour améliorer la précision de leurs décisions, ce qui peut en définitive mener à un scénario sans interaction même si c’est vous qui êtes en première ligne et collectez les données.
Remarque : avant que vous puissiez envoyer tout paramètre, assurez-vous d’avoir activé 3DS pour toutes vos méthodes de paiement par carte de crédit. Si tel n’est pas le cas, veuillez nous contacter et demander une activation.
4. Exclusions de SCA
Certaines transactions sont considérées comme n’étant pas concernées et sont exclues de la PSD2. Par conséquent, il n’y a pas de SCA obligatoire.
- Transactions liées à des commandes par e-mail ou par téléphone (MOTO)
- Transactions se produisant lorsque votre acquéreur ou la banque du titulaire de carte est situé en dehors de la zone de l’EEE.
- Cartes prépayées anonymes jusqu’à 150 € (Article 63 de la PSD2)
- Transactions récurrentes, abonnements ou expéditions retardées/réparties entre plusieurs colis qui respectent les conditions des Transactions initiées par des marchands (MIT). Si elles ne respectent pas ces conditions, vous devrez envoyer des paramètres supplémentaires à notre plateforme. Cependant, lorsque établissez une première transaction récurrente avec votre client, l’authentification forte du client est obligatoire et elle doit également être mise en exergue à l’aide d’un paramètreMpi.threeDSRequestorChallengeIndicator=04 spécifique
5. Exemptions de SCA
Afin de réduire les interactions lors du passage de la commande, certaines transactions sont exemptées de SCA. Vous devrez demander une exemption et l’émetteur décidera si celle-ci est accordée ou non. Vous pouvez demander des exemptions en envoyant des paramètres supplémentaires à notre plateforme.
Les transactions pouvant faire l’objet d’une exemption sont :
- Les marchands figurant sur une liste blanche : les clients peuvent demander une exemption à leur émetteur pour faire figurer un marchand sur la liste blanche. Ces marchands sont considérés comme des « bénéficiaires dignes de confiance ». Cette exemption est accordée par les émetteurs.
- Les transactions entre entreprises : il s’agit de transactions passées entre deux entreprises. Cette exemption est accordée par les émetteurs.
- TRA (analyse de risque des transactions) de l’acquéreur : vous pouvez demander une exemption pour les transactions que vous considérez présenter un faible risque. Étant donné que c’est la responsabilité de l’acquéreur qui est engagée, il analyse le portefeuille de transactions dans son ensemble (valeur des transactions, taux de fraude) et décide s’il y lieu d’accorder une exemption ou non. Veuillez contacter votre acquéreur pour obtenir plus d’informations.
- TRA de l’émetteur : l’émetteur peut demander une exemption si vous ou l’acquéreur n’avez pas fait d’exemption. L’émetteur analysera le portefeuille de transactions dans son ensemble (valeur des transactions, taux de fraude) et décidera s’il y lieu d’accorder une exemption ou non.
- Les transactions de faibles montants : une exemption peut être appliquée pour les achats dont la valeur est inférieure à 30 €. Cependant, la SCA aura lieu si un client fait cinq transactions d’affilée ou atteint une valeur de plus de 100 €.
- Authentification déléguée (portefeuille certifié) : un émetteur peut donner le pouvoir à un tiers, tel qu’un fournisseur de portefeuille certifié ou un marchand, de réaliser la SCA pour son compte.
Il existe deux manières de demander une exemption, soit au sein d’une authentification, en demandant un flux sans interaction ou directement au sein de l’autorisation, avec une solution de repli pour réessayer la transaction avec l’authentification si l’émetteur refuse votre demande d’exemption.
- Si vous utilisez notre solution d’intégration DirectLink, lisez notre chapitre à ce sujet.
- Si vous utilisez notre solution d’intégration Page de paiement hebergée, lisez notre chapitre à ce sujet.
6. Passer la SCA avec un refus révocable (Soft Decline)
Comme nous l’avons décrit dans le chapitre précédent, vous pouvez demander à ne pas du tout réaliser la SCA pour certaines de vos transactions. Cependant, il est toujours possible que la banque de votre client insiste pour réaliser la procédure 3-D Secure, ce qui entraînera un refus de la transaction.
Notre mécanisme de refus révocable (Soft Decline) est une excellente façon de récupérer ces transactions refusées. Il vous permet de renvoyer la transaction une fois de plus vers notre plateforme après un premier refus en raison d’une procédure 3-D Secure manquante. L’envoi des données d’authentification avec la deuxième demande augmentera la probabilité que votre transaction soit acceptée après tout. Il est disponible pour Visa, American Express, MasterCard et Carte Bancaire.
Pour plus d’informations sur le refus révocable, lisez notre guide DirectLink à ce sujet.