Sécurité des paiements : ce qu'il faut savoir avant septembre ...

Thomas

Temps de lecture 11 minutes

blog-elloha-sca-et-psd2-les-cles-pour-comprendre-pour-votre-hotel

Dans presqu'un mois jour pour jour (le 14 septembre) entrera en vigueur la nouvelle norme européenne de paiement sécurisé PSD2; un sujet qui doit vous préoccuper beaucoup plus que le RGPD (données personnelles, voir notre article à ce sujet) et qui peut avoir quelques sérieux impacts sur votre activité au quotidien notamment en ce qui concerne les paiements reçus de vos clients lors de chaque réservation ...

Que vous soyez un hôtel, une maison d'hôtes ou un pro de l'activité, cette nouvelle norme vous concerne et sa mise en place au sein de votre entreprise va nécessiter à la fois beaucoup de rigueur et peu d'emportement (car, dans certains cas, il vous sera possible toutefois de bénéficier de régimes d'exception...).

Une date à respecter : le 14 septembre 2019 !

La PSD2 est la version 2 - comme son nom l'indique - de la Directive (européenne) sur les Services de Paiement ou (Payment Service Directive). L'enjeu est simple : donner plus de sécurité aux transactions en ligne à la fois pour le consommateur et le commerçant (en l'occurrence, vous) en introduisant le principe d'une authentification plus forte du client, soit en anglais une Strong Customer Authentification" ou SCA ... un acronyme dont vous risquez beaucoup d'entendre parler dans les prochaines semaines.

Lire aussi:
Le 14 septembre prochain risque de créer beaucoup de stress

Jusqu'à présent, quand un client réservait, il communiquait son numéro de carte bancaire à titre de paiement (partiel ou total; ce que l'on appelle le prepaid) ou à titre de garantie (avec paiement à l'arrivée; ce que l'on appelle le postpaid). Pour cela, il se contentait de le saisir sur votre moteur de réservation en mode sécurisé et il se contentait de vérifier, bien plus tard, si un débit avait été effectuté par vous sur sa carte. En possédant ses coordonnées bancaires, vous pouviez donc saisir un premier montant lors de la réservation, puis un second quelques jours plus tard à titre d'accompte et, enfin, un solde quelques heures avant son arrivée ou juste après son départ ... sans que ce dernier n'ait eu à donner la moindre autorisation supplémentaire en ce sens. À compter du 14 septembre, tout cela ne sera plus possible ... ou, du moins, ne se passera plus aussi facilement qu'auparavant. Voici pourquoi ...

Lire aussi:
Prepaid ou postpaid, que choisir ?
Le postpaid favorise une meilleure conversion
Booking, de plus en plus en mode prepaid ?

3 facteurs d'authentification et pas un de moins !

Le principe de l'authentification "forte" du consommateur chaque fois que sa carte bancaire sera utilisée repose sur l'utilisation d'au moins moins deux des trois facteurs suivants :

  • ce que le client détient, soit sa carte de crédit ou son téléphone portable,
  • ce que le client sait, comme sa clé de RIB ou le code PIN qui accède à son téléphone portable,
  • ce que le client est et qui permet de l’identifier à travers son téléphone comme son empreinte digitale ou encore sa reconnaissance faciale, c'est-à-dire son identification biométrique,

Ainsi, à chaque nouveau paiement que le client fera de sa propre initiative ou à chaque tentative que vous ferez pour débiter sa carte, rien ne sera permis sans que le client en soit informé en temps réel (par SMS ou par mail) et sans que ce dernier, en retour, n'ait utilisé deux de ces trois facteurs d'authentification "forte" pour l'autoriser ...

Quel impact direct de la PSD2 sur vos transactions ?

Attention, pas de panique, la mise en application de la PSD2 ne concerne pas toutes les transactions enregistrées par votre établissement. Pour devoir l'appliquer, à chaque fois, la situation devra remplir deux conditions à la fois:

  • la banque de votre client (ou l'émetteur de la carte que l'on appelle aussi l'issuer) doit être européenne. On ne parle pas ici de Visa, MasterCard ou encore American Express mais des banques elles-mêmes (Crédit Agricole, BNP, ING, etc ...). Cela concerne aussi les entreprises qui émettent des cartes de paiement comme les compagnies aériennes ou les chaines de magasin (Leclerc, Auchan, etc ...). Au final, retenez bien ce principe, ce qui compte c'est d'abord la nationalité de la banque du client et non celle du client lui-même.
  • de même, la directive s'applique si, en plus, celui que l'on appelle l’acquéreur (ou acquirer dans sa version anglaise) est aussi européen. En clair, il s'agit là de la banque qui va traiter la transaction en votre nom; votre banque, en somme ... qui a de très fortes chances d'être une banque européenne ...

Dans ces deux cas cumulatifs, la directive PSD2 et donc le SCA (ouf !) s'appliquent à toute transaction entre un client possèdant une carte émise par une banque européenne et votre établissement, lui-même titulaire d'un compte dans uneb banque européenne ...

Une transaction dont le client détient une carte émise par la banque Belfius (en Belgique) et qui réserve votre établissement dont la banque est établie en France est donc concerné par la SCA et le PSD2 : il devra donc s'authentifier deux fois pour valider sa réservation.

S'il s'agissait d'un client suisse (ou demain, britannique, Brexit oblige ...), la transaction ne tomberait pas sous le coup du PSD2.

Tous vos tarifs ne sont pas concernés

Autant le dire tout de suite : la PSD2 (et donc le contrôle "fort" dit SCA) s'appliquera systématiquement dès que vous encaisserez la moindre somme au moment même de la réservation.

Que vous encaissiez un acompte ou la totalité (prepaid), les mesures SCA s'appliqueront à votre client (et donc, à votre paiement). Cela veut dire que la SCA concernera plutôt vos tarifs promotionnels non remboursables et "Dernière Minute" qui, en général, ne sont pas annulables et que vous encaissez en grande partie au moment de la réservation. Autant dire que cela crée un double-obstacle pour vos clients : devoir payer intégralement et prendre le risque de rater l'identification par manque de préparation ou de paramétrage ...

En revanche, si vous réalisez une réservation par téléphone et que vous prenez la carte sur votre TPE physique (à l'ancienne !), vous n'êtes pas concerné(e) par les mesures PSD2. Pourquoi ? On appelle cela les paiements MOTO (pour Mail Order and Telephone Order) qui sont exemptés d'appliquer la PSD2. Pour cela, vous devrez veiller à bien configurer votre TPE physique en mode MO-TO, ce qui permettra d’encaisser sans aucun problème et sans authentification "forte".

Cela n'aura donc pas d'impact non plus sur les encaissements que vous ferez en mode manuel avec votre client en vis-à-vis qui vous donnera sa carte bancaire et aura, ensuite, tapé son code PIN avec succès. Là aussi, la directive considère que les conditions de sécurité sont réunies et vous exempte donc du moindre contrôle de sécurité supplémentaire.

Le postpaid n'est pas concerné par le SCA lors de la réservation en ligne

Si vous vous contentez de ne prendre que la carte bancaire du client en "garantie", c'est-à-dire en mode postpaid, le client continuera de faire sa réservation sur votre site comme à l'accoutumée sans contrôle supplémentaire. La PSD2 n'aura donc aucun impact sur ces réservations-là puisque le client vous règle, ensuite, lors de son arrivée chez vous soit en vous versant des espèces (ou un chèque), soit en tapant son code PIN sur votre terminal de paiement physique.

Attention, toutefois, aux cas de no-show et d'annulation où vous serez tenté(e) de vous munir du numéro de la carte bancaire de votre client pour procéder à un débit de pénalités. Comme nous le verrons plus loin, le PSD2 va sérieusement compliquer les choses ...

Toutefois, si vous restez sur le modèle du prepaid, vous devrez vous assurer que votre moteur de réservation et le système de paiement qui lui est associé est bien compatible PSD2 (ce qui est le cas de elloha et de Stripe !). Dans ce cas, vous n'avez rien à faire, les paiements de vos clients seront soumis aux contrôles PSD2 dans les conditions optimales ...

Plus difficile d'encaisser les no-shows ou annulations

Si un client ne vient pas ou annule et qu'il reste débiteur de pénalités, il vous était possible d'accéder à ses coordonnées bancaires pour les saisir ensuite sur votre TPE physique et prélever le montant exigé. Dans le cadre du PSD2, la double authentification de votre client sera requise pour valider la transaction. Et si le client - qui sera notifié en temps réel de votre tentative - n'est pas d'accord, il ne validera pas le paiement et vous vous retrouverez avec vos frais sur les bras ...

Là aussi, la solution de contournement (mais pour combien de temps ?..) sera de configurer votre TPE (physique, c'est important) en mode MO-TO et de débiter ces frais comme s'il s'agissait d'une réservation faite par téléphone ... mais cela ne vous met pas à l'abri d'un risque de répudiation (voire de poursuite) car si ce débit est fait en mode MO-TO, il sera clair pour tout le monde que ce sera vous qui l'aurait réalisé sans l'accord du client ... et là, cela peut créer quelques étincelles.

Et pour les acomptes ?

L'autre risque concerne le paiement des acomptes intermédiaires. Un exemple ? Ma réservation s'élève à 800€ et le client paie immédiatement 200€ puis je l'indique que je prélèverai 200€ supplémentaires à une semaine de son arrivée ... Dans ce cas, l'auhtentification aura lieu une première fois lors de la réservation et elle devrait logiquement se faire aussi lors du second encaissement ... Si le client ne valide pas ce second paiement, ma réservation a des risques de tomber à l'eau ...

Toutefois, si votre système de paiement sécurisé est correct (comme Stripe, par exemple, partenaire de elloha), il sera possible qu'après l’authentification de l’utilisateur, un token (pour jeton) appelé CAVV (Cardholder Authentication Verification Value) est créé. Ce token créé par votre système de paiement permettra ainsi de faire un encaissement a posteriori sans demander une authentification supplémentaire. A une condition toutefois: que le montant prélevé ne soit jamais supérieur à celui autorisé la première fois (soit le total du dossier de réservation).

Un risque sur mes réservations en ligne ?

Ces protocoles de sécurité (3DS2 et PSD2) vont, évidemment, compliquer un peu plus le process de réservation et de paiement en ligne (même quand il n'y aura pas de paiement intégral) et donc, cela peut avoir des répercussions sur vos ventes, du moins dans les premiers temps. D'où l'importance de vous assurer que vos moteur de réservation et systèmes de paiement sécurisé sont bien compatibles avec ces nouvelles normes...

Au-delà de cela, l'autre risque (dans les premiers temps) est que certains émetteurs de cartes bancaires (les banques) ne soient pas prêts à temps et donc que ces derniers refusent ou empêchent la double authentification du client, au risque de faire échouer la réservation ...

A cela se rajoute le risque de devoir mettre en place conjointement des mesures dites 3DS2 (voir plus loin) dont votre établissement peut se passer pour quelques mois encore ...

Nouveau call-to-action

PSD2 ou 3DS2, quelle différence ?

Le 3DS ou 3D Secure est l'ancêtre de la PSD2: ce système repose sur l'envoi d'un code de vérification par SMS au porteur de la carte qui doit le ressaisir dans une "petite fenêtre" pour valider son achat.

Le 3DS n'était pas obligatoire : cela veut dire que vous pouviez (en tant que commerçant) l'activer ou pas sur votre moteur de réservation sécurisé. Expliqué par les banques, le fait d'activer le 3DS vous donnait, en tant que commerçant, plus de sécurité sur les paiements effectués par vos clients. Et vous prémunissait contre les risques de répudiation, c'est-à-dire quand le porteur de la carte déclarait que vous aviez débité sa carte à tort et obtenait illico presto son remboursement ... Et il faut dire que cette "peur" a bien fonctionné car les voyages et les loisirs figurent parmi les achats les plus couramment "répudiés".

Toutefois, peu d'hébergeurs et de pros des loisirs l'activaient pour les raisons suivantes :

  • le 3DS avait un impact négatif sur vos conversions de réservation car, dans de nombreux cas, les clients ne l'avaient pas activé auprès de leur propre banque; ce qui se traduisait par de sérieux "bugs" lors des paiements et donc, des abandons...
  • ensuite, imposer le 3DS à vos clients ne vous protégeait pas plus contre les risques de répudiation. En effet, si vous regardez très attentivement votre contrat de paiement en ligne avec votre banque, il est bien précisé que 3DS ou pas, si un client dénonce le paiement par carte bancaire auprès de votre commerce, votre banque vous débite automatiquement la somme de votre compte ...

Le 3DS est donc rapidement apparu comme un frein à l'achat sans apporter de sécurité supplémentaire au commerçant en cas de répudiation.

Le 3DS2 se présente comme une évolution majeure du système 3DS : ==il s'agit d'un nouveau standard imposé par le consortium des grandes cartes bancaires (Visa, MasterCard, Amex) pour corriger les mauvais points du 3DS1 et améliorer la sécurité du consommateur: lors du paiement - si vous activez le 3DS2 sur votre système de paiement sécurisé - le client devra donner plus d'informations sur sa personne ou sa banque et il devra se soumettre aussi à une identification de type biométrique (empreinte ou reconnaissance faciale) via son téléphone... Partout dans le monde, le 3DS2 sera le standard de sécurité et sera une sorte d'étalon pour se caler sur les méthodes de protections de la PSD2 ... Difficile à suivre n'est-ce pas ?

Nouveau call-to-action

Et les OTAs dans tout ça ?

Si vous travaillez avec les principaux OTAs du marché, sachez que ces dernières sont aussi concernées par les normes PSD2 et que cela peut vous impacter indirectement aussi :

  • Expedia encaisse majoritairement depuis toujours les fonds au moment de la réservation (mode merchant). C'est donc l'OTA qui encaissera les sommes à votre place, procèdera aux contrôles PSD2 et vous reversera les fonds directement (sans autre forme de contrôle).
  • Pour Booking, qui n'encaisse rien du client majoritairement et vous transmet les coordonnées bancaires, ce sera donc à vous de procéder aux vérifications SCA lors de la prise d'acompte et donc, de prendre le risque que le client récuse cette authentification. Mais, à vrai dire, cela est déjà le cas aujourd'hui.

Concernant les OTAs qui ne vont pas tarder à communiquer à ce sujet, rien n'est encore précis sur comment seront traités vos annulations et vos no-shows ...

Un des risques majeurs est que l'OTA capte demain plus de réservations car il proposera un système plus simple pour le client : n'ayant pas à contrôler la carte par la forte authentification (et donc, en la renvoyant vers vous), l'OTA peut se présenter comme une solution de réservation plus simple que la vôtre ...

En revanche, si les OTAs décident de gérer eux-mêmes la double authentification, il est probable que les clients préfèrent venir réserver chez vous (surtout, si vous n'acceptez qu'une garantie et donc pas d'authentification de votre côté ...).

L'autre risque serait que des OTAs qui travaillent en mode "je prends la réservation mais pas le paiement ..." (c'est-à-dire en modème agency) profitent de ces dispositions pour changer de modèle et se charger des encaissements à votre place (pour vous écarter des risques inhérents) en contrepartie peut-être d'une révision à la hausse de vos coûts de réservation et de commissions ... Ce point sera à surveiller de très près dans les prochaines semaines.

Un retard certain à l'allumage ...

La mise en place du PSD2 rsique d'être assez sportive et peu susciter de sérieuses inquiétudes (nous n'avons pas encore étudié, en effet, tous les cas de figure) mais il est fort probable que vous bénéficiez d'un (court ?) répit car, à cette date, peu de banques semblent prêtes pour les 14 septembre prochain.

Même si personne n'ose encore évoquer un report de quelques mois, la date du 14 septembre risque de sonner comme un "faux départ" ... mais, attention, à ne pas prendre le risque de ne pas vous y préparer car il est fort probable qu'une accélération soit donnée d'ici à la fin de l'année dans tous les cas ...

Sign up for more like this.

Votre email
S'abonner