Qu’est-ce que « l’authentification forte du client » ?

Le 14 septembre 2019, une nouvelle législation intitulée « Directive sur les services de paiement 2 (DSP2)  » entrera en vigueur, afin de lutter contre la fraude et de renforcer la sécurité des paiements en ligne. Cela signifie que lorsque vous débiterez (ou autoriserez) une carte bancaire dont vous ne disposez pas physiquement ou lorsque vous la débiterez à distance, vous devrez suivre la procédure d’authentification forte du client (SCA).  

Grâce à ce dispositif, l’identité de vos clients sera vérifiée de manière approfondie. En effet, ils devront prouver qu’ils sont bien les titulaires de la carte de paiement en suivant deux des trois méthodes* d’authentification décrites ci-dessous :

Image
graphic_strong_customer_authentication

* Une information connue du client (par exemple un mot de passe ou un code PIN), quelque chose qu’il possède (comme un téléphone portable ou un objet connecté) ou quelque chose qui l’identifie (comme une empreinte digitale ou la reconnaissance faciale).

Remarque : À partir du 14 septembre 2019, les banques refuseront les paiements qui nécessitent l’authentification forte du client, mais qui ne répondent pas aux critères mentionnés plus haut.

 

Accéder à la section :

 

Dans quels cas la procédure d’authentification forte du client s’appliquera-t-elle ?

Comment Booking.com va-t-elle m'aider ?

Tous les paiements gérés par Booking.com

Que dois-je faire si une transaction est refusée ?

Pourquoi la nouvelle législation se nomme-t-elle DSP2 ?

Qu’est-ce que l’authentification forte du client dans le cadre de la directive DSP2 ?

Où cette procédure issue de la DSP2 s’appliquera-t-elle ?


Dans quels cas la procédure d’authentification forte du client s’appliquera-t-elle ?

La procédure d’authentification forte du client interviendra si vous débitez une carte de crédit ou de débit émise par une entité située dans l’Espace économique européen et si vous êtes résident de cette région. Lorsque vous essaierez de débiter une carte autrement qu’avec un terminal bancaire, la procédure s’appliquera.


Comment Booking.com va-t-elle m'aider ?

Toutes les réservations traitées via le service de Paiements en ligne bénéficieront de l’authentification forte du client, qui sera effectuée par Booking.com. 

Paiements partiellement gérés par Booking.com

Si vous utilisez déjà les Paiements en ligne pour certains de vos paiements effectués par Booking.com, voici comment nous vous aiderons :

  • Si un client paye via notre service de Paiements en ligne, nous nous chargerons d'authentifier ses transactions. Vous n'aurez rien à faire.
  • Si un client choisit de vous payer directement, le paiement pourrait être soumis à la SCA. Si vous débitez habituellement les cartes de vos clients en leur présence lors de l'enregistrement ou de leur départ de l'établissement, vous pouvez continuer à le faire de la même manière car la SCA ne s'applique généralement pas à ce cas de figure. Si vous débitez les clients à distance (par exemple, pour les prépaiements, les dépôts de garantie ou les frais de non-présentation), la SCA peut s'appliquer. Dans ces cas-là, nous serons là pour vous aider et nous ferons tout notre possible pour minimiser l'impact opérationnel sur votre établissement.

 

Tous les paiements gérés par Booking.com

Si vous utilisez les Paiements en ligne et que tous vos paiements sont gérés par Booking.com, vous n'avez rien à faire. Nous nous chargerons d'authentifier les transactions de tous les paiements pour vos réservations effectuées via Booking.com.

Que se passera-t-il si je ne souhaite pas utiliser les Paiements en ligne ?

Nous ne pouvons vous aider avec la SCA que si vous utilisez notre service de Paiements en ligne. Si vous n'utilisez pas ce service, vous devrez gérer vous-même les paiements et l'authentification forte de vos clients. Pour plus d'informations, contactez votre banque ou consultez les liens indiqués dans la section Prochaines étapes ci-dessous. 

Que dois-je faire si je ne peux pas profiter du service de Paiements en ligne ?

Contactez votre banque. Elle pourra vous en dire plus sur la directive DSP2 et vous expliquer comment vous assurer que vous respectez bien les exigences de la SCA. Vous pouvez également consulter les liens indiqués dans la section Prochaines étapes ci-dessous. 

Que dois-je faire si une transaction est refusée ?

Si l'une de vos transactions est refusée, vous pouvez signaler une carte de crédit comme invalide. Pour vous aider à débiter les cartes des clients, nous améliorons actuellement notre procédure pour signaler les cartes invalides afin qu'elle soit conforme aux exigences de la SCA. Nous vous tiendrons régulièrement au courant de cette évolution.

Prochaines étapes

Nous publierons plus d’articles traitant de l’authentification forte du client pour vous aider à comprendre les changements que cette législation implique et pour vous permettre de vous y préparer.

En attendant, vous pourrez trouver plus d'informations en consultant les sites Internet d'Adyen, de Stripe ou de JPMorgan


Pourquoi la nouvelle législation se nomme-t-elle DSP2 ?

Le sigle DSP2 renvoie à « Directive sur les Services de Paiement 2 », il s’agit d’une révision de la directive existante relative aux services de paiement. Celle-ci vise à renforcer la procédure d’authentification du client lors de paiements et/ou d’achats en ligne. L’authentification forte du client est également appelée « SCA » (Strong Customer Authentication). Par conséquent, « DSP2 » renvoie à la directive elle-même, tandis que « SCA » désigne les actions à mener pour la respecter.


Qu’est-ce que l’authentification forte du client dans le cadre de la directive DSP2 ?

L’authentification forte du client ajoute des étapes de vérification aux clients lorsqu’ils effectuent des achats en ligne ou lorsque leur carte n’est pas débitée par un terminal bancaire. Le client prouve ainsi qu’il est bien le titulaire de la carte, ce qui permet de réduire la fraude.


Où cette procédure issue de la DSP2 s’appliquera-t-elle ?

Cette procédure s’appliquera au sein de l’Europe, dès lors que le commerçant recevant la transaction est basé dans un pays de l’EEE et que la banque ou l’entité ayant délivré la carte bancaire du client l’est également.

La procédure s'applique dans les pays suivants :

  • Allemagne
  • Autriche
  • Belgique
  • Bulgarie
  • Chypre
  • Croatie
  • Danemark
  • Espagne
  • Estonie
  • Finlande
  • France
  • Grèce
  • Hongrie
  • Irlande
  • Islande
  • Italie
  • Lettonie
  • Liechtenstein
  • Lituanie
  • Luxembourg
  • Malte
  • Monaco
  • Norvège
  • Pays-Bas
  • Pologne
  • Portugal
  • République tchèque
  • Roumanie
  • Royaume-Uni
  • Slovaquie
  • Slovénie
  • Suède