La mise en application de la nouvelle directive pour la sécurité des paiements, PSD2 (Payment Services Directive 2), initialement prévue le 14 septembre 2019, prendra désormais effet en janvier 2021.
Le principal enjeu de PSD2 est la mise en place de la Strong Customer Authentication (SCA), ou authentification forte du client. Sachant que seules 35% des entreprises du voyage et de l’hôtellerie y étaient prêtes en septembre dernier, le temps de répit accordé par les régulateurs européens ne sera pas de trop. [1]
Quelles sont les conséquences de PSD2 et de la SCA pour vos voyages d’affaires ?
Voici les challenges que votre entreprise doit surmonter d’ici décembre 2020, ainsi que de premières solutions pour vous y aider.
Qu’est-ce que PSD2 et la SCA ?
La directive européenne PSD2 suit la création des Third Party Provider, ou TPP, en 2017.
Les Third Party Provider sont de nouvelles entités non bancaires autorisées à valider un paiement. Elles sont particulièrement pertinentes lors des achats en ligne :
- Elles ont accès à l’historique du compte client afin d’évaluer correctement les risques d’une transaction, sans devoir interroger la banque.
- Elles suppriment de nombreuses contraintes et aident les marchands à savoir s’ils doivent valider un paiement, accorder un crédit ou accepter un paiement en plusieurs fois.
Aujourd’hui, les transactions en ligne font l’objet de nombreuses fraudes. Ce sont aux marchands de choisir s’il faut enclencher (ou non) la procédure 3-D Secure avant de valider un paiement. C’est pourquoi PDS2 entend mettre en place un protocole réglementé afin de sécuriser les paiements.
Ce protocole est l’authentification forte, ou SCA (Strong Customer Authentication).
La SCA consiste à vérifier l’identité du titulaire du compte bancaire en exigeant la validation de deux facteurs d’authentification. Ces derniers doivent appartenir à deux catégories de facteurs distinctes, parmi les trois catégories suivantes :
- Facteur de connaissance. Le client justifie d’une information qu’il connaît, comme un code ou un mot de passe.
- Facteur de possession. Le client dispose d’un élément qu’il possède, comme un téléphone portable ou une carte.
- Facteur d’inhérence. Le client montre un élément qui le caractérise, grâce à la reconnaissance faciale, digitale ou vocale, par exemple.
Ce nouveau protocole risque de compliquer les procédures de paiement, aussi bien pour les marchands que pour les intermédiaires et les clients.
Et les transactions liées aux voyages d’affaires sont en première ligne.
À quels risques le secteur des voyages d’affaires est-il exposé avec PSD2 ?
La transition vers PSD2 est particulièrement appréhendée dans le domaine des voyages d’affaires.
Avec des réservations de voyages en ligne de l’ordre de 180 milliards d’euros en Europe, l’impact économique d’une transition mal menée vers PSD2 serait conséquent.
Voici les risques inhérents à la transformation de la procédure de paiement pour les voyages d’affaires.
Un parcours utilisateur moins fluide et davantage d’achats abandonnés
Les acteurs de l’industrie des voyages d’affaires sont pessimistes. Deux tiers des agences de voyages redoutent un impact négatif de PSD2 sur les ventes en ligne. [1]
Le manque de préparation des entreprises face à l’authentification forte explique en partie ces craintes.
En effet, si les voyageurs d’affaires ne sont pas préparés à la SCA ou si l’expérience utilisateur se dégrade, de nombreuses réservations en ligne risquent d’être abandonnées en cours de route au profit d’autres méthodes de réservation ne nécessitant pas de SCA.
Des études prédisent 10 à 20% d’augmentation du taux d’abandon et une perte de 57 milliards d’euros en Union Européenne dans l’année suivant la mise en place de la SCA. [2] [3]
Heureusement, les parcours d’authentification sont conçus pour être fluides et ne pas coûter trop d’efforts côté utilisateur.
Par exemple, il est très simple pour le voyageur d’affaires d’ouvrir son application de paiement sur son téléphone (facteur 1 : possession) et de la déverrouiller par empreinte digitale (facteur 2 : inhérence).
Cependant, d’autres éléments sont de potentiels facteurs d’abandon en cours de paiement :
1. Le manque de sensibilisation des voyageurs d’affaires. Le voyageur d’affaires mal informé au sujet de la SCA risque d’être surpris. Quelles données est-il autorisé à fournir face à une demande de validation inhabituelle ? Comment doit-il réagir face à un refus de paiement ?
2. Des conditions matérielles trop exigeantes. Le matériel à disposition du voyageur d’affaires doit correspondre à celui exigé par le parcours de SCA. Par exemple, il peut devenir indispensable de posséder un smartphone professionnel ou un appareil équipé d’un système de reconnaissance digitale, faciale ou vocale.
3. Des transactions difficiles à déléguer à des tiers. Comment faire valider un paiement par un assistant, par exemple, lorsque le SCA requiert un facteur d’inhérence ?
Des frais de voyages d’affaires toujours plus complexes
Par nature, les frais liés aux voyages d’affaires et à l’hôtellerie sont complexes.
- De multiples parties prenantes sont impliquées dans la distribution, la réservation et la réalisation des prestations.
- Les voyages d’affaires donnent lieu à un mix de paiements directs et indirects.
- Les procédures de paiement diffèrent en fonction du marchand ou de l’intermédiaire.
- Les transactions sont souvent transfrontalières.
Or, la nouvelle réglementation accroît encore cette complexité.
Loin d’être une simple transaction e-commerce, une réservation en ligne requiert bien souvent une intervention manuelle de la part du marchand au moment du paiement. De plus, les équipements couramment utilisés pour la réservation, la facturation et le paiement ne sont pas tous dotés des solutions de sécurisation comme 3-D Secure.
En somme, les standards exigés par PSD2 sont difficiles à transposer dans un paysage aussi complexe, composé d’une multiplicité de procédures de paiement et d’équipements technologiques.
De nombreux cas particuliers et des difficultés d’interprétation de la réglementation
Plusieurs spécificités de l’authentification forte font l’objet de difficultés d’interprétation. Ce sont des challenges dont les solutions restent à construire.
La transmission des données entre l’entité qui effectue la SCA et le marchand.
Avec PSD2, le marchand final n’est pas nécessairement celui qui initie la procédure de SCA.
L’entité qui prend en charge la validation du paiement doit être en mesure de prouver au marchand que la procédure de SCA a été correctement réalisée.
Les moyens techniques pour réaliser la transmission de ces informations ne sont pas strictement définis, mais nous devinons que de nombreux marchands et intermédiaires seront contraints de se rééquiper.
Le manque de visibilité sur l'origine d’une transaction.
Autre conséquence de la difficulté à communiquer les informations de paiement entre toutes les parties prenantes, l’origine d’une transaction est parfois opaque. Les marchands et les intermédiaires manquent de visibilité pour juger si l’authentification forte est nécessaire ou non.
Le cas des transactions MOTO (Mail Order Telephone Order) en voyages d’affaires.
Les transactions MOTO sont les paiements réalisés par téléphone (call center) ou email. De nombreuses prestations, notamment hôtelières, sont aujourd’hui attribuées à cette catégorie. Et en théorie, ces transactions sont exemptées de SCA !
Bonne nouvelle pour les dépenses engagées en voyages d’affaires ?
Ce n’est pas si évident.
Dans les faits, la définition d’un achat MOTO reste flou. Quid d’une réservation initiée en ligne mais nécessitant une intervention manuelle pour effectuer le règlement ?
- L’achat en ligne n’entre pas dans la catégorie MOTO
- Mais la démarche de paiement manuel s’apparente à celle des réservations par téléphone (donc MOTO)
À ce jour, nous ne savons pas si les régulateurs comptent exempter une partie des prestations de voyage au titre de transaction MOTO.
Le cas des transactions conflictuelles.
L’authentification forte exige une action de la part du client.
Les prestataires craignent que certaines transactions, comme le règlement des frais de retard, d’annulation ou de no-show, restent impayées si la SCA est requise.
Les exemptions de SCA.
Nous y reviendrons dans un instant, mais de nombreuses exemptions de SCA faciliteront l’application des nouvelles directives de sécurité.
Toutefois, elles doivent faire l’objet d’une approbation par les autorités législatives locales et les régulateurs. Dans un premier temps, il est difficile d’imaginer que les procédures d’exemptions seront approuvées uniformément dans l’espace économique européen, régi par de nombreuses autorités distinctes.
Les solutions pour surmonter les challenges de PSD2 et SCA
Tout d’abord, dédramatisons les challenges auxquels les entreprises sont confrontées.
Certes, la transition n’est pas aisée, mais toutes les parties prenantes aux voyages d’affaires se sentent concernées et s’impliquent dans la recherche de solutions.
- 70% des prestataires de voyages prévoient de faire le nécessaire pour appliquer les exemptions d’authentification forte. (1)
- Les émetteurs de solutions de paiement mettent en place les outils nécessaires pour que l’expérience utilisateur ne se dégrade pas avec la mise en place de l’authentification forte - et pour que l’abandon des achats reste moindre.
- La nouvelle version du système 3-D Secure, 3DS 2.2.0, sera exigée pour toutes les entités susceptibles d’initier une validation de paiement. Elle facilite l'identification des transactions exemptées de SCA. Elle simplifie également la connexion entre les parties prenantes au paiement, et ainsi la communication des informations relatives à sa validation.
Par ailleurs, de nombreuses pistes existent pour se préparer à cette nouvelle directive et en surmonter les difficultés.
Mettre en place des procédures d’exemption d’authentification forte
Lorsqu’un type de paiement est exposé à un risque faible, la procédure de SCA ne s’avère pas nécessaire.
Voici les paiements susceptibles de passer au travers des mailles du filet :
- Les réservations MOTO, considérées comme des commandes par correspondance (réalisées via un call center ou par email).
- Les transactions initiées par le commerçant (Merchant Initiated Transactions, ou MIT). Une exemption particulièrement utile pour le règlement de mensualités, dans le cadre d’un abonnement SAAS par exemple ! À partir du moment où la SCA a été appliquée une première fois, les transactions suivantes seront automatiquement autorisées.
- Les transactions hors périmètre d’application de PSD2. Il s’agit des paiements dont le client ou le marchand se situe en dehors de l’espace économique européen.
- Les transactions internes à l’entreprise.
- Les frais engagés avec une carte virtuelle ou avec une carte logée chez un prestataire de voyages.
- Les frais engagés par carte corporate, auprès d’une agence de voyages ayant déjà associée la carte à un profil voyageur.
L’expert Grégoire Toussaint (Directeur du cabinet de conseil en stratégie et management - Edgar, Dunn & Company), intervenu lors de notre Matinale au sujet de PSD2, recommande fortement de se rapprocher de son émetteur de cartes, de ses prestataires de voyages et des plateformes de réservation en ligne à ce sujet.
Quelle est leur interprétation de PSD2 et sont-ils prêts à s’y conformer ? Comment comptent-ils gérer les exemptions ?
Une bonne communication est essentielle pour réussir la transition.
Se préparer en interne et adapter la Politique Voyages Entreprise
Vous avez déjà entrepris de vous informer au sujet des nouvelles règles de paiement.
Désormais, identifiez en interne les challenges qui concernent plus particulièrement votre entreprise.
Consultez vos travel managers : quels sont les paiements les plus courants et comment sont-ils affectés par PSD2 ? Tous ne tombent pas nécessairement dans le champ d’application de l’authentification forte.
À partir de ce travail, n’oubliez pas de mettre à jour votre Politique Voyages Entreprise (PVE) pour y intégrer les nouvelles consignes relatives à PSD2.
Former et sensibiliser les collaborateurs
Enfin, il est essentiel de familiariser les voyageurs d’affaires avec les futures pratiques de sécurité des paiements.
Certes, il est dans l’intérêt des agences de voyages de sensibiliser leurs clients au SCA… mais ce serait une erreur de vous reposer uniquement sur vos prestataires :
- Moins de 20% des agences de voyages ont fait un effort de sensibilisation à ce jour
- Seules 42% prévoient de mener une campagne de sensibilisation prochainement
- 25% déclarent compter sur les émetteurs de solutions de paiement pour éduquer les entreprises clientes [1]
Or, si vos voyageurs d’affaires sont surpris par l’authentification forte et renoncent aux réservations qui l’exigent, votre entreprise en subira également les conséquences :
- Les collaborateurs sont susceptibles de privilégier d’autres méthodes de réservation que celles prévues par l’entreprise (open booking)
- Le suivi des réservations et des données de paiements est plus difficile et votre maîtrise du budget voyages s’affaiblit
- Les processus de traitement des frais perdent en fluidité
Une formation et une excellente communication interne sont de rigueur pour préparer activement les collaborateurs aux nouveaux protocoles. Concevez une campagne de communication de plusieurs mois, afin que chacun soit prêt le jour J.
Et surtout, prenez des dispositions pour réagir rapidement en cas de problème. Les complications seront inévitables dans un premier temps !
Références :
[1] Etude Amadeus https://amadeus.com/en/insights/research-report/strong-customer-authentication-in-travel-payments
[2] Etude Stripe
