La mise en application de la nouvelle directive pour la sécurité des paiements, PSD2 (Payment Services Directive 2), initialement prévue le 14 septembre 2019, prendra désormais effet en janvier 2021.
Le principal enjeu de PSD2 est la mise en place de la Strong Customer Authentication (SCA), ou authentification forte du client. Sachant que seules 35% des entreprises du voyage et de l’hôtellerie y étaient prêtes en septembre dernier, le temps de répit accordé par les régulateurs européens ne sera pas de trop. [1]
Quelles sont les conséquences de PSD2 et de la SCA pour vos voyages d’affaires ?
Voici les challenges que votre entreprise doit surmonter d’ici décembre 2020, ainsi que de premières solutions pour vous y aider.
La directive européenne PSD2 suit la création des Third Party Provider, ou TPP, en 2017.
Les Third Party Provider sont de nouvelles entités non bancaires autorisées à valider un paiement. Elles sont particulièrement pertinentes lors des achats en ligne :
Aujourd’hui, les transactions en ligne font l’objet de nombreuses fraudes. Ce sont aux marchands de choisir s’il faut enclencher (ou non) la procédure 3-D Secure avant de valider un paiement. C’est pourquoi PDS2 entend mettre en place un protocole réglementé afin de sécuriser les paiements.
Ce protocole est l’authentification forte, ou SCA (Strong Customer Authentication).
La SCA consiste à vérifier l’identité du titulaire du compte bancaire en exigeant la validation de deux facteurs d’authentification. Ces derniers doivent appartenir à deux catégories de facteurs distinctes, parmi les trois catégories suivantes :
Ce nouveau protocole risque de compliquer les procédures de paiement, aussi bien pour les marchands que pour les intermédiaires et les clients.
Et les transactions liées aux voyages d’affaires sont en première ligne.
La transition vers PSD2 est particulièrement appréhendée dans le domaine des voyages d’affaires.
Avec des réservations de voyages en ligne de l’ordre de 180 milliards d’euros en Europe, l’impact économique d’une transition mal menée vers PSD2 serait conséquent.
Voici les risques inhérents à la transformation de la procédure de paiement pour les voyages d’affaires.
Les acteurs de l’industrie des voyages d’affaires sont pessimistes. Deux tiers des agences de voyages redoutent un impact négatif de PSD2 sur les ventes en ligne. [1]
Le manque de préparation des entreprises face à l’authentification forte explique en partie ces craintes.
En effet, si les voyageurs d’affaires ne sont pas préparés à la SCA ou si l’expérience utilisateur se dégrade, de nombreuses réservations en ligne risquent d’être abandonnées en cours de route au profit d’autres méthodes de réservation ne nécessitant pas de SCA.
Des études prédisent 10 à 20% d’augmentation du taux d’abandon et une perte de 57 milliards d’euros en Union Européenne dans l’année suivant la mise en place de la SCA. [2] [3]
Heureusement, les parcours d’authentification sont conçus pour être fluides et ne pas coûter trop d’efforts côté utilisateur.
Par exemple, il est très simple pour le voyageur d’affaires d’ouvrir son application de paiement sur son téléphone (facteur 1 : possession) et de la déverrouiller par empreinte digitale (facteur 2 : inhérence).
Cependant, d’autres éléments sont de potentiels facteurs d’abandon en cours de paiement :
1. Le manque de sensibilisation des voyageurs d’affaires. Le voyageur d’affaires mal informé au sujet de la SCA risque d’être surpris. Quelles données est-il autorisé à fournir face à une demande de validation inhabituelle ? Comment doit-il réagir face à un refus de paiement ?
2. Des conditions matérielles trop exigeantes. Le matériel à disposition du voyageur d’affaires doit correspondre à celui exigé par le parcours de SCA. Par exemple, il peut devenir indispensable de posséder un smartphone professionnel ou un appareil équipé d’un système de reconnaissance digitale, faciale ou vocale.
3. Des transactions difficiles à déléguer à des tiers. Comment faire valider un paiement par un assistant, par exemple, lorsque le SCA requiert un facteur d’inhérence ?
Par nature, les frais liés aux voyages d’affaires et à l’hôtellerie sont complexes.
Or, la nouvelle réglementation accroît encore cette complexité.
Loin d’être une simple transaction e-commerce, une réservation en ligne requiert bien souvent une intervention manuelle de la part du marchand au moment du paiement. De plus, les équipements couramment utilisés pour la réservation, la facturation et le paiement ne sont pas tous dotés des solutions de sécurisation comme 3-D Secure.
En somme, les standards exigés par PSD2 sont difficiles à transposer dans un paysage aussi complexe, composé d’une multiplicité de procédures de paiement et d’équipements technologiques.
Plusieurs spécificités de l’authentification forte font l’objet de difficultés d’interprétation. Ce sont des challenges dont les solutions restent à construire.
La transmission des données entre l’entité qui effectue la SCA et le marchand.
Avec PSD2, le marchand final n’est pas nécessairement celui qui initie la procédure de SCA.
L’entité qui prend en charge la validation du paiement doit être en mesure de prouver au marchand que la procédure de SCA a été correctement réalisée.
Les moyens techniques pour réaliser la transmission de ces informations ne sont pas strictement définis, mais nous devinons que de nombreux marchands et intermédiaires seront contraints de se rééquiper.
Le manque de visibilité sur l'origine d’une transaction.
Autre conséquence de la difficulté à communiquer les informations de paiement entre toutes les parties prenantes, l’origine d’une transaction est parfois opaque. Les marchands et les intermédiaires manquent de visibilité pour juger si l’authentification forte est nécessaire ou non.
Le cas des transactions MOTO (Mail Order Telephone Order) en voyages d’affaires.
Les transactions MOTO sont les paiements réalisés par téléphone (call center) ou email. De nombreuses prestations, notamment hôtelières, sont aujourd’hui attribuées à cette catégorie. Et en théorie, ces transactions sont exemptées de SCA !
Bonne nouvelle pour les dépenses engagées en voyages d’affaires ?
Ce n’est pas si évident.
Dans les faits, la définition d’un achat MOTO reste flou. Quid d’une réservation initiée en ligne mais nécessitant une intervention manuelle pour effectuer le règlement ?
À ce jour, nous ne savons pas si les régulateurs comptent exempter une partie des prestations de voyage au titre de transaction MOTO.
Le cas des transactions conflictuelles.
L’authentification forte exige une action de la part du client.
Les prestataires craignent que certaines transactions, comme le règlement des frais de retard, d’annulation ou de no-show, restent impayées si la SCA est requise.
Les exemptions de SCA.
Nous y reviendrons dans un instant, mais de nombreuses exemptions de SCA faciliteront l’application des nouvelles directives de sécurité.
Toutefois, elles doivent faire l’objet d’une approbation par les autorités législatives locales et les régulateurs. Dans un premier temps, il est difficile d’imaginer que les procédures d’exemptions seront approuvées uniformément dans l’espace économique européen, régi par de nombreuses autorités distinctes.
Tout d’abord, dédramatisons les challenges auxquels les entreprises sont confrontées.
Certes, la transition n’est pas aisée, mais toutes les parties prenantes aux voyages d’affaires se sentent concernées et s’impliquent dans la recherche de solutions.
Par ailleurs, de nombreuses pistes existent pour se préparer à cette nouvelle directive et en surmonter les difficultés.
Lorsqu’un type de paiement est exposé à un risque faible, la procédure de SCA ne s’avère pas nécessaire.
Voici les paiements susceptibles de passer au travers des mailles du filet :
L’expert Grégoire Toussaint (Directeur du cabinet de conseil en stratégie et management - Edgar, Dunn & Company), intervenu lors de notre Matinale au sujet de PSD2, recommande fortement de se rapprocher de son émetteur de cartes, de ses prestataires de voyages et des plateformes de réservation en ligne à ce sujet.
Quelle est leur interprétation de PSD2 et sont-ils prêts à s’y conformer ? Comment comptent-ils gérer les exemptions ?
Une bonne communication est essentielle pour réussir la transition.
Vous avez déjà entrepris de vous informer au sujet des nouvelles règles de paiement.
Désormais, identifiez en interne les challenges qui concernent plus particulièrement votre entreprise.
Consultez vos travel managers : quels sont les paiements les plus courants et comment sont-ils affectés par PSD2 ? Tous ne tombent pas nécessairement dans le champ d’application de l’authentification forte.
À partir de ce travail, n’oubliez pas de mettre à jour votre Politique Voyages Entreprise (PVE) pour y intégrer les nouvelles consignes relatives à PSD2.
Enfin, il est essentiel de familiariser les voyageurs d’affaires avec les futures pratiques de sécurité des paiements.
Certes, il est dans l’intérêt des agences de voyages de sensibiliser leurs clients au SCA… mais ce serait une erreur de vous reposer uniquement sur vos prestataires :
Or, si vos voyageurs d’affaires sont surpris par l’authentification forte et renoncent aux réservations qui l’exigent, votre entreprise en subira également les conséquences :
Une formation et une excellente communication interne sont de rigueur pour préparer activement les collaborateurs aux nouveaux protocoles. Concevez une campagne de communication de plusieurs mois, afin que chacun soit prêt le jour J.
Et surtout, prenez des dispositions pour réagir rapidement en cas de problème. Les complications seront inévitables dans un premier temps !
[1] Etude Amadeus https://amadeus.com/en/insights/research-report/strong-customer-authentication-in-travel-payments
[2] Etude Stripe