Les enjeux des nouvelles réglementations de paiement pour les voyages d’affaires
Vous souhaitez en savoir plus sur l’authentification des paiements à 2 facteurs et les nouvelles réglementations de paiement pour les voyages d’affaires. Nous vous présentons ici les enjeux des législations qui prendront effet dès janvier 2021.
Etes-vous prêts pour les nouvelles règles d'authentification forte avec vos voyageurs d’affaires et vos agences de voyages ?
Alors autant commencer à s’informer dès maintenant !
Au programme :
- S’informer sur la nouvelle directive PSD 2
- Comprendre le SCA (authentification forte) et son intérêt
- Connaître les enjeux relatifs aux voyages d’affaires
- Conseils aux travel managers pour réussir la migration vers l’authentification forte
La directive sur les Services de Paiement 2 (PSD 2) : à quoi devez-vous vous attendre?
La deuxième directive sur les services de paiement (PSD2) est en marche, avec notamment la mise en place de l’authentification forte pour les clients - appelée aussi SCA (Strong Customer Authentification). Elle prendra effet dans l'ensemble des pays européens dès janvier 2021.
Ce changement va bouleverser la façon de valider nos paiements dans notre vie quotidienne… et notamment dans notre vie professionnelle.
Revenons d’abord sur le contexte de cette directive.
En 2007, la première directive est adoptée par le Conseil de l’Union Européenne (PSD 1). Elle acte alors la création de nouveaux types d’entités liées aux paiements :
- Les établissements de paiement (EP)
- Les établissements de monnaie électronique (EME)
Ce sont les premières entités non bancaires capables d’autoriser le paiement. Elles sont soumises à une régulation moins contraignante, mais sur un périmètre plus limité.
En 2017, une nouvelle législation voit le jour. De nouvelles entités sont créées avec la PSD 2 : les Third Party Provider (TPP). Les TPPs peuvent accéder aux comptes bancaires des clients et initier le paiement.
L’objectif de cette deuxième directive sur les services de paiement est double :
- Faciliter le crédit et les paiements en plusieurs fois. Le TPP a accès à l’historique du compte client afin d’accepter ou non d’accorder un crédit en temps réel.
- À terme, cela autorisera également les acteurs à faire des virements en temps réel plutôt que de passer par la carte corporate.
Pourquoi ces nouvelles législations ont-elles un fort impact sur la validation de nos paiements ?
Qui dit nouvelles entités liées au paiement, dit nouvelles mesures de sécurité.
L’un des principaux enjeux des nouvelles réglementations est l’arrivée de l’authentification forte pour la validation des transactions.
Le SCA : quels sont les enjeux liés à l’authentification forte des paiements ?
Qu’est-ce que le SCA ?
Le Strong Customer Authentification, ou SCA, correspond à la mise en place de l’authentification forte pour les paiements. L’objectif : introduire une nouvelle mesure de sécurité pour lutter contre la fraude lors des paiements en ligne et des paiements en proximité.
Avant la législation PSD 2, c’était au marchand de valider ou non le paiement. Par exemple, lors de l’achat d’un billet d’avion Air France, c’est le marchand - Air France, donc - qui choisit de lancer une demande de 3D Secure ou non. Nous nous retrouvons alors avec trois catégories de marchands :
- Ceux qui font systématiquement appel au 3D Secure
- Ceux qui ne le font jamais
- Ceux qui y font appel en fonction du profil de risque du client
Par exemple, un achat en ligne effectué avec une carte bancaire française depuis une adresse IP à l’étranger est un profil de risque plus fort que la moyenne.
Avec ce système, nous observons que la fraude continue d’exploser sur les paiements à distance. D’où la nécessité d’une nouvelle législation !
La PSD 2 ajoute une étape de sécurité supplémentaire pour identifier le titulaire du compte bancaire avant de valider le paiement.
Communications à l’œuvre lors de l’authentification forte.
Ce n’est plus au marchand de choisir s’il doit faire une demande de 3D Secure. Les mesures du SCA sont effectuées par la banque du titulaire ou par l’émetteur. Par émetteur, nous entendons l’émetteur de la solution de paiement (AirPlus, par exemple).
L’entrée en vigueur des nouvelles règles était prévue au 14 septembre 2019, mais une période de transition a été acceptée par l’Autorité Bancaire Européenne (ABE) jusqu’à décembre 2020. Les manœuvres d’authentification forte sont en cours d’implémentation, mais il faudra attendre une version 2.2 de la PSD pour y intégrer également les exemptions de SCA.
Notre recommandation pour les Travel Managers : vérifiez que votre émetteur de cartes commerciales connaît l’authentification forte et est prêt pour la transition vers celle-ci.
Fonctionnement de l’authentification forte :
Concrètement, comment le payeur est-il authentifié ?
Il doit compléter deux facteurs parmi les trois catégories d’authentification suivantes :
- La connaissance
- La possession
- L’inhérence
Les trois catégories de facteurs d’authentification.
Attention, les deux facteurs doivent appartenir à deux catégories distinctes. Ne sont pas acceptés, par exemple :
- La validation grâce à deux mots de passe (catégorie “connaissance” uniquement)
- La validation d’un achat en ligne grâce à un code de sécurité reçu par SMS (“possession” de la carte bancaire et “possession” du téléphone).
Voici des exemples de parcours d’authentification forte, ayant recours à deux facteurs de catégories distinctes :
- Lors d’un paiement de proximité, insérer la carte de paiement (possession) et inscrire son code PIN (connaissance).
- Lors d’un paiement à distance, valider une notification sur le smartphone (possession) et s’identifier sur l’application bancaire avec son empreinte digitale (inhérence).
À noter : Les informations relatives à la carte de paiement ne sont pas acceptées dans la procédure d’authentification forte. Numéro de carte, date d’expiration, CVV : ces informations sont aisément disponibles sur le Dark Web et ne font pas office de preuve d’identification.
Périmètre d’application de l’authentification forte :
Le périmètre d’application des mesures de la PSD 2 est l’Union Européenne.
Ainsi, les paiements non-européens, ainsi que certains types de transactions, sont en dehors du champ d’application et ne seront pas sécurisés par l’authentification forte.
Par ailleurs, certains types de paiement européens pourront être exemptés d’authentification forte, afin de fluidifier l’expérience client.
Les transactions en dehors du périmètre de l’authentification forte :
Les paiements suivants sont en dehors du périmètre du SCA, même s’ils sont effectués en Union Européenne :
- Les paiements pour lesquels l’émetteur est en dehors de la zone d’application.
Par exemple : l’achat d’un billet Air France avec une carte bancaire américaine ne requiert pas d’authentification forte.
- Les paiements pour lesquels l’acquéreur est en dehors de la zone d’application.
Par exemple : les dépenses d’un voyageur d’affaires français en déplacement au Chili sont hors périmètre.
- Les paiements réalisés via un centre d’appel téléphonique (MOTO).
- Les prélèvements et les transactions initiés par le marchand, sans contact entre le marchand et le consommateur.
Par exemple : dans le cadre d’un abonnement (téléphonique par exemple), l’authentification forte ne sera pas demandée pour les prélèvements mensuels suivant le premier paiement et l’acceptation du contrat.
- Les transactions effectuées avec des cartes prépayées et anonymes.
Notre recommandation pour les Travel Managers : identifiez les types de paiements réalisés par vos voyageurs d’affaires. Sont-ils dans le champ d’application de l’authentification forte?
Les transactions pouvant être exemptées d’authentification forte :
Les exemptions doivent être discutées avec votre agence de voyages et vos émetteurs de carte. En effet, elles ne sont pas automatiques et doivent faire l’objet d’une demande auprès des régulateurs. Toutes ne seront pas mises en œuvre avec le déploiement de PSD 2. Il faudra attendre la prochaine version pour les systématiser.
Dans le cadre des achats e-commerce, les exemptions suivantes sont particulièrement pertinentes :
- Les transactions récurrentes, vers le même marchand et pour un même montant. Ainsi, un abonnement à un service de type SAAS ou à une compagnie de taxis avec une part fixe pourra être exempté d’authentification forte après le premier paiement.
- Les transactions de faible montant. En-dessous de 30€ en e-commerce ou en-dessous de 50€ en proximité, le marchand pourra demander à l’émetteur de ne pas faire de demande 3D Secure. L’émetteur reste toutefois le décisionnaire final.
- Les transactions avec un bénéficiaire de confiance, ou whitelisting. Après une transaction auprès d’un marchand de confiance, le consommateur pourra donner son consentement pour ne pas avoir à refaire d’authentification forte.
À noter : La mise en application de cette exemption n’est pas réalisable dans l’immédiat. Quelques imprécisions subsistent : les commerçants reçoivent le consentement, puis l’information est-elle transmise à l’émetteur ou au réseau Mastercard ? Qui est en charge de maintenir la base de données et de traiter cette information ?
- Les transactions traitées avec une approche d’analyse par les risques. Un émetteur peut demander une exemption auprès d’un régulateur, comme la Banque de France, lorsque son taux de fraude est inférieur au taux de fraude de référence (tous porteurs de cartes confondus). De la même façon, un acquéreur peut faire cette demande si le taux de fraude sur l’ensemble de ses marchands est inférieur à celui de référence.
Taux de fraude de référence pour l’approche d’analyse par les risques
Bien entendu, plus le montant du panier est important, plus le taux de fraude de référence est faible. L’exemption d’authentification forte est moins risquée sur les petits paniers.
Notre recommandation pour les Travel Managers : rapprochez-vous de vos émetteurs afin de savoir s’ils ont fait les demandes nécessaires à l’obtention des exemptions utiles.
Quel est l’impact des nouvelles réglementations pour les voyages d’affaires ?
Les nouvelles réglementations de paiement ne sont pas sans conséquences pour les voyages d’affaires. Voyageurs d’affaires, marchands et entreprises clientes sont concernées par les transformations en cours.
Conséquences de la PSD 2 pour le voyageur d’affaires :
Pour le voyageur d’affaires, le passage à l’authentification forte n’a que peu d’impact visible. En effet, la transition est pensée pour rendre l’expérience utilisateur la plus fluide possible.
Reprenons l’un des parcours d’authentification mentionnés précédemment. L’authentification forte lors d’un achat e-commerce pourrait être la suivante :
- Demande de connexion à l’application bancaire sur le smartphone du voyageur d’affaires (“possession” du téléphone mobile)
- Demande d’authentification sur l’application avec l’empreinte digitale (“inhérence”)
Ce parcours ne demande pas d’effort particulier au voyageur d’affaires. Son expérience de paiement n’est pas plus complexe qu’avant la mise en place du SCA.
Cependant, il doit être au courant des nouvelles réglementations afin de :
- Ne pas être surpris lorsque des données inhabituelles lui sont demandées
- Savoir quelles informations il peut transmettre ou non
- Savoir réagir lorsqu’un paiement lui est refusé
En pratique, le passage à l’authentification forte engendrera plusieurs challenges vis-à-vis des paiements de voyages. En effet, plusieurs questions restent en suspens à ce jour.
- Comment autoriser un tiers, comme un assistant, à réaliser l’achat d’une prestation au nom du porteur de la solution de paiement ?
- Comment réaliser un achat e-commerce sans la possession d’un smartphone ou d’un téléphone professionnel ?
Etc.
Le nécessaire temps d’adaptation oblige le voyageur d’affaires à prendre part à la transition vers les nouvelles mesures de sécurité des paiements.
Conséquences de la PSD 2 pour le marchand :
Les conséquences des nouvelles réglementations se font davantage sentir du côté des commerçants.
Puisque c’est l’émetteur qui décide d’engager une demande 3D Secure ou non, le marchand doit lui transmettre les informations nécessaires. L’enjeu est double pour le marchand :
- Il doit posséder l’information
- Il doit être en mesure de la communiquer
Par ailleurs, les informations ne se limitent plus aux données relatives à la carte utilisée. Type d’achat, profil de l’acheteur… Plus le marchand fournit de détails, meilleure sera l’estimation du risque par l’émetteur.
Aujourd’hui, nous ne savons pas encore comment seront gérés certains paiements complexes. En hôtellerie, par exemple, le paiement du no-show (=annulation de dernière minute) requiert-il une authentification forte ? Difficile d’imaginer qu’un consommateur, alors qu’il oublie d’annuler une réservation hôtelière, soit contraint de s’authentifier pour régler sa pénalité.
Conséquences de la PSD 2 pour l’entreprise cliente :
Pour les différentes parties de l’entreprise cliente, le passage à l’authentification forte risque de ralentir plusieurs procédures de paiement. Pour éviter cela, des exemptions s’annoncent essentielles.
En trésorerie, les transactions internes pourront être exemptées d’authentification forte afin de simplifier les procédures et les protocoles de paiement déjà sécurisés.
Pour les travel managers, trois solutions de paiement seront également exemptées de SCA (source : Mastercard) :
- L’usage de la carte logée - un compte logé au sein de l’agence de voyages, d’un outil de réservation en ligne, plateforme hôtelière, etc - ne nécessite pas d’authentification forte.
- Idem pour la carte virtuelle. Cette carte à usage unique est associée à un montant et à une durée de validité précises. Il est inutile de recourir au SCA car le risque de fraude est déjà extrêmement faible.
- Les paiements par carte corporate auprès de votre prestataire voyages pourront être exemptées d’authentification forte également, lorsque la carte corporate est enregistrée dans le profil voyageur au sein de l’agence.
Conseils aux travel managers pour réussir la migration vers l’authentification forte
La mise en place de l’authentification forte ne transforme pas toutes les pratiques en matière de paiement pour les voyages d’affaires. Plusieurs types de paiement restent inchangés, et notamment :
- Les paiements en proximité, qui se font déjà avec une double authentification (“possession” de la carte et “connaissance” du code PIN).
- Les transactions réalisées avec les méthodes de paiement exemptés (carte logée, carte virtuelle et carte corporate enregistrée dans un profil voyageur au sein de l’agence de voyages).
En revanche, les paiements en ligne ainsi que les paiements MOTO (via un call center) subissent des changements de taille. En tant que travel manager, assurez-vous auprès de votre émetteur que ce dernier connaît les nouvelles réglementations et est prêt à passer à l’authentification forte.
Voici quelques conseils pour faciliter votre transition :
1. Identifiez les types de paiements réalisés par vos voyageurs d’affaires. Observez s’ils sont dans le périmètre de l’authentification forte ou non.
Par exemple, les réservations d’hôtels ou les réservations de taxi à distance en zone euro sont inclus dans le champ d’application.
2. Rapprochez-vous de vos émetteurs de solutions de paiement ainsi que de vos TMC et agences de voyages. Confirmez avec eux les méthodes de paiement qui entrent ou non dans le périmètre de la réglementation PSD 2.
3. Interrogez vos émetteurs de cartes : ont-ils déjà fait les demandes auprès des régulateurs pour bénéficier des exemptions nécessaires ?
Toutes les exemptions ne seront pas traitées dès 2020. Elles seront prioritaires lors de la prochaine version des réglementations de paiement.
4. De même, rapprochez-vous de vos agences de voyages. Comment les agences de voyages interprètent-elles les réglementations en fonction de la méthode de paiement ? En l’état actuel, la directive PSD 2 n’apporte pas de réponse à toutes les questions. C’est pourquoi il vous faut connaître l’interprétation qu’en font vos partenaires.
Par exemple, quelle politique s’applique lors de l’usage de la carte personnelle du voyageur d’affaires ? L’authentification forte est-elle demandée à chaque transaction ? Est-il possible de faire une demande d’exemption ?
5. Si vous utilisez une interface OBT ou SBT, nous vous recommandons également de communiquer avec eux. Le profil acheteur étant partagé entre l’OBT/SBT et l’agence de voyages, les politiques sont supposées être les mêmes.
6. Mettez à jour votre Politique Voyages Entreprise (PVE) ainsi que votre politique de formation afin d’y intégrer l’authentification forte.
7. Assurez une bonne communication interne pour informer les voyageurs d’affaires des nouvelles réglementations et de leurs implications. Envoyer un simple email ne suffit pas : élaborez une communication progressive pour que tous les voyageurs d’affaires soient prêts au moment du changement.
8. Enfin, soyez prêt à gérer les problèmes. Ils seront inévitables au moment de la transition ! Soucis de communication entre émetteurs et acquéreurs, transactions dont l’exemption ne sera pas prise en compte, etc. Préparez vos voyageurs d’affaires à faire face à ces situations.
Pour aller plus loin :
Serez-vous prêt avant la fin de la transition, en décembre 2020 ?
Vous avez un an pour vous préparer à la PSD 2 et à l’authentification forte. Pour poursuivre votre démarche de migration, n’hésitez pas à consulter les documents suivants :
- Les textes de références de la PSD2
- Les slides de la conférence AirPlus à ce sujet
Toutefois, connaître les textes de la législation ne suffisent pas : veillez surtout à bien communiquer avec vos partenaires pour en connaître leur interprétation.