Authentification forte des paiements en ligne, les principales exemptions à connaître

En cette période particulière, les obligations réglementaires perdurent et s'y conformer aujourd'hui permettra justement d'optimiser le chiffre d'affaires demain. Parmi elles, celle de l'authentification forte des paiements, dont l'échéance pour la majorité des transactions est fixée au 31 décembre 2020.

Apparu progressivement sur nos transactions en ligne depuis le 14 septembre 2019, l’authentification SCA (Strong Customer Authentication) a été immédiatement adoptée par certains commerçants, alors que d’autres ne l’ont pas encore envisagé. Pourtant, les autorités françaises ont planifié une migration en deux étapes et dont l’échéance pour la majorité des transactions est fixée au 31 décembre 2020. Trois mois supplémentaires sont accordés pour les cas spéciaux résiduels mais à quelques semaines de l'échéance, rappelons ce qu'est l'authentification forte (SCA). Et pour mieux l'appréhender, quelles sont ses exemptions ?

Qu'est-ce que la Strong Customer Authentication (SCA) ?

L'authentification dite « SCA » est une nouvelle exigence européenne, mise en place pour améliorer la sécurité des paiements en ligne. Ce processus consiste à ajouter une authentification forte lors d’une transaction en ligne. Encore récemment, l'outil d’authentification employé par l’écosystème pour vérifier les transactions s'appelait 3D Secure 1.0. Celui-ci disparaît au profit de 3D Secure 2, une version améliorée, plus dynamique et plus fiable. Ce nouveau protocole facilite également la collecte des informations d’authentification, indispensables à l’autorisation ou au rejet d’une transaction.

Concrètement, avant la mise en place de l'authentification forte et du protocole 3DSecure 2, les banques émettrices vérifiaient l'identité des acheteurs avec un mot de passe. Un mot de passe dont les clients devaient se souvenir…Désormais, au lieu de compter sur le traditionnel « Quelque chose que vous savez » (ce fameux mot de passe, souvent égaré), les acheteurs peuvent combiner « Quelque chose qu'ils possèdent », comme leur smartphone, avec « Quelque chose qu'ils sont », comme une empreinte digitale. Cette approche est appelée l'authentification à deux facteurs ou authentification forte.

Ainsi, pour valider une transaction, le nombre de données d'authentification requises augmente, mais au bénéfice d’offrir aux acheteurs de meilleures expériences d'achat et aux commerçants moins d'abandons de panier.

Les exemptions à la SCA

Il existe néanmoins des exemptions à l’utilisation de l’authentification forte. Il est utile de les connaître car elles permettent aux consommateurs de continuer à profiter d'expériences d'achat en ligne agréables, tout en renforçant, pour les commerçants, la sécurité pour les paiements importants et moins fréquents.

  • Les opérations à faible montant et à risque faible

Les transactions d'un montant inférieur à 30€ seront exemptées de l’authentification forte, jusqu’à un maximum de 5 transactions consécutives. Toutefois, la banque émettrice gardera une trace du montant des paiements effectués. Si le total des montants versés sans authentification SCA depuis une même carte est supérieur à 100 euros, l’authentification sera également requise.

  • Les abonnements et opérations récurrentes

Tant qu'ils sont d'un montant constant, les frais d'abonnements et les transactions récurrentes sont exemptés dès la deuxième transaction. Seule la transaction initiale requiert une procédure SCA. Si le montant est modifié, l'authentification via 3D Secure sera demandée à chaque changement.

Cela peut poser problème pour certaines entreprises. Par exemple, pour un abonnement dont le coût augmente au terme d'une période d'essai. Néanmoins, les instances réglementaires ont confirmé que « les transactions initiées par le commerçant » ne sont pas concernées par les exigences en matière de SCA.

Cela signifie que les frais d'abonnement ultérieurs, tels que décrits dans les conditions générales initiales de la transaction d'inscription, ne sont pas affectés.

  • Les transactions d’entreprise

Les paiements effectués par des entités commerciales, au travers de moyens de paiements d’entreprises qui ne sont pas accessibles aux consommateurs et qui offrent déjà des niveaux élevés de protection contre la fraude peuvent être exemptés.

Par exemple, les cartes d’affaire, cartes virtuelles professionnelles… qui ne sont pas associées à un titulaire individuel et qui sont utilisées dans le cadre d'une transaction d'entreprise sécurisée sont exemptés. La réglementation prévoit également des situations qui ne relèvent pas des règles de l’authentification forte. C’est le cas pour :

  • Les marchands de confiance

Les clients peuvent ajouter des « marchands de confiance » à une liste blanche, qui sera conservée par leur banque. Les clients qui achètent chez les commerçants inscrits sur cette liste blanche n’auront pas besoin de passer par une authentification supplémentaire.

Il ne s’agit que de quelques-unes des exemptions. La liste est longue et dépend largement de l'interprétation des banques et des réglementations. Pourtant, c’est de la gestion optimale de ses exemptions que les taux de conversion seront améliorés.

Pour répondre à cette complexité, les commerçants peuvent être accompagnés pour configurer leur système de paiement afin que l’authentification forte s’active automatique quand cela est nécessaire et ainsi optimiser les taux d’autorisation. Et quoiqu’il arrive, au 31 décembre 2020, tous les e-commerçants européens devront respecter ces règles.