• justineabel

Paiements sécurisés Normes PSD2 : du changement à partir du 14 septembre

Mis à jour : 5 sept 2019

Le 14 septembre prochain, entrera en vigueur de nouvelles normes Européennes pour la sécurité des transactions financières. En France, plus d'un français sur deux réservait son séjour sur Internet en 2018. La distribution en ligne s'est développée à une vitesse incroyable, au point de créer des failles dans le système de sécurité, qui petit à petit sont ajustées afin d'éviter les conséquences négatives de ce marché fleurissant. L'Europe a donc décidé d'unir et d'uniformiser ses normes sur tout le territoire afin de garantir une expérience positive que ce soit pour le consommateur, tout comme pour le commerçant. La PSD2 va donc bientôt voir le jour, dans un mois (le 14 septembre), pour apporter un peu plus de sécurité aux transactions financières. Quels sont les changements à venir ? Comment faire pour être aux normes ? Avantages et inconvénients des nouvelles normes du point de vue de l'hôtelier ?



L'Europe a donc décidé de renforcer la sécurité des transactions financières en appliquant une nouvelle norme appelée PSD2 (Payment Service Directive 2). Concrètement elle concerne les paiements en ligne et demande une authentification plus forte lors d'une transaction afin de rassurer le consommateur mai également d'assurer au commerçant la validité de la transaction.


Les étapes de réservation d'un séjour pour un client suivent presque toutes le même processus dans l'hôtellerie. Le client repère un séjour, il remplit un formulaire avec ses coordonnées et les options choisies, puis il saisit ses coordonnées bancaires afin de garantir sa réservation, d'en payer une partie ou sa totalité. Pour ce faire, il communique les données de sa carte bancaire (numéro, nom du titulaire, date d'expiration, code CVV) et l'établissement les conserve en garantie (en cas d'annulation, ce dernier retient une partie du séjour et si finalement le client vient, il paie sur place) ou effectue une VAD (Vente à Distance) sur son TPE (Terminal de Paiement Électronique) pour encaisser une partie (acompte) ou la totalité du séjour. Parfois même, il réutilise ces coordonnées quelques jours avant l'arrivée du client pour encaisser le reste dû du séjour. Ces pratiques ne vont plus être possibles à partir du 14 septembre... On vous dit tout !


Effectivement si on se place du côté du consommateur, je doute que tout le monde soit averti du fait qu'un commerçant disposant d'un TPE soit en mesure d'encaisser la somme qu'il souhaite, à n'importe quel moment et sans l'autorisation du consommateur. Honnêtement lorsque j'ai averti une amie de ce genre de pratique (qui m'avait surprise au début de ma jeune carrière, et c'était au Pérou, mais en fait en France, c'est pareil), elle avait été surprise, voire même choquée et cela lui avait provoqué une certaine crainte des paiements en ligne. L'éternelle optimiste que je suis n'arrive pas à croire que des débordements puissent exister dans un monde 100% confiance mais malheureusement cela arrive. Concrètement, imaginez un réceptionniste qui fait une erreur et ajoute un zéro de trop à la transaction lors d'une VAD et vous ne vous en rendez pas compte sur le moment... Comment va réagir le client ? Ici je vous parle d'une erreur non intentionnelle. Maintenant si nous allons plus loin... Imaginons une personne travaillant à l'accueil de votre établissement, malveillante ou en conflit avec vous, qui décide de prendre les coordonnées bancaires de votre clientèle pour effectuer des achats sur Internet : comment va réagir votre clientèle quand elle va s'en rendre compte ?


Maintenant on se place du côté du commerçant, vous, qui ne recevez pas toujours des coordonnées bancaires valides et qui vous retrouvez avec une réservation annulée sans possibilité de charger des pénalités... Des pertes qui peuvent s'accumuler et vous faire perdre du chiffre sur une saison...


La norme PSD2 va donc renforcer la demande d'authentification du consommateur lors d'un paiement en ligne pour assurer au commerçant la validité de la personne et de son compte bancaire, et rassurera le consommateur lors d'un achat en ligne. Le client devra donc autoriser la transaction après avoir saisi ses coordonnées bancaires pour confirmer la transaction en utilisant non pas un seul mais au moins deux moyens d'authentification parmi les suivants :


- Connaissance : une donnée que seul l'utilisateur connait (mot de passe, code PIN, numéro d'identification)

- Possession : quelque chose que seul l'utilisateur possède (téléphone, carte à puce, ordinateur)

- Identité personnelle : un élément qui caractérise l'utilisateur de manière unique (empreinte digitale, reconnaissance faciale ou vocale)


Dans la pratique, le client sera donc averti d'une demande débit par SMS ou Email, puis il devra l'autoriser en utilisant au moins deux des facteurs d'authentification précédents.


A noter que cette nouvelle norme PSD2 ne s'applique que si et seulement si la banque du consommateur ET la banque du commerçant sont européennes.


Il y a cependant des transactions non concernées...


  • Réservation par téléphone si le client vous communique ses coordonnées bancaires et que vous réalisez la transaction directement sur votre TPE qui doit être configuré en mode MO-TO (Mail order ou Telephone Order) car la transaction est jugée autorisée par le client en direct.

  • Paiement en direct à l'accueil sur le TPE lorsque le client saisit son code PIN sur la machine afin de valider le paiement, il n'y a pas de seconde authentification.

  • La prise de coordonnées sans prélèvement (garantie) ne nécessite pas d'autorisation de la part du consommateur qui souhaite garantir sa réservation.

Mais qui dit Normes dit Inconvénients (non?!)


  • Le risque pour le consommateur de rater l'authentification forte par manque de préparation, par manque de connaissances voire même par peur de la lourdeur du processus pour réserver un séjour (il va donc falloir trouver un moyen pour alléger les étapes de réservation).

  • Le manque de paramétrage du consommateur (application mobile de sa banque non installée, téléphone mobile trop ancien) ou du commerçant (problème avec sa banque, sa réservation en ligne...).

  • Si l'établissement décide de simplement prendre les coordonnées bancaires en garantie pour la réservation sans débiter le client avant son arrivée, alors un problème se pose lorsque le client annule ou fait un no-show car l'établissement qui voudra charger le client des pénalités correspondant à ses conditions générales de vente devra alors demander l'autorisation forte au client qui pourra alors refuser et donc annuler comme bon lui semble.


De votre côté, vous allez donc devoir vérifier avec votre banque qu'elle soit bien en règle concernant les nouvelles normes, ainsi que votre système de paiement en ligne relié à la réservation en ligne. Ensuite nous vous conseillons d'avertir vos clients afin qu'ils ne soient pas surpris même si les médias devraient largement relayer l'information afin d'avertir la population profitez en pour revoir votre système de réservation et votre méthodologie.elle directive européenne.


De votre côté vous allez donc devoir vérifier avec votre banque qu'elle soit bien en règle concernant les nouvelles normes, ainsi que votre système de paiement en ligne relié à la réservation en ligne. Ensuite nous vous conseillons d'avertir vos clients afin qu'ils ne soient pas surpris même si les médias devraient largement relayer l'information afin d'avertir la population profitez en pour revoir votre système de réservation et votre méthodologie.

N'hésitez pas à nous contacter pour des conseils.


Alors notez bien la date : 14 septembre 2019, entrée en vigueur des nouvelles normes PSD2.


Sources:

- https://blog.elloha.com/2019/08/12/securite-des-paiements-ce-quil-faut-savoir-avant-septembre/

- https://www.gemalto.com/france/banque/ebanking/dsp2/authentification-forte-du-client

- https://www.appannie.com/fr/insights/market-data/psd2-is-coming-what-you-need-to-know/