Actualités paiement : 3DS 2.0, paiements récurrents, CNIL & One click …

3410
Imprimer

Vous le savez, le 14 septembre entreront en vigueur les RTS (Regulary Technical Standards) qui précisent les modalités prévues par la DSP2 en matière d’authentification forte (plus d’info, voir ici https://www.fevad.com/regul/paiements/). Dans cette perspective, les réseaux (CB, VISA, Mastercard) mettent en place un nouveau protocole d’authentification appelé génériquement 3DS 2.0.

Comment se préparer à mettre en oeuvre 3DS 2.0

Très concrètement, pour vous préparer opérationnellement à ce nouveau contexte réglementaire et à ce nouveau protocole, il est très important de prendre contact rapidement avec votre(vos) PAT (Prestataire d’Accès Technique ou PSP) et vos acquéreurs pour savoir comment seront gérées, en fonction de votre contexte, les authentifications fortes :

  • Quand seront-ils raccordés aux nouveaux serveur 3D Secure v2 (CB, Visa et Mastercard) ?
  • Quelles données (3DS 2.0), vous marchands, devez-vous / pourrez-vous (ou voudrez-vous !) transmettre pour enrichir le contexte de la transaction qui circulera tout au long du schéma de paiement et permettra de limiter les recours à l’authentification forte ?
  • Quelles sont les exemptions à l’authentification fortes proposées et comment les demander ?

L’objectif est de s’assurer que vos partenaires paiements seront en mesure techniquement (acquéreurs, PAT …) de mettre en œuvre ces choix via notamment via les Directory Server CB, Visa et Mastercard.

Attention ! Les marchands qui ne seront pas raccordés via leur PAT/Acquéreur au serveur 3D Secure v2 pourraient ne plus pouvoir faire du 3DS 1.0 dit « débrayable » : la totalité de leurs transactions feraient alors l’objet d’une authentification forte !

Réponse de l’ABE sur les paiements à l’initiative du marchand

Une incertitude demeurait concernant ce qu’on appelle « les paiements initiés par le marchand ». Il s’agit ici notamment des paiements récurrents ou encore des paiements intervenants à l’issue d’une prestation de service alors que le payeur n’est plus dans le contexte d’achat (transaction post location de voiture …). L’ABE vient de répondre à cette question en précisant que « les opérations de paiement qui ne sont pas initiées par le payeur mais uniquement par le bénéficiaire ne sont donc pas soumises à une authentification forte du client (SCA) dans la mesure où ces opérations sont initiées sans aucune interaction ou implication du payeur ». Nous aurons l’occasion de revenir sur ce sujet mais c’est une bonne nouvelle, même si certains points restent à préciser. 
A noter que les paiements dits « card on file » (carte conservée par le marchand afin de fluidifier le paiement) ne sont pas concernés par cette interprétation.
Plus d’infos sur la réponse de l’ABE voir https://eba.europa.eu/single-rule-book-qa/-/qna/view/publicId/2018_4031 

CNIL et « Card on file » ou « One click »

La CNIL a modifié sa recommandation relative à la carte de paiement en matière de vente de biens ou de fourniture de services à distance (délibération n°2018-303). Sa position évolue sur la question de la conservation des données bancaires de clients : les commerçants doivent recueillir le consentement de leurs clients à la conservation de leurs données bancaires au-delà d’une transaction, pour faciliter leurs achats ultérieurs.
Plus d’info voir https://www.cnil.fr/fr/le-paiement-distance-par-carte-bancaire

Faite le point à l’occasion du salon Monaco One to One

Enfin, pour ceux qui participent au salon One to One Monaco du 19 au 21 mars (voir https://www.one-to-one-monaco.com/), la Fevad fera un point complet sur ces sujets le Jeudi 21 mars à 10h30 avec de nombreux témoignages de e-commerçants. Plus d’info, voir ici.

N’hésitez pas à revenir vers nous pour toute question relative à ces questions : bpineau@fevad.com

PARTAGER