Skip to content
Fil d'Ariane
Ressources
Authentification forte du client (SCA)

Exemptions de SCA

Rédigé par

Dernière modificationjanv. 2020Lecture : 6 minutes

Découvrez quels paiements ne sont pas concernés par la SCA et quels paiements requièrent une exemption.

Les transactions initiées par le commerçant sont-elles exemptées de SCA ?

Les transactions initiées par le commerçant sont considérées comme n’entrant pas dans le champ d’application de la SCA et n’ont donc pas besoin d’être exemptées.. Une transaction initiée par le commerçant est un paiement prélevé à une date convenue avec l’accord du payeur. Comme son nom l’indique, elle est initiée par le commerçant qui encaisse le paiement.

Si une transaction est initiée par le commerçant, les paiements fixes comme les paiements variables seront exemptés de SCA.

À la différence de la plupart des transactions initiées par les clients finaux, les processus de paiement des transactions initiées par le commerçant ne sont généralement pas instantanés. Les données du client final sont collectées à un moment donné et soumises à la banque du client final à un autre moment. De ce fait, la communication entre le client final, la banque et le fournisseur de paiement n’intervient pas en temps réel. Dans le jargon de la SCA, on appelle cela une transaction asynchrone. Appliquer la SCA à ce type de transaction ne serait pas pratique du tout, et pourrait même être impossible dans certains cas.

Cependant, pour la plupart des transactions initiées par le commerçant, telles que les transactions récurrentes par carte, la SCA doit malgré tout être appliquée au premier paiement effectué en cas de participation du fournisseur de services de paiement du payeur (par exemple, un émetteur de cartes).

Cela comprend-il les mandats de prélèvement automatique électroniques ?

Les prélèvements automatiques électroniques font partie des transactions initiées par le commerçant. Afin d’encaisser les prélèvements automatiques, le client qui sera prélevé doit fournir un mandat au commerçant/fournisseur de services de paiement collectant les paiements.

Au départ, on ne savait pas si la SCA était requise au moment de la configuration du mandat du payeur ; plus précisément, il restait à déterminer si l’action de configurer le mandat constituait une « action via un canal à distance qui pourrait impliquer un risque de fraude ou autre infraction ».

Le 7 juin 2019, l’ABE a confirmé via son outil de questions/réponses que l’Authentification forte du client (SCA) n’était pas requise pour la configuration de mandats de prélèvement automatique électroniques en faveur du commerçant bénéficiaire, tant que le fournisseur de services de paiement du client final (par exemple, sa banque) n’était pas directement impliqué dans cette configuration.

L’ABE a indiqué précisément :

« Les mandats fournis par le payeur au bénéficiaire et configurés sans l’implication directe du fournisseur de services de paiement du payeur ne sont pas soumis à la SCA. »

Exemptions de SCA

Nous avons établi que les transactions initiées par le commerçant sont considérées comme n’entrant pas dans le champ d’application de la SCA, mais il existe de nombreuses autres transactions qui peuvent se révéler pertinentes pour votre entreprise.

Les exemptions de SCA s’appliquent uniquement aux fournisseurs de services de paiement. Elles sont liées au montant de la transaction, au risque que représente le paiement, à la récurrence de la transaction de paiement et au canal de paiement utilisé pour l’exécution du paiement. Ces exemptions recouvrent :

Transactions et abonnements récurrents fixes

En cas d’utilisation d’un mode de paiement initié par le payeur, comme des ordres de virement, seul le premier paiement d’un abonnement fixe nécessitera une SCA. Tant que le montant du paiement reste le même, les transactions ultérieures seront dispensées de SCA.

Cependant, si le montant est amené à varier, ce qui est le cas de beaucoup d’abonnements basés sur la consommation, la SCA sera à nouveau appliquée à chaque modification.

Paiements sans contact

Les paiements sans contact répondant à l’un des critères suivants seront exemptés de SCA :

  • Paiements sans contact individuels inférieurs à 50 € ; ou

  • Cinq paiements ou plus inférieurs à 50 €

Lorsque le total des paiements cumulés depuis la dernière application de la SCA atteint 150 €, la SCA est à nouveau requise.

L’exemption est spécifique à chaque carte utilisée. Ainsi, pour les comptes joints, l’exemption s’applique à chaque carte associée au compte.

Paiements inférieurs à 30 €

Comme pour les paiements sans contact (mais avec une valeur plus faible), les paiements inférieurs à 30 € seront eux aussi exemptés d’Authentification forte du client.

Cependant, la SCA sera requise si :

  • Le client effectue cinq paiements ou plus inférieurs à 30 € ; ou

  • Si le total de plusieurs paiements de faible valeur combinés est supérieur à 100 €

Ces seuils ne sont pas propres à un commerçant, ce qui signifie que ces cinq transactions dont le total est égal ou supérieur à 100 € peuvent être des paiements effectués auprès de différentes entreprises.

Bénéficiaires de confiance (liste blanche)

Les clients pourront inscrire des entreprises reconnues sur une liste de « Bénéficiaires de confiance ».

Cette liste sera mise à jour et gérée par le fournisseur de services de paiement gestionnaire du compte(ou ASPSP, pour Account Servicing Payment Service Provider), qui aura également le pouvoir de supprimer des entités de la liste. Lefournisseur de services de paiement d’un commerçant développe des mécanismes pour « suggérer » des bénéficiaires de confiance à l’ASPSP pour le compte du client final.

Par example, Mastercard suggère que lorsque qu’un client est soumis à un processus de paiement en ligne, une case à cocher lui permette d’ajouter le commerçant à sa liste de bénéficiaires de confiance de l’ASPSP. Cette demande sera transmise à l’ASPSP, qui exigera ensuite du client final qu’il se soumette à la SCA afin d’approuver la liste de bénéficiaires de confiance. Le client final pourra aussi gérer sa liste de bénéficiaires de confiance directement avec son ASPSP.

Veuillez noter que les ASPSP ne doivent pas forcément fournir de liste de bénéficiaires de confiance eux-mêmes : ils peuvent externaliser cette tâche. Des entreprises comme Visa développent des produits dans cette optique.

Si une entreprise figure sur la liste blanche d’un client final, la SCA n’est pas requise, quels que soient le montant, la fréquence et la variation de tout achat.

Même si cette méthode de contournement de la SCA semble séduisante, à ce jour son utilisation par les banques est toujours sporadique et de nombreuses questions demeurent quant à sa mise en pratique. Il est probable que les listes blanches ne deviennent une tactique viable que bien après septembre 2019.

Il est néanmoins fondamental de retenir le détail suivant : en plus de s’appliquer à chaque fois qu’un bénéficiaire de confiance est ajouté à la liste des exemptions, la SCA est aussi requise en cas de modification apportée à un bénéficiaire de confiance ou de demande de suppression d’un élément de la liste par le fournisseur de services de paiement d’un commerçant.

3D Secure 2 (version 2.2) propose la liste blanche comme une option possible pour les commerçants.

Paiements B2B

Les paiements effectués directement entre deux entreprises seront exemptés de SCA, mais seulement si le mode de paiement utilisé est un moyen conçu pour le B2B, par exemple un système de gestion des voyages d’affaires à accès contrôlé ou d’achat d’entreprise.

Selon to UK Finance« La SCA n’est pas requise pour les paiements effectués lorsque des personnes légales utilisent des processus ou protocoles de paiement dédiés qui sont limités à des clients finaux non-consommateurs (par exemple, le hôte à hôte, certains services SWIFT et certains produits de carte d’entreprise). »

Les normes techniques de réglementation détaillent également ce qui est concerné ou non par cette exemption :

  • Selon ces normes, « l’utilisation de réseaux propres, restreints, automatisés et hôte à hôte (Machine to Machine), comme pour les cartes d’entreprise virtuelles ou logées, telles celles qu’on utilise pour les systèmes de gestion des voyages d’affaires à accès contrôlé ou d’achats d’entreprise, peut potentiellement être concernée par cette exemption. »

  • L’utilisation de cartes d’entreprise physiques émises à destination des employés pour leurs frais professionnels ne serait pas concernée par cette exemption, dans le cas où aucun processus ou protocole de paiement sécurisé dédié n’est utilisé (par exemple, lors d’achats en ligne réalisés via un site Web public).

Exemptions des transactions à faible risque

En partant du principe que la SCA s’applique généralement à une transaction, les fournisseurs de paiement auront le pouvoir d’évaluer les transactions et de choisir de ne pas appliquer les protocoles de SCA à celles dont ils pensent qu’elles ne représentent qu’un faible risque de fraude.

Les fournisseurs de services de paiement seront soumis à des seuils contraignants pour bénéficier de la capacité à évaluer en temps réel le risque que représente chaque transaction. Les taux de fraude du fournisseur de paiement (calculés globalement, pas seulement pour un commerçant en particulier) doivent être inférieurs aux seuils suivants pour le type de paiement spécifique utilisé et la valeur de la transaction traitée :

Valeur des seuils d’exemption (c’est-à-dire la valeur du paiement traité)) Paiements par carte* Virements bancaires*
€500 0.01% 0.005%
€250 0.06% 0.01%
€100 0.13% 0.015%

*Le taux de fraude ne doit pas être supérieur à ces montants pour que la transaction bénéficie de l’exemption

Le fournisseur de services de paiement du bénéficiaire et celui du client final (par exemple, l’émetteur de carte) peuvent tous deux appliquer cette exemption (en fonction de leur propre taux de fraude global pour ce type de paiement).

Cependant, l’ASPSP peut décider d’accepter ou non d’appliquer cette exemption. Par exemple, un acquéreur de carte (le fournisseur de services de paiement du commerçant) peut appliquer l’exemption, mais l’émetteur de carte, lui, peut passer outre.

En pratique, la demande du fournisseur de services de paiement du commerçant est censée être respectée, car la responsabilité de tout paiement frauduleux en découlant incombera au fournisseur de services de paiement qui a appliqué l’exemption.

Transports et parkings sans surveillance

Le paiement des frais de transport et de parking à un terminal sans surveillance ne requiert pas de SCA.

Données d’un compte de paiement

Lorsqu’un client utilise un fournisseur tiers (TPP) pour obtenir des services de données de compte afin d’accéder aux données de son compte de paiement, la SCA doit être appliquée si le client :

  • Accède au solde d’un compte de paiement pour la première fois ; et

  • Accède à des informations sensibles, comme le détail de toutes les transactions traitées sur un compte pour la première fois

Toutefois, il est inutile d’appliquer la SCA dans les cas suivants :

  • Lorsque le client accède à nouveau au solde du compte ; ou

  • Lorsque le client accède aux données des transactions passées dans les 90 jours qui suivent la dernière application de la SCA

Virements bancaires

Pour les virements effectués entre (par exemple) un compte courant et un compte d’épargne, et lorsque les deux comptes appartiennent à la même personne et sont détenus chez la même banque, la SCA n’est pas nécessaire.

Application des exemptions de SCA

Les exemptions de SCA vont jouer un rôle crucial dans la réduction (voire l’élimination totale) des contraintes causées par le processus d’autorisation supplémentaire. Mais comment s’assurer que ces exemptions sont bien appliquées lorsqu’un client effectue un achat ?

Pour commencer, il faut que les fournisseurs de services de paiement et les ASPSP collaborent afin d’utiliser les solutions de référence, par exemple 3DS2.

Que faire si l’application de l’exemption échoue ?

Même si la liste des exemptions est plutôt claire désormais, la décision finale de la validité d’une exemption revient tout de même à la banque du client final. Si celle-ci n’accorde pas l’exemption, le paiement générera un code de rejet. Le paiement devra être soumis à nouveau et validé à l’aide de protocoles d’Authentification forte du client (SCA).

Sécurité ou simplicité de l'expérience de paiement

Que recherchent les acheteurs en ligne ?

Obtenir toutes les données

GoCardless simplifie la collecte de paiements récurrents

Gagnez du temps en automatisant vos paiements récurrents en toute sérénité.

S'inscrireEn savoir plus
PrécédentPréparation à la SCA et mise en œuvre

Toutes les catégories

PaiementsTrésorerieFidélisationCroissanceFinancesEntrepriseComptabilitéGoCardless
Automatisez la collecte de vos paiements avec GoCardless
Automatisez la collecte de vos paiements avec GoCardless

Automatisez la collecte de vos paiements avec GoCardless

En savoir plus