Tout ce que les entreprises doivent savoir sur la SCA
Dernière modificationmars 2020 Lecture : 5 minutes
Devenez incollable sur la SCA, son entrée en vigueur et son champ d’application
DSP2 et SCA : un peu de contexte
La DSP2 est la deuxième directive européenne relative aux services de paiement.
Cette directive s’inscrit dans la lignée des trois aspects abordés dans la directive originale de 2007. Ces trois aspects concernaient les droits du consommateur en matière de paiement, la création d’un environnement uniformisé en intégrant la réglementation de l’accès de tiers aux données des comptes, et le renforcement de la sécurité.
Le renforcement de la sécurité fait référence à un ensemble de conditions appelées Authentification forte du client (SCA). Ces conditions auront d’importantes répercussions pour toute entreprise dotée d’une présence en ligne.
Ce guide explore la SCA, analyse les personnes et activités affectées et explique comment les entreprises peuvent se préparer à l’entrée en vigueur de ces mesures de sécurité.
Qu’est-ce que l’Authentification forte du client (SCA) ?
L'Authentification forte du client est un ensemble de futures contraintes réglementaires conçues pour sécuriser les paiements en ligne et, par conséquent, réduire la fraude.
La SCA ajoute un niveau de sécurité supplémentaire lorsque les utilisateurs finaux effectuent un paiement en ligne. Jusqu’à maintenant, les acheteurs pouvaient simplement saisir leurs données de paiement et effectuer leur achat (même s’il est vrai que certaines entreprises demandaient déjà volontairement une authentification supplémentaire).
Comment fonctionne l’Authentification forte du client ?
La SCA est une forme de double authentification conçue pour prouver que les clients finaux sont bien ceux qu’ils prétendent être, avec des règles spécifiques qui définissent en quoi consiste l’authentification.
Elle requiert deux types de validation, parmi trois catégories disponibles au choix.
Quels sont les moyens considérés comme des méthodes d’authentification ?
Il existe trois catégories d’authentification valables dans le cadre de la SCA. Dans chaque catégorie, on retrouve différents moyens d’authentification potentiels correspondant à cette catégorie en particulier.
Les trois catégories sont :
Connaissance : information que seul l’utilisateur connaît, comme un mot de passe, un code PIN, une phrase secrète ou la réponse à une question secrète
Possession : quelque chose que seul l’utilisateur possède, comme son téléphone portable, sa montre connectée, une carte à puce ou un jeton
Caractéristique personnelle : élément qui caractérise l’utilisateur, comme une empreinte digitale, la reconnaissance faciale, les empreintes vocales, la signature ADN et la forme de l’iris
Ce n’est qu’une fois que l’acheteur a pu fournir ces deux formes d’authentification qu’il est autorisé à terminer son paiement.
Les trois types d’authentification autorisés par la SCA
Le 21 juin 2019, l'Autorité bancaire européenne (ABE) a punlié un nouvel avisévoquant les éléments qui peuvent être considérés comme conformes à la SCA pour chacune des trois catégories potentielles (caractéristique personnelle, possession et connaissance). Cet avis définit également des exigences supplémentaires en matière de liaison dynamique et d’indépendance des éléments.
À quelles transactions s'applique la SCA ?
La SCA sert à sécuriser les transactions et les paiements en ligne et à réduire la fraude. Au plus haut niveau, la SCA est exigée lorsque le payeur transfère des fonds ou accède aux données de son compte.
En particulier :
chaque fois qu’un payeur accède à son compte de paiement en ligne
lance une transaction de paiement électronique
entreprend toute action via un canal à distance qui pourrait impliquer un risque de fraude ou autre infraction
L’effet principal sera probablement visible sur les paiements par carte et les virements bancaires. En effet, les paiements par carte sont instantanés et initiés par le client final. Le paiement ou l’autorisation d’accéder aux données du compte est également immédiat(e), ce qui peut représenter un risque.
La SCA s’applique-t-elle aux paiements récurrents ?
Lorsque le paiement est initié par le client final, la SCA s’applique uniquement au premier versement de la série de paiements récurrents d’un même montant. Toutefois, en cas de changement du montant, la SCA s’applique à nouveau.
Lorsque le paiement est initié par le commerçant qui reçoit les fonds, la SCA sera généralement exigée pour le premier paiement d’une série de paiements récurrents, sauf avec le prélèvement automatique standard. Tant que les paiements successifs sont initiés par le commerçant, aucune SCA supplémentaire ne sera exigée si les montants facturés correspondent aux attentes raisonnables du client final.
Cela signifie que les entreprises ayant recours aux abonnements, celles qui utilisent les SaaS et les entreprises reposant sur un système d’adhésion doivent toutes se préparer à la SCA.
Cependant, il existe, de nombreux cas d'exemption de SCA, et certaines transactions ne sont pas concernées ce qui est favorable aux entreprises recevant des paiement réguliers.
Pourquoi la SCA entre-t-elle en vigueur ?
La SCA fait partie de la DSP2. L’un des objectifs de la DSP2 est d’offrir une protection aux consommateurs.
Depuis l’application de la DSP d'origine, le marché des paiements a enregistré de nouvelles avancées technologiques, avec une augmentation des tiers fournisseurs (Third Party Providers ou TPP). Ces TPP offrent des moyens novateurs pour accéder aux données du compte du consommateur et initier les paiements.
Toutefois, l’accès aux comptes des consommateurs crée un risque de sécurité accru. Ainsi, en contrepartie, la réglementation qui régit la façon dont les TPP et les fournisseurs de services de paiement obtiennent l’accès à ces comptes a été durcie.
Nous en venons donc à la SCA : son objectif est de veiller à ce que le client final soit le propriétaire légitime du compte bancaire ou de tout autre mode de paiement (par exemple, une carte). En suivant un processus de double authentification, on estime que le risque de fraude est limité.
En résumé, la SCA est destinée à améliorer la sécurité des transactions en ligne pour les payeurs et à réduire la fraude.
Le coût de la fraude aux paiements
La SCA est conçue pour réduire la fraude lors des transactions en ligne, mais quel sera son impact ?
Europol a estimé que la fraude aux paiements à distance (CNP) représentait 66 % des 1,44 milliards d’euros de transactions par carte frauduleuses en 2013. En 2016, la Banque centrale européenne (BCE) a calculé le coût total de la fraude aux paiements par carte et l'a estimé à 1,8 milliard d'euros. La France, le Royaume-Uni, et le Danemark enregistraient les plus forts taux de fraude à la carte.
Rien qu'au Royaume-Uni, 2 milliards de livres ont été volés sur des cartes de crédit et débit en 2017 et 28 % des citoyens ont été victimes de fraude aux paiements en ligne.
Toute baisse du taux de fraude pourrait générer des économies importantes dans toute l’Europe.
À quels pays s’appliquera la SCA ?
Dans le cadre de la DSP2, la SCA est une disposition à l’échelle européenne et concernera toute transaction entre deux parties situées dans l’Espace économique européen (EEE), c’est-à-dire le fournisseur de services de paiement de l’entreprise et la banque ou le fournisseur de carte du payeur.
Si l’une de ces parties est située en dehors de l’Europe, la règle exige du fournisseur de services de paiement basé en Europe qu’il déploie « tous les efforts possibles » pour appliquer la SCA. Cela signifie que même si le siège d’une entreprise se trouve hors de l’EEE, les transactions de l’entreprise pourront être soumises à la SCA si elle encaisse des paiements en ligne issus de payeurs basés dans l’EEE.
La SCA continuera très probablement à s’appliquer au Royaume-Uni, quelle que soit l’issue ou la date du Brexit; la FCA s'est montrée claire : elle souhaite que la SCA s’applique outre-Manche et aucun autre organisme de réglementation européen n’a suggéré le contraire.
Rôle de l’Autorité bancaire européenne dans la SCA
L’Autorité bancaire européenne (ABE) est un organisme européen indépendant dont la mission est d’assurer l’efficacité et la cohérence de la réglementation prudentielle, ainsi que la surveillance du secteur bancaire européen. Ses missions : maintenir la stabilité financière de l’Union européenne et préserver l’intégrité, l’efficacité et le bon fonctionnement du secteur bancaire.
L’ABE a publié des normes techniques de réglementation qui exposent le champ d'application de la SCA pour la zone EEE.
Toutefois, ce sont les autorités compétentes des pays de l’EEE, comme la FCA au Royaume-Uni ou la BaFin in Germany qui seront responsables de l’application de la SCA lors de son entrée en vigueur.
Quand la SCA entre-t-elle en vigueur ?
L’entrée en vigueur de la SCA dans l’Espace économique européen est actuellement prévue le 14 septembre 2019.
Remarque : Le 28 juin 2019, la FCA a publié un communiqué (FCA) qui reconnaît les problématiques relatives à la préparation du secteur et à sa capacité à se conformer.
Cela signifie que certains fournisseurs de services de paiement peuvent être autorisés à procéder à un déploiement différé. Cette période est qualifiée de « disponibilité opérationnelle » : au cours de cette période, la FCA et les autres organismes de réglementation peuvent ne pas prendre de mesures coercitives.
Le délai global pour tout déploiement différé reste encore à déterminer, mais la durée de 18 mois à compter de septembre 2019 a été suggérée. Il s’agit de la date prévue initialement pour l’entrée en vigueur des nouvelles conditions.
Sécurité ou simplicité de l'expérience de paiement
Que recherchent les acheteurs en ligne ?
GoCardless simplifie la collecte de paiements récurrents
Gagnez du temps en automatisant vos paiements récurrents en toute sérénité.