Tout ce que les entreprises doivent savoir sur la SCA

Devenez incollable sur la SCA, son entrée en vigueur et son champ d’application


DSP2 et SCA : un peu de contexte

La DSP2 est la deuxième directive européenne relative aux services de paiement.

Cette directive s’inscrit dans la lignée des trois aspects abordés dans la directive originale de 2007. Ces trois aspects concernaient les droits du consommateur en matière de paiement, la création d’un environnement uniformisé en intégrant la réglementation de l’accès de tiers aux données des comptes, et le renforcement de la sécurité.

Le renforcement de la sécurité fait référence à un ensemble de conditions appelées Authentification forte du client (SCA). Ces conditions auront d’importantes répercussions pour toute entreprise dotée d’une présence en ligne.

Ce guide explore la SCA, analyse les personnes et activités affectées et explique comment les entreprises peuvent se préparer à l’entrée en vigueur de ces mesures de sécurité.

Qu’est-ce que l’Authentification forte du client (SCA) ?

 

L'Authentification forte du client est un ensemble de futures contraintes réglementaires conçues pour sécuriser les paiements en ligne et, par conséquent, réduire la fraude.

La SCA ajoute un niveau de sécurité supplémentaire lorsque les utilisateurs finaux effectuent un paiement en ligne. Jusqu’à maintenant, les acheteurs pouvaient simplement saisir leurs données de paiement et effectuer leur achat (même s’il est vrai que certaines entreprises demandaient déjà volontairement une authentification supplémentaire).

Comment fonctionne l’Authentification forte du client ?

La SCA est une forme de double authentification conçue pour prouver que les clients finaux sont bien ceux qu’ils prétendent être, avec des règles spécifiques qui définissent en quoi consiste l’authentification.

Elle requiert deux types de validation, parmi trois catégories disponibles au choix.

Quels sont les moyens considérés comme des méthodes d’authentification ?

Il existe trois catégories d’authentification valables dans le cadre de la SCA. Dans chaque catégorie, on retrouve différents moyens d’authentification potentiels correspondant à cette catégorie en particulier.

Les trois catégories sont :

  • Connaissance : information que seul l’utilisateur connaît, comme un mot de passe, un code PIN, une phrase secrète ou la réponse à une question secrète
  • Possession : quelque chose que seul l’utilisateur possède, comme son téléphone portable, sa montre connectée, une carte à puce ou un jeton
  • Caractéristique personnelle : élément qui caractérise l’utilisateur, comme une empreinte digitale, la reconnaissance faciale, les empreintes vocales, la signature ADN et la forme de l’iris

Ce n’est qu’une fois que l’acheteur a pu fournir ces deux formes d’authentification qu’il est autorisé à terminer son paiement.

authentification forte du client

Les trois types d’authentification autorisés par la SCA

Le 21 juin 2019, l'Autorité bancaire européenne (ABE) a punlié un nouvel avis évoquant les éléments qui peuvent être considérés comme conformes à la SCA pour chacune des trois catégories potentielles (caractéristique personnelle, possession et connaissance). Cet avis définit également des exigences supplémentaires en matière de liaison dynamique et d’indépendance des éléments.

À quelles transactions s'applique la SCA ?

La SCA sert à sécuriser les transactions et les paiements en ligne et à réduire la fraude. Au plus haut niveau, la SCA est exigée lorsque le payeur transfère des fonds ou accède aux données de son compte.

En particulier :

  • chaque fois qu’un payeur accède à son compte de paiement en ligne
  • lance une transaction de paiement électronique
  • entreprend toute action via un canal à distance qui pourrait impliquer un risque de fraude ou autre infraction

L’effet principal sera probablement visible sur les paiements par carte et les virements bancaires. En effet, les paiements par carte sont instantanés et initiés par le client final. Le paiement ou l’autorisation d’accéder aux données du compte est également immédiat(e), ce qui peut représenter un risque.

La SCA s’applique-t-elle aux paiements récurrents ?

Lorsque le paiement est initié par le client final, la SCA s’applique uniquement au premier versement de la série de paiements récurrents d’un même montant. Toutefois, en cas de changement du montant, la SCA s’applique à nouveau.

Lorsque le paiement est initié par le commerçant qui reçoit les fonds, la SCA sera généralement exigée pour le premier paiement d’une série de paiements récurrents, sauf avec le prélèvement automatique standard. Tant que les paiements successifs sont initiés par le commerçant, aucune SCA supplémentaire ne sera exigée si les montants facturés correspondent aux attentes raisonnables du client final.

Cela signifie que les entreprises ayant recours aux abonnements, celles qui utilisent les SaaS et les entreprises reposant sur un système d’adhésion doivent toutes se préparer à la SCA.

Cependant, il existe, de nombreux cas d'exemption de SCA, et certaines transactions ne sont pas concernées ce qui est favorable aux entreprises recevant des paiement réguliers.

Pourquoi la SCA entre-t-elle en vigueur ?

La SCA fait partie de la DSP2. L’un des objectifs de la DSP2 est d’offrir une protection aux consommateurs.

Depuis l’application de la DSP d'origine, le marché des paiements a enregistré de nouvelles avancées technologiques, avec une augmentation des tiers fournisseurs (Third Party Providers ou TPP). Ces TPP offrent des moyens novateurs pour accéder aux données du compte du consommateur et initier les paiements.

Toutefois, l’accès aux comptes des consommateurs crée un risque de sécurité accru. Ainsi, en contrepartie, la réglementation qui régit la façon dont les TPP et les fournisseurs de services de paiement obtiennent l’accès à ces comptes a été durcie.

Nous en venons donc à la SCA : son objectif est de veiller à ce que le client final soit le propriétaire légitime du compte bancaire ou de tout autre mode de paiement (par exemple, une carte). En suivant un processus de double authentification, on estime que le risque de fraude est limité.

En résumé, la SCA est destinée à améliorer la sécurité des transactions en ligne pour les payeurs et à réduire la fraude.

Le coût de la fraude aux paiements

La SCA est conçue pour réduire la fraude lors des transactions en ligne, mais quel sera son impact ?

Europol a estimé que la fraude aux paiements à distance (CNP) représentait 66 % des 1,44 milliards d’euros de transactions par carte frauduleuses en 2013. En 2016, la Banque centrale européenne (BCE) a calculé le coût total de la fraude aux paiements par carte et l'a estimé à 1,8 milliard d'euros. La France, le Royaume-Uni, et le Danemark enregistraient les plus forts taux de fraude à la carte.

Rien qu'au Royaume-Uni, 2 milliards de livres ont été volés sur des cartes de crédit et débit en 2017 et 28 % des citoyens ont été victimes de fraude aux paiements en ligne.

Toute baisse du taux de fraude pourrait générer des économies importantes dans toute l’Europe.

À quels pays s’appliquera la SCA ?

Dans le cadre de la DSP2, la SCA est une disposition à l’échelle européenne et concernera toute transaction entre deux parties situées dans l’Espace économique européen (EEE), c’est-à-dire le fournisseur de services de paiement de l’entreprise et la banque ou le fournisseur de carte du payeur.

Si l’une de ces parties est située en dehors de l’Europe, la règle exige du fournisseur de services de paiement basé en Europe qu’il déploie « tous les efforts possibles » pour appliquer la SCA. Cela signifie que même si le siège d’une entreprise se trouve hors de l’EEE, les transactions de l’entreprise pourront être soumises à la SCA si elle encaisse des paiements en ligne issus de payeurs basés dans l’EEE.

La SCA continuera très probablement à s’appliquer au Royaume-Uni, quelle que soit l’issue ou la date du Brexit; la FCA s'est montrée claire : elle souhaite que la SCA s’applique outre-Manche et aucun autre organisme de réglementation européen n’a suggéré le contraire.

Rôle de l’Autorité bancaire européenne dans la SCA

L’Autorité bancaire européenne (ABE) est un organisme européen indépendant dont la mission est d’assurer l’efficacité et la cohérence de la réglementation prudentielle, ainsi que la surveillance du secteur bancaire européen. Ses missions : maintenir la stabilité financière de l’Union européenne et préserver l’intégrité, l’efficacité et le bon fonctionnement du secteur bancaire.

L’ABE a publié des normes techniques de réglementation qui exposent le champ d'application de la SCA pour la zone EEE.

Toutefois, ce sont les autorités compétentes des pays de l’EEE, comme la FCA au Royaume-Uni ou la BaFin in Germany qui seront responsables de l’application de la SCA lors de son entrée en vigueur.

Quand la SCA entre-t-elle en vigueur ?

L’entrée en vigueur de la SCA dans l’Espace économique européen est actuellement prévue le 14 septembre 2019.

Remarque : Le 28 juin 2019, la FCA a publié un communiqué (FCA) qui reconnaît les problématiques relatives à la préparation du secteur et à sa capacité à se conformer.

Cela signifie que certains fournisseurs de services de paiement peuvent être autorisés à procéder à un déploiement différé. Cette période est qualifiée de « disponibilité opérationnelle » : au cours de cette période, la FCA et les autres organismes de réglementation peuvent ne pas prendre de mesures coercitives.

Le délai global pour tout déploiement différé reste encore à déterminer, mais la durée de 18 mois à compter de septembre 2019 a été suggérée. Il s’agit de la date prévue initialement pour l’entrée en vigueur des nouvelles conditions.

‹ Voir le sommaire Page suivante ›

Les derniers conseils de nos experts

Le paiement des factures d’énergie à l’ère du numérique

Que retenir de l'évolution du modèle britannique de paiement de factures d'énergie à l'ère du numérique ?

[Webinaire] Authentification forte du client (SCA) : Conseils pour les entreprises avec des revenus récurrents

Apprenez tout ce que vous avez besoin de savoir sur l’Authentification forte du client (SCA) et sur la façon dont vous pouvez préparer votre entreprise grâce à notre webinaire à la demande.

Authentification forte du client (SCA) : Guide complet téléchargeable

Un guide détaillé pour apprendre tout ce qu’il faut savoir sur l’Authentification forte du client et découvrir comment préparer votre entreprise.

Voir tous les conseils


Notre guide SEPA

explications détaillées du prélèvement automatique

Notre guide Authentification forte du client (SCA)

Tout ce que les entreprises doivent savoir sur la SCA

Notre guide Cash Flow Academy

guide complet pour améliorer sa trésorerie