Préparation à la SCA et mise en œuvre

Tout ce que vous devez savoir sur la préparation pour la SCA et la protection de vos taux de conversion les plus importants.


Les entreprises en ligne sont-elles préparées à la SCA ?

En 2018, une étude menée par Mastercard auprès de plus de 300 commerces en ligne a révelé que 86 % de ces derniers n'étaient pas encore conformes à la SCA, tandis que 75 % n'avaient même pas connaissance.

Une étude effectuée par 451 Research en mai 2019 indique que seulement 15 % des entreprises s’estiment « tout à fait préparées ». Bien que la plupart des sociétés admettant n’être pas préparées soient des petites entreprises, le problème de préparation est bien plus global. Selon cette étude, 19 % des entreprises de plus de 5 000 employés s’estiment tout à fait préparées, et à peine deux entreprises sur cinq pensent pouvoir être conformes à la SCA d’ici septembre 2019.

Certains signes semblent néanmoins indiquer que les commerces en ligne commencent à prendre conscience du problème. La SCA était le sujet de conversation principal à des événements du secteur de la fintech et des paiements, comme le Merchant Risk Council London 2019 ou le Money 20/20.

Impact potentiel de la SCA sur les entreprises

Même si de plus en plus d’entreprises commencent à prendre conscience de la législation imminente sur la SCA, qui entrera en vigueur en septembre, nombre d’entre elles en sont encore à s’interroger sur les effets potentiels de la SCA. Voici quatre conséquences potentielles de la SCA.

1. Chute du taux de conversion

Pour les transactions qui nécessitent une authentification, la nouvelle législation ajoutera des étapes supplémentaires lors du processus de paiement. L’introduction de nouvelles contraintes dans le processus de paiement peut augmenter fortement la probabilité d’un abandon de la transaction. En 2019, 69 % des achats ont été abandonnés et 27% des clients ayant abandonné un achat ont été découragés par un processus « trop long ou compliqué ».

Certes, certains types de transactions sont exemptés de la double authentification et il existe également des stratégies que les entreprises peuvent appliquer pour réduire les contraintes lors du processus de paiement. Cependant, il est probable que la SCA provoque une baisse du taux de conversion pour les entreprises qui ne peuvent pas proposer un juste équilibre entre les nouvelles mesures de sécurité et une expérience de paiement pratique pour les clients finaux.

En Inde, une loi similaire a généré une chute de 25% du taux de conversion du jour au lendemain pour toutes les entreprises concernées.

2. Impact économique de la SCA

La baisse du nombre de clients finaux allant jusqu’au bout de leurs achats en raison du nouveau processus d’authentification devrait avoir des répercussions sur l’économie européenne. Les entreprises européennes peuvent s’attendre à perdre environ 57 milliards d'euros dans l'année qui suit l'entrée en vigueur de la SCA.

3. Remboursements des clients finaux

Selon le Conseil européen des paiements : « La DSP2 prévoit que le payeur peut réclamer un remboursement total de la part du fournisseur de services de paiement en cas de paiement non autorisé, si aucune mesure de SCA n’était mise en place et si le payeur n’a pas commis d’acte frauduleux. »

En pratique, cela signifie que lorsque le fournisseur de services de paiement d’une société (par exemple, une banque acquéreuse) choisit de s’appuyer sur une exemption (c’est-à-dire le droit de ne pas appliquer la SCA) ou n’intègre pas du tout la SCA, il sera tenu responsable de toute fraude qui en découle. Lorsque la SCA est appliquée, cette responsabilité peut être transmise à la partie qui applique la SCA, c’est-à-dire le fournisseur de services de paiement du payeur (par exemple, l’émetteur de cartes).

Lorsqu’un commerçant force son fournisseur de services de paiement (par exemple, un acquéreur) à appliquer une exemption spécifique, le fournisseur et le commerçant peuvent malgré tout s’entendre pour déterminer la responsabilité, et celle-ci incombera sans doute au commerçant.

Les réseaux de cartes comme Visa ont travaillé dur pour actualiser leurs règles afin de prendre en compte ces dispositions relatives à la responsabilité.

4. Demande de ressources

À court terme, les équipes en charge des produits, des affaires juridiques, des opérations et des finances au sein des entreprises concernées devront aider à mettre en place ces changements pour se conformer à la SCA. Si les sociétés choisissent de communiquer auprès de leurs clients finaux au sujet de ces modifications (voir plus bas), l’opération requerra un investissement marketing afin que le message soit reçu de la meilleure façon possible.

71 % des entreprises trouvent « considérable » le coût en ressources nécessaire à la mise en œuvre de la SCA.

Comment appliquer la SCA

Qui est responsable de la mise en œuvre de la SCA ?

Les entreprises qui encaissent des paiements en ligne ne sont pas directement responsables de la conformité à la SCA. Cette responsabilité incombe aux fournisseurs de services de paiement intermédiaires (en supposant que les transactions en ligne concernées relèvent des prérogatives du fournisseur) et aux banques.

Plus précisément, la banque du payeur est responsable de la conformité des transactions à la SCA (et du rejet des transactions qui ne sont pas conformes). C’est pourquoi elle doit collecter des données d’authentification, tel que le préconise la SCA.

Toutefois, la banque doit pouvoir collecter ces données depuis une source. C’est là qu’intervient le fournisseur de services de paiement. Celui-ci doit enregistrer les informations en toute sécurité lors du processus de paiement, puis les transmettre de manière sécurisée aux banques, à l’aide des mécanismes sécurisés prévus par les banques. Enfin, les banques ont le dernier mot et déterminent elles-mêmes si telle ou telle transaction est conforme.

Bien que la responsabilité de l’application de la SCA incombe au fournisseur de services de paiement, certaines difficultés d’ordre pratique peuvent survenir. Tout dépend du contrôle que peut avoir le fournisseur sur les activités ou de la conformité d’un autre fournisseur de services de paiement. En fin de compte, chaque fournisseur de services de paiement doit veiller à sa propre conformité. Dans certains cas, cela peut résulter en l’adoption d’une approche plus draconienne du fournisseur de services de paiement du payeur à l’égard de la SCA par rapport à ce qui se pratiquait jusqu’ici.

Cependant, l’impact de la SCA que nous avons déjà décrit, y compris la possible baisse des taux de conversion, pèse principalement sur les commerçants.

Le choix d’un fournisseur de services de paiement prêt à appliquer la SCA ou proactif à ce sujet sera donc déterminant.

Si vous souhaitez approfondir le sujet et échanger sur la SCA et ses répercussions sur vos paiements, nous serions ravis d'en discuter avec vous.

Actualisation de votre processus de paiement

La mise en conformité avec la SCA vous ajoute une étape dans le processus de paiement. Il s’agit de la nouveauté la plus visible pour vos clients finaux. Selon le mode de paiement, cette étape supplémentaire peut être évidente ou, à l’inverse, presque invisible. Par exemple, les paiements mobiles intègrent déjà l’utilisation de l’empreinte digitale ou de la reconnaissance faciale pour valider les achats, deux éléments constituant des mesures d’authentification acceptables pour la catégorie des caractéristiques personnelles.

Comme nous l’avons déjà évoqué, la SCA affectera surtout les transactions par carte de crédit ou débit. Pour actualiser vos processus de paiement pour les transactions par carte, 3D Secure 2 (3DS2), un moyen d’authentification conforme, a vu le jour.

Dans un article pour Forbes, Jordan Mckee, Directeur de la recherche chez 451 Research a récemment souligné que « les commerçants qui intégreront le mieux la SCA à leur processus de paiement et appliqueront efficacement les exemptions se distingueront des autres en minimisant l’impact pour le client. »

3D Secure 2

3D Secure (3DS) est un moyen d’authentification déployé à l’origine par Visa. Conçu pour les achats en ligne par carte de crédit ou débit, il réclame un mot de passe aux clients finaux pour les laisser terminer la transaction de paiement. En général, les entreprises en ligne obtiennent l’accès à 3D Secure via un fournisseur de services de paiement adapté.

3D Secure 2 (3DS2) est une nouvelle version de cet outil et satisfait les exigences de la SCA en : - Introduisant des conditions d’authentification, par exemple en demandant aux clients finaux de saisir un mot de passe unique ou fournir une autorisation biométrique - Permettant à l’émetteur de décider s’il accepte ou rejette la transaction.

Toutefois, la phase de test et le déploiement par toutes les parties devraient être entièrement finalisés d’ici le 14 septembre.

Le principal objectif de 3DS2 est de créer une authentification sans entrave, même avec les nouveaux contrôles de sécurité requis par la SCA. Si la transaction n’est pas concernée par la SCA, 3D Secure 2 outrepasse ces vérifications. L’une des principales améliorations par rapport au protocole 3D Secure (3DS) original est la capacité à effectuer les contrôles nécessaires sans quitter la page de paiement.

Problèmes potentiels de 3D Secure 2

Le protocole 3D Secure (3DS) original comportait de nombreux problèmes pour les commerçants, en particulier la chute du taux de conversion si redoutée, due aux redirections depuis la page de paiement et l’expérience utilisateur médiocre. Une étude Ravelin révèle que 22 % de toutes les transactions authentifiées utilisant 3D Secure sont abandonnées en cours de route.

Même si la nouvelle version a été conçue pour limiter les défauts de l’originale, notamment en offrant une meilleure expérience utilisateur pour les smartphones, elle nécessitera un déploiement à plus grande échelle afin d’évaluer son succès.

Adoption de 3DS2 et reconnaissance des consommateurs

La capacité de 3D Secure 2 à gérer la problématique des taux de conversion au regard de la SCA dépendra de son adoption aussi bien par les banques que par les clients finaux. Malgré l’application imminente de la SCA, de nombreuses banques doivent encore commencer à adopter le protocole 3DS2.

Quant aux clients finaux, l’utilisation du protocole 3DS original est pour l’instant assez limitée dans les pays d’Europe. Selon PYMNTS, à la fin de l’année 2017, seulement 50 % des clients finaux l'utilisent et 25 % des transactions sont authentifiées.

Normes techniques de réglementation de la SCA

Les normes techniques de réglementation de la SCA détaillent avec précision le champ d’application de la SCA et le rôle attendu de toutes les parties. La version finale a été rédigée et diffusée par la Commission européenne en novembre 2018.

Ce guide est surtout destiné à traduire les principaux aspects des normes techniques de réglementation en anglais basique.

Vos clients et la SCA

Il est indéniable que la SCA aura un impact sur votre activité ; mais elle représente également un bouleversement de grande ampleur pour les clients finaux qui effectuent des achats en ligne. Quel est leur sentiment à ce sujet ? Se soucient-ils d’une sécurité renforcée ? Savent-ils que des changements vont survenir ?

Connaissance de la SCA par les consommateurs

Les banques ont commencé à communiquer au sujet de la SCA auprès des entreprises (example 1, example 2), mais elles doivent encore enclencher une vraie communication auprès du consommateur final pour l’informer des changements à venir.

Un équilibre entre sécurité et simplicité

Qu’ils connaissent la SCA ou non, les consommateurs finaux seront-ils prêts à faire des compromis sur l’aspect pratique des achats en ligne afin de se conformer à des contrôles de sécurité renforcés ? Après tout, le système de commande en un clic d'Amazon était jusqu’à présent le processus de référence auquel étaient comparés tous les autres processus de paiement.

Nous avons mené une étude sur 4 000 clients en France, au Royaume-Uni, en Allemagne et en Espagne afin d’analyser leur comportement face à la sécurité et à la simplicité des achats en ligne.

Nous leur avons également demandé leurs impressions sur certains points spécifiques de la nouvelle législation relative à la SCA et comment une sécurité renforcée au moment du paiement influencerait leur comportement d’achat.

Les résultats mettent en évidence une légère préférence pour la sécurité, avec 58 % des acheteurs privilégiant la sécurité à la conversion de l’achat.

Cependant, lorsqu’on leur demande comment ils réagiraient face à des procédures de sécurité plus complexes lors de leurs achats en ligne, la majorité d’entre eux (54 %) répondent qu’ils seraient réticents ou contrariés. Seuls 39 % déclarent qu’ils se sentiraient rassurés.

sca sécurité 2

L’étude a également démontré que les réactions face au renforcement de la sécurité et le comportement d’achat pouvaient être très différentes. 41 % des personnes interrogées ont déjà abandonné un achat en ligne trop complexe et près d’un quart (24 %) seraient prêtes à diminuer leurs achats auprès de leur marque favorite si les achats s’accompagnaient de mesures de sécurité renforcées.

Cette contradiction entre les attitudes est révélatrice de l’écart entre ce que pensent les consommateurs finaux et la façon dont ils agissent. S’ils peuvent réagir positivement à l’idée d’une sécurité renforcée, il est possible que leur comportement soit très différent une fois qu’ils sont confrontés à la SCA.

sca sécurité 3

Communication sur la SCA auprès de vos clients finaux

À la suite de la législation RGPD de 2018, nombre de clients finaux ont reçu un déferlement d’e-mails d’entreprises qui les informaient de modifications dans leur politique de confidentialité. L’effet de masse a été accueilli fraîchement par les clients et beaucoup de ces e-mails étaient même illégaux en vertu du RGPD.

Il est donc important de garder à l’esprit que communiquer au sujet de changements majeurs auprès de vos clients peut être une nouvelle source de problèmes. Si vous ne communiquez pas sur ces changements, les clients seront-ils perdus une fois que les modifications seront en vigueur ? Et si vous communiquez sur la SCA, cela va-t-il créer des inquiétudes inutiles ? Il est également très difficile d’expliquer la nature exacte de toute modification alors que vous êtes vous-même en train de mettre en place de nouveaux processus de paiement et d’autorisation.

‹ Voir le sommaire Page suivante ›

Les derniers conseils de nos experts

[Webinaire] Authentification forte du client (SCA) : Conseils pour les entreprises avec des revenus récurrents

Apprenez tout ce que vous avez besoin de savoir sur l’Authentification forte du client (SCA) et sur la façon dont vous pouvez préparer votre entreprise grâce à notre webinaire à la demande.

Authentification forte du client (SCA) : Guide complet téléchargeable

Un guide détaillé pour apprendre tout ce qu’il faut savoir sur l’Authentification forte du client et découvrir comment préparer votre entreprise.

Sécurité ou simplicité de l'expérience de paiement : Que recherchent les acheteurs en ligne ?

Les clients accepteront-ils des mesures de sécurité renforcées si elles compliquent leur transaction ? Nous avons mené une étude sur 4 000 clients au Royaume-Uni, en France, en Allemagne et en Espagne afin d’analyser leur comportement face à la sécurité et à la simplicité des achats en ligne.

Voir tous les conseils


Notre guide SEPA

explications détaillées du prélèvement automatique

Notre guide Authentification forte du client (SCA)

Tout ce que les entreprises doivent savoir sur la SCA

Notre guide Cash Flow Academy

guide complet pour améliorer sa trésorerie