Yoan De Macedo [ Web & Minimalisme ]

Du changement dans le paiement par carte bancaire en 2019 sur internet

MAJ 22/03/19 : J'ai reçu un nouveau mail expliquant que le régulateur avait tranché. Dans le cadre d'une carte enregistrée, le paiement sera bien considéré comme initié côté marchand et ne nécessitera donc pas une nouvelle authentification de la part de l'utilisateur. C'est donc une bonne nouvelle pour les paiements en plusieurs fois.

MAJ 16/01/19 : J'ai eu un nouveau retour de Stripe qui me confirme que l'authentification ne sera nécessaire que pour le premier paiement. Une fois la carte enregistrée, dans le cadre d'un paiement en plusieurs fois, il sera possible de continuer le paiement sans authentification supplémentaire.
Bien entendu, dans le cadre d'un Woocommerce par exemple et de l'utilisation de plugin Stripe développé par Woocommerce, il faudra bien sûr qu'ils mettent à jour le module pour qu'il soit capable de prendre en compte les nouveaux protocoles. J'imagine qu'ils le feront au moment nécessaire.

Cette année vont intervenir deux changements majeurs au niveau du paiement par CB en ligne. Elles sont importantes et très utiles car elles visent à lutter contre la fraude en ligne. Je m'intéresse particulièrement à ces évolutions car elles peuvent avoir des conséquences sur mon plugin de paiement en plusieurs fois.

Travaillant beaucoup avec Stripe (ces changements concerneront les autres opérateurs de paiement aussi), j'ai étudié leur documentation et j'ai aussi échangé avec eux (le support est excellent par ailleurs).

Le premier changement, c'est 3D Secure 2. Je ne vais pas détailler longuement en quoi ça consiste mais vous pouvez lire ce document. J'imagine que la réception d'un SMS avec un code lorsque vous passez une commande avec votre CB vous est familier ? En gros 3D Secure 2, c'est une amélioration de ce processus de sécurisation qui limitera les frictions dans le processus de paiement. 3D Secure 2 devrait arriver début 2019.

La seconde, c'est "l'authentification forte" (Strong Customer Authentication). Je vous invite à lire ce document. Elle devrait arriver en septembre 2019. Ce n'est pas tout suite mais il est important de s'y intéresser pour ne pas être pris au dépourvu. On est face à une régulation Européenne. Pour s'authentifier de manière forte, il faut au moins 3 éléments :

Le consommateur devra donc intervenir au moment du paiement pour s'authentifier.

Chaque paiement initié de la part du client devra être authentifié de manière forte sauf dans certains cas (des exceptions) :

Cette liste peut encore évoluer, être modifée d'après ce que j'ai pu lire. J'ai l'impression que ce nouveau protocole n'est pas encore totalement figé. La question qui m'interroge pour les paiements en plusieurs fois, c'est l'intervention du client. En effet, une fois la CB enregistrée (de manière sécurisée bien entendu), les autres échéances doivent pouvoir être débitées sans action de l'utilisateur. Sinon, on ne pourrait plus débiter automatiquement et s'il refuse d'intervenir, l'échéance ne serait pas prélevée.

Si on regarde les exceptions au SCA, on a les abonnements. Un paiement en plusieurs fois est une sorte d'abonnement puisqu'on prélève une somme régulièrement. Toutefois, un point important est à prendre en compte. La somme doit être identique et périodique pour être considérée comme un abonnement. Ex : Je vends un produit à 100 euros en 2 fois sur 2 mois. 2 x 50 euros => c'est bon
Exemple 2 : Je vens un produit à 100 euros en 3 fois. Là on est face à un problème. 100 / 3 = 33.33333333333 ...
Pour arriver à 100 euros comptablement, on doit donc débiter 33.33 puis 33.33 puis 33.34 euros.
La 3ème échéance ne serait pas considérée comme un abonnement car on a 1 centime de différence. Pas de problème pour les 2 premières. C'est donc problématique pour les paiements en plusieurs fois mais aussi pour les fournisseurs de services en mode SaaS par exemple qui facturent à l'usage. Chaque mois, la somme est différente.

C'est donc ce point là que je cherche à éclaircir. On parle de paiement initié par le client. Dans le cas d'un paiement en plusieurs fois, le premier paiement est bien initié par le consommateur mais les paiements suivants sont gérés par le serveur sans action de l'utilisateur. L'authentification forte doit-elle s'appliquer dans ce cas ? Si la réponse est non, alors pas de problème. Si elle doit s'appliquer alors ça complique sérieusement les paiements en plusieurs fois. Là, je n'ai pas une réponse ferme est définitive. J'ai un doute. Il faudrait se conformer aux abonnements et que toutes les échéances soient identiques au centime près.

J'ai du mal à imaginer que cette régulation ne prenne pas en considération cette problématique là car elle risque de concerner beaucoup de monde. Je continue à m'informer sur le sujet et je ne manquerai pas de vous tenir au courant. Il reste encore quelques mois avant que cette régulation s'applique.

(Posté le 22-03-2019)

Les articles du blog | Qui suis-je ? | mail@yoandm.com

Je partage mes découvertes avec vous.
N'hésitez pas à vous abonner. Je déteste le SPAM, soyez tranquille.
Mentions légales | Politique de confidentialité | Propulsé par Grav