Qu’est-ce que la PSD2?
Si vous n’avez pas entendu parler de la PSD2, vous n’êtes pas les seuls, l’information commence à peine à être largement diffusée auprès du secteur. La PSD2 fait suite à la directive européenne initiale sur les services de paiement (PSD1), adoptée en 2007 pour rendre les paiements transfrontaliers au sein des États membres de l’UE plus faciles, plus efficaces et plus sûrs. La PSD2 a pour objectif d’élargir le champ d’application de la directive initiale. Elle doit entrer en vigueur le 14 septembre 2019, mais il est de plus en plus vraisemblable que sa mise en œuvre sera reportée, en dépit des efforts de nombreux prestataires de services de paiement (PSP) et commerçants pour respecter le délai.
Pourquoi l’UE introduit-elle la PSD2?
La PSD2 présente plusieurs avantages majeurs. Elle renforcera les premiers succès de la PSD1 dans la prévention de la fraude en matière de paiement et la protection de la sécurité des données, ce qui est vraiment important dans l’environnement de paiement numérique actuel. Elle profitera aux consommateurs en proposant des options de paiement électronique moins coûteuses et plus innovantes. De nouveaux acteurs sont apparus dans le domaine des paiements par Internet, ils permettent aux consommateurs de payer instantanément sans avoir besoin d’une carte de crédit. Apple Pay, Google Pay et Paypal figurent parmi ces derniers. La PSD2 réglementera ces nouvelles options de paiement, facilitera et sécurisera leur accès aux consommateurs. C’est une excellente nouvelle pour environ 60 % de la population de l’UE qui ne possède pas de carte de crédit (chiffres issus de laFAQ de la directive sur les services de paiement de la Commission européenne).
Autre élément important de la PSD2, la Strong Customer Authentication (SCA) ou Authentification forte du client, qui vise à réduire la fraude liée aux cartes de crédit et à rendre les paiements plus sûrs pour les consommateurs en imposant une authentification du client à deux facteurs lors du processus de paiement, c’est-à-dire en obligeant les utilisateurs à fournir plus d’informations d’identification avant d’autoriser tout paiement. L’introduction de la SCA est une exigence légale majeure.
Comment l’authentification forte du client (SCA) sera-t-elle appliquée ?
Pour les paiements en ligne, si prestataire de services et l’étalissement financier du bénéficiaire sont tous deux situés dans l’UE, la SCA exige, pour valider la carte et autoriser le paiement, au moins deux des trois éléments suivants:
- Connaissance – quelque chose que seul l’utilisateur connaît (mot de passe, code PIN ou chemin d’accès mémorisé)
- Possession – quelque chose que seul l’utilisateur possède (téléphone portable ou dispositif de vérification de code QR)
- Inhérence – quelque chose propre à l’utilisateur pour l’indentifier (empreinte digitale, voix, reconnaissance faciale ou scan de la rétine)
À partir du 14 septembre, les réservations d’hôtel en ligne devront fournir une authentification à deux éléments au lieu d’un seul (code CVV de carte), comme c’est généralement le cas aujourd’hui. Certaines personnes sont déjà familiarisées avec les approches à deux éléments, par exemple l’envoi d’un code PIN sur leur téléphone comme second moyen d’authentification, mais à partir de la mi-septembre, cela sera probablement utilisé plus fréquemment pour améliorer la sécurité.
Quelles seront les conséquences de la SCA sur les réservations en ligne ?
La principale crainte est que ces exigences d’authentification dérangent les utilisateurs au point d’avoir un impact négatif sur la conversion. La menace immédiate de perturbation potentielle pour les entreprises et les clients est bien plus inquiétante, car les participants non conformes courent le risque de voir les paiements de leurs clients retardés, contestés ou simplement rejetés. En outre, l’exposition aux transactions frauduleuses continuera de saper les opérations commerciales. Dans le pire des cas, si les banques ne prennent aucune mesure, les hôtels devront s’attendre à des taux d’abandon des réservations plus élevés et à une baisse du nombre d’autorisations.
La SCA s’applique-t-elle à toutes les réservations?
Certaines transactions ne sont pas soumises à la SCA et resteront hors du champ d’application de la législation. Le système ne s’applique évidemment pas aux transactions en présence du titulaire de la carte. Les transactions sur support papier, les ordres de paiement passés par courrier ou par téléphone (MOTO, Mail Order and Telephone Order) et les transactions à l’initiative du commerçant (MIT) ne sont pas concernés non plus.
D’autres transactions, auxquelles la SCA s’applique normalement, peuvent être gérées efficacement de manière à en être exemptées. Elles incluent notamment les transactions en faveur d’un bénéficiaire de confiance, à faible valeur monétaire, à faible risque et les paiements récurrents.
La SCA sera néanmoins obligatoire pour la majorité des paiements en ligne, y compris les réservations en ligne ne nécessitant aucun paiement au comptant, mais utilisant une garantie par carte de crédit.
Les réservations des agences de tourisme en ligne (OTA) devront-elles également satisfaire aux exigences de la SCA?
Les réservations des OTA sont soumises aux mêmes règles que les réservations directes. Les OTA devront également mettre en œuvre une authentification à deux éléments. On ne sait pas encore de quelle manière elles géreront ce système. Il est toutefois probable que les paiements au comptant deviendront majoritaires. Le risque est que les hôtels soient de plus en plus prisonniers du réseau des OTA qui crée déjà des difficultés quotidiennes pour les clients. Si les hôtels utilisent une solution de traitement OTA SCA, ils courent le risque de perdre encore plus de contrôle sur un élément clé du processus de réservation, et de subir une hausse des coûts. À ce stade, Bookassist conseille aux hôtels d’attendre de voir ce que proposent les OTA et d’être prudents et patients avant de passer à l’étape suivante, car comprendre les « conditions en petits caractères » pourrait s’avérer crucial pour éviter de futures conséquences indésirables.
Comment les hôtels doivent-ils se préparer à la PSD2?
La bonne nouvelle pour les hôtels est que la responsabilité de la PSD2 incombe principalement aux passerelles de paiement et au secteur bancaire ou financier. Les hôtels doivent s’assurer que leurs partenaires de paiement ont adapté leurs processus à la PSD2. Ils doivent également vérifier que leurs propres banques ou prestataires de passerelle de paiement ont pris les mesures nécessaires pour être en conformité avec la PSD2 et pourront recevoir des fonds sans problèmes après le 14 septembre.
Les hôtels doivent aussi demander à leur prestataire de système de gestion de réservation, de moteur de réservation et leurs partenaires de distribution en ligne quels seront leurs moyens d’authentification et de réalisation des paiements après le 14 septembre. L’application de la directive évitera le risque d’une baisse de la conversion, avec des clients qui abandonnent les processus de réservation et réservent leurs chambres ailleurs.
Les hôtels devront également revoir et mettre à jour leurs conditions générales pour s’assurer qu’elles tiennent compte de la nouvelle législation PSD2.
Comment Bookassist prépare-t-il les hôtels pour la PSD2?
Bookassist collabore depuis plusieurs mois avec ses partenaires de paiement pour garantir que nous respections tous la directive PSD2. Cela a nécessité une mise à jour de toutes nos passerelles de paiement et de nos logiciels d’intégration. Bookassist informera ses clients, le cas échéant, de toute mise à jour de la PSD2 et des exigences supplémentaires ainsi que des calendriers de mise en œuvre dès qu’ils seront annoncés.
Claire Sawier est Responsable Marketing et Don Cronin Chef de Produit chez Bookassist (bookassist.com), le partenaire maintes fois récompensé en matière de techonologie et de stratégie digitale pour les hôtels du monde entier.
