Les enjeux des nouvelles réglementations de paiement pour les voyages d’affairesGrégoire Toussaint - Edgar, Dunn & Company

Paris - 19 Novembre 2019

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

1 Contexte et objectifs de l’authentification forte

2 Aperçu des règles liées à l'authentification forte

3 Transactions en dehors du périmètre et exemptions

4 3D Secure

5 Récentes informations sur l'authentification forte

Agenda

2

6 Travel Managers : cinq aspects pour se préparer

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

1 Contexte et objectifs de l’authentification forte

2 Aperçu des règles liées à l'authentification forte

3 Transactions en dehors du périmètre et exemptions

4 3D Secure

5 Récentes informations sur l'authentification forte

Agenda

3

6 Travel Managers : cinq aspects pour se préparer

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

Le programme de réformes de l’Union Européenne pour faciliter accès et innovation dans les paiements

4

* Les dates indiquent quand la législation a été adoptée par le Conseil de l’Union Européenne

2000 2010 2020

2000

Agenda de

Lisbonne

2000

Directive sur la

Monnaie

Electronique 1

2001

Réglementation

SEPA

2007

Directive sur les

Services de

Paiement (DSP) 1

2009

Directive Monnaie

Electronique 2

2009

Directive sur les

Services de

Paiement 1

mise à jour

2012

Directive sur les

Services de Paiement 1

mise à jour

2015

Régulation sur

l’interchange

(IFR)

2016

Directive sur

les Services de

Paiement 2

Régulation

interchange

(IFR) 2.0

Directive sur

les Services

de Paiement

3.0

Potentiellement

dans le futur

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

En 2007, la DSP 1 (Directive sur les Services de Paiement) a créé des nouveaux types d’entités liées aux paiements

Des établissements non bancaires fournissant des services de paiement

5

Etablissement de

paiement (EP)

Etablissement de

monnaie

électronique (EME)

DSP 1 en 2007 Régulation moins

contraignante /

Périmètre plus

limité

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

En 2017, la DSP 2 a créé d’autres types d’entités appelées les TPPs « Third Party Provider »

Et exige que les banques offrent aux TPPs un accès aux comptes clients

6

Accès aux

comptes et

initiation de

paiement

DSP 2 en 2016Third Party

Provider

(TPP)

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

1 Contexte et objectifs de l’authentification forte

2 Aperçu des règles liées à l'authentification forte

3 Transactions en dehors du périmètre et exemptions

4 3D Secure

5 Récentes informations sur l'authentification forte

Agenda

7

6 Travel Managers : cinq aspects pour se préparer

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

Ces mesures d’authentification doivent être complétées pour vérifier

l’identité du payeur avant que les paiements ne soient autorisés

8

Etape de sécurité supplémentaire pour identifier

formellement le titulaire du compte bancaire / de la carte

Mesures doivent être effectuées par la banque du

titulaire de la carte / émetteur de la carte

Date initiale d’entrée en vigueur des règles relatives à

l’authentification forte : 14 Septembre 2019

Nouvelles mesures

de sécurité pour les

paiements en ligne

et en proximité

1. Mesure recommandée pour les Travel Managers : vérifier que votre

émetteur de cartes commerciales connaît l’authentification forte et est prêt pour le

passage à l’authentification forte

L’authentification forte introduit de nouvelles mesures de sécurité pour lutter contre la fraude

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

2 facteurs parmi trois catégories d’authentification doivent être utilisés pour authentifier le payeur

9

Catégorie

Connaissance

Possession

Inhérence

Quelque chose que seul

l’utilisateur connait

Quelque chose que seul

l’utilisateur possède

Quelque chose que

l’utilisateur est

Mot de passe, code PIN

Téléphone portable, carte à puce

appareil connecté

Biométrie : reconnaissance faciale/vocale,

empreinte digitale

Catégorie Exemple

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

1 Contexte et objectifs de l’authentification forte

2 Aperçu des règles liées à l'authentification forte

3 Transactions en dehors du périmètre et exemptions

4 3D Secure

5 Récentes informations sur l'authentification forte

Agenda

10

6 Travel Managers : cinq aspects pour se préparer

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

Transactions en dehors du périmètre de l’authentification forte

11

En dehors du

périmètre

d’application de

l’authentification

forte

MOTO (centre d’appel téléphonique)

Prélèvement et Transactions Initiées par le Marchand

Paiements non-européens (one-leg-out : émetteur ou

acquéreur en dehors l’Europe)

Cartes prepayées et anonymes

2. Mesure recommandée pour les Travel Managers : prendre

connaissance des types de paiements que vos voyageurs d’affaires effectuent –

êtes-vous impactés par l’authentification forte ?

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

Paiements Corporate

(Article 17)

Exemptions permettant de ne pas recourir à l’authentification forte

12

Exemptions pertinentes pour l’e-commerce

Transactions de faibles montants

(Article 16)

Bénéficiaires de confiance

(Article 13)

Transactions récurrentes

(Article 14)

Approche d’analyse par les risques

(Article 18)

3. Mesure recommandée pour les Travel Managers : demander à vos émetteurs s’ils ont

déjà fait des demandes auprès des régulateurs pour bénéficier des exemptions nécessaires

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

Critères pour appliquer l’approche d’analyse par les risques

Le taux de fraude de l’émetteur ou l’acquéreur doit être en dessous du

taux de fraude référence

13

Seuil – Valeur de

transactionCartes Virements

EUR 500 0.01% 0.005%

EUR 250 0.06% 0.010%

EUR 100 0.13% 0.015%

Taux de fraude référence en valeur de la transaction (%)

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

L’authentification forte ajoute une étape d’authentification avant l’autorisation

14

Titulaire de

carte

Le porteur de carte initie le paiement

5

6

En supposant que l’authentification forte a été

menée avec succès, une procédure d’autorisation

commencera -> La demande d’autorisation est

envoyée à l’acquéreur qui procède aux contrôles,

et envoie ensuite la demande d’autorisation à

l’émetteur via le scheme

L’émetteur effectue des contrôles (ex :

disponibilité des fonds) et ensuite il accepte ou

refuse la demande d’autorisation

L’acquéreur traite le paiement et notifie au

marchand que le paiement a été effectué

En utilisant 3D Secure, le marchand envoie la

demande d’authentification du serveur 3DS

hébergé par l’acquéreur à l’ACS (Access

Control Server) de l’émetteur, via le scheme

3L’émetteur évalue le risque de la transaction et

vérifie l’identité en utilisant les données

additionnelles -> Décide de continuer avec

l’authentification forte avec ‘challenge’ ou de

passer outre ‘sans friction’ -> l’émetteur effectue

les contrôles et envoie les résultats au marchand

3

5

6

Acquéreur

1

4

1

4

Schéma des flux lors de l’authentification avant l’étape d’autorisation

2

Challenge

potentiel de

l’authenti-

fication forte

2 ACS

(Access

Control

Server)

Access

Control

Server

Marchand

Serveur

3DS

Scheme

Emetteur

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

1 Contexte et objectifs de l’authentification forte

2 Aperçu des règles liées à l'authentification forte

3 Transactions en dehors du périmètre et exemptions

4 3D Secure

5 Récentes informations sur l'authentification forte

Agenda

15

6 Travel Managers : cinq aspects pour se préparer

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

EMV 3D Secure v2 est une nouvelle norme de sécurité des réseaux de paiement

Une solution compatible avec la réglementation portant sur

l’authentification forte de l’Union Européenne

16

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

3D Secure v2 est la mise à jour de la version 3DS v1 pour être en conformité avec la réglementation

17

3D-Secure

v1.0

(1999)

EMV 3D-

Secure v2.1

(2017)

4. Mesure recommandée pour les Travel Managers : mettre à jour votre

politique de voyage et de formation pour inclure l’authentification forte dans les

paiements des déplacements professionnels

EMV 3D-

Secure v2.2

(2019)

L’évolution des différentes version du protocole 3D Secure :

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

EMV 3D Secure v2 prend en charge différentes expériences utilisateur

18

Une fois que le

consommateur a

confirmé le paiement,

le flux de EMV 3D

Secure commence

Le consommateur se

connecte à son app

de banque en ligne en

utilisant son empreinte

digitale (2ème facteur :

‘inhérence’ avec

l’empreinte digitale)

La banque : vérifie

l’identité, complète les

conditions de

l’authentification forte et

renvoie le consommateur

au site du marchand

La banque décide

d’effectuer un

challenge/friction et

transmet une

notification a l’appareil

enregistré (1er facteur :

‘possession’ avec le

téléphone)

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

Authentification forte : impact, complexité et incertitude

19

5. Mesure recommandée pour les Travel Managers : assurer une bonne

communication interne sur les changements auprès des voyageurs d’affaires

Impact &

Complexité:

Responsabilité

et Exemption

Interprétation

des règles:

Manque

d’orientations de

l’ABE

Préparation de

l’écosystème:

Migration vers

3D Secure 2.2

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

1 Contexte et objectifs de l’authentification forte

2 Aperçu des règles liées à l'authentification forte

3 Transactions en dehors du périmètre et exemptions

4 3D Secure

5 Récentes informations sur l'authentification forte

Agenda

20

6 Travel Managers : cinq aspects pour se préparer

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

De nouveaux services sont développés par les fournisseurs de paiement pour supporter la complexité relative à l’authentification forte

21

Gestion intelligente

des exemptions

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

L’ABE a publié une première opinion sur les aspects liés à l’authentification forte en Juin 2019…

22

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

… avant d’établir une période de transition jusqu’à fin décembre 2020

23

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

La mise en place de l’authentification forte et du 3D Secure v2 requièrent une période de transition

Notamment pour la préparation de l’écosystème et la disponibilité de

la solution 3DS v2.2

24

20202019

Août 2018

Lancement

du EMV

3DS v2

14th Sept 2019

Date initiale

Face aux problèmes potentiels sur l’ensemble du e-commerce de l’économie, le régulateur

a décidé d’une période de transition jusqu’au 31 décembre 2020

Test lab de la

solution

Certification

EMV

Certification

scheme

Début de

l’adoption de

l’éco-système

Adoption de

l’ensemble de

l’éco-système

31 Déc 2020

Période de

transition

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

Focus sur les paiements corporate : réglementation et récentes mises à jour

25

Exemptions initialement prévues pour les flux de trésorerie des entreprises

Transactions du business travel exclues de la réglementation :

1. Cartes logées 2. Cartes virtuelles

3. Cartes corporates

sauvegardées dans le profil

client du business traveller au

sein du TMC

Il est pertinent d’échanger avec son émetteur de cartes commerciales et son TMC / agence(s) de

voyages pour confirmer les méthodes de paiement rentrant dans le périmètre de la réglementation

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

Focus sur les paiements corporate : exemption de l’authentification forte

26

MasterCard indique clairement les exemptions

pour les cartes logées, cartes virtuelles et

cartes corporates logées au sein d’une TMC

MasterCard indique clairement les exemptions

pour les cartes logées, cartes virtuelles et

cartes corporates logées au sein d’une TMC

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

Focus sur les paiements corporate : exemption de l’authentification forte

27

Cartes corporates

sauvegardées dans le

profil client du business

traveller au sein du TMC

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

1 Contexte et objectifs de l’authentification forte

2 Aperçu des règles liées à l'authentification forte

3 Transactions en dehors du périmètre et exemptions

4 3D Secure

5 Récentes informations sur l'authentification forte

Agenda

28

6 Travel Managers : cinq aspects pour se préparer

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

Travel Managers : cinq aspects pour se préparerpour l’authentification forte

29

011. Vérifier que votre

émetteur de cartes

commerciales connaît

l’authentification forte et

est prêt pour le passage

à l’authentification forte

033. Demander à vos

émetteurs s’ils ont déjà

fait des demandes

auprès des régulateurs

pour bénéficier des

exemptions

nécessaires

055. Assurer une bonne

communication interne

sur les changements

auprès des voyageurs

d’affaires

02

04

2. Prendre connaissance

des types de paiements

que vos voyageurs

d’affaires effectuent –

êtes-vous impactés par

l’authentification forte ?

4. Mettre à jour votre

politique de voyage et

de formation pour inclure

l’authentification forte

dans les paiements des

déplacements

professionnels

Il est pertinent d’échanger avec son émetteur de cartes commerciales et son TMC / agence(s) de

voyages pour confirmer les méthodes de paiement rentrant dans le périmètre de la réglementation

AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.

Avez-vous des questions?

30

Merci!