Tout ce que vous devez savoir sur la nouvelle directive DPS2

Tout ce que vous devez savoir sur la nouvelle directive DPS2

Le présent article est proposé uniquement à titre informatif et les informations qu’il présente ne sauraient remplacer des conseils juridiques spécifiques à vos propres besoins et à votre propre situation.

Que Lightspeed soit votre système de caisse en magasin ou en restaurant, votre plateforme de commerce électronique, ou les deux, Lightspeed prend très au sérieux son rôle dans votre entreprise et veut s’assurer que vous possédez les outils et les informations nécessaires à votre succès. Lightspeed a reçu un certain nombre de questions de la part de ses clients concernant la directive européenne 2015/2366, plus couramment connue sous le nom de « Directive sur les services de paiement 2 » (« DSP2 »). Cet article propose des réponses à ces questions, ainsi que des compléments d’information.

Qu’est-ce que la DSP2 ?

La DSP2 est une directive européenne qui révise les règles relatives aux services de paiements électroniques dans l’U.E., y compris les services de paiements émergents tels que les paiements par Internet et les paiements mobiles. Cette directive fixe des règles en matière de sécurité et de transparence des paiements électroniques.

Date d’entrée en vigueur de la DSP2

Si la directive elle-même est entrée en application le 12 janvier 2016 et a fixé le 13 janvier 2018 comme date à laquelle chaque pays de l’Union européenne devait l’avoir incorporée dans sa législation nationale, de nombreuses règles de la DSP2 doivent être appliquées par des règlements qui ne sont pas encore en vigueur. La date limite dont vous avez sans doute entendu parler est le 14 septembre 2019, date à laquelle les nouvelles obligations en matière de sécurité des paiements conformément à la DSP2 entrent en vigueur pour tous les commerçants. Bien que les obligations de sécurité soient applicables pour les commerçants à compter du 14 septembre 2019, les organismes de réglementation de certains pays accordent un délai de grâce aux commerçants, durant lequel ces organismes ne prendront pas de mesures propres à assurer le respect de la loi contre un commerçant s’il peut prouver qu’il est « en train de prendre des mesures » pour se mettre en conformité. L’existence et la durée des délais de grâce varient selon les pays.

Impacts de la DSP2 sur les commerçants

La DSP2 peut avoir plusieurs impacts pour les commerçants. Heureusement, pour la plupart des clients Lightspeed qui s’appuient sur des fournisseurs de services de paiements tiers titulaires d’une licence, le respect des obligations de conformité en vertu de la DSP2 peut être en grande partie confié à ces prestataires tiers de services de paiements.

Votre fournisseur de services de paiements est-il titulaire d’une licence ?

En premier lieu, de nombreuses entreprises ont compté sur une dispense en matière de règlements de paiements pour éviter des obligations de licence et un contrôle réglementaire concernant leurs traitements des paiements. La DSP2 modifie cette dispense, contraignant la plupart des commerçants à choisir entre s’enregistrer comme établissement de paiement réglementé, apporter d’importantes modifications à leurs conditions d’utilisation juridiques et faire appel à un fournisseur de services de paiements tiers titulaire d’une licence. Comme les deux premières possibilités sont susceptibles d’entraîner des coûts importants, il est heureux que la majorité des clients Lightspeed aient déjà fait appel à des fournisseurs de services de paiements tiers titulaires de licence, recommandés par Lightspeed. Étant donné que Lightspeed n’est fournisseur de services de paiements pour aucun commerçant européen actuellement, nous vous conseillons de contacter votre fournisseur de services de paiements pour obtenir confirmation qu’il est bien titulaire de la licence appropriée. Voir ci-dessous : « Lightspeed est-il mon fournisseur de services de paiements ? »

Votre fournisseur de services de paiements est-il en conformité avec les nouvelles obligations de sécurité ?

Les nouveaux règlements de sécurité, conformément à la DSP2, visant la prévention des fraudes dans les paiements numériques, entreront en vigueur le 14 septembre 2019. Voir ci-dessous : « En quoi les nouvelles obligations de sécurité de la DSP2 touchent-elles les clients de Lightspeed ? »

D’importantes sanctions étant prévues pour les commerçants qui ne respectent pas les nouvelles exigences en matière de sécurité, il est judicieux de contacter votre fournisseur de services de paiements pour vérifier que ses services sont effectivement conformes aux exigences de sécurité.

Même si la partie sécurité de la DSP2 devait entrer en vigueur le 14 septembre 2019. Toutefois, l’Autorité bancaire européenne (ABE) a permis aux États membres de l’UE de retarder – en partie – la mise en œuvre de la PSD2. Par conséquent, les marchés disposent de plus de temps pour préparer et mettre en œuvre l’authentification forte du client (SCA) pour les paiements par carte dans le secteur du commerce électronique.

Le délai autorisé est subordonné à la présentation par les prestataires de services de paiement d’un plan de migration à l’autorité bancaire de l’État membre dont ils relèvent et à l’information constante de cette autorité bancaire nationale sur l’avancement du processus de mise en œuvre.

Les législateurs de nombreux États membres de l’UE (19 sur 26 pour être exact) ont annoncé des retards dans la mise en œuvre de l’ALC pour les paiements en ligne. Parmi eux, la Belgique, la France, l’Allemagne, les Pays-Bas et le Royaume-Uni (liste complète ci-dessous).

Retardé à Délai à déterminer
Autriche Date limite à déterminer
Belgique Aussi rapidement que possible
Danemark 14 mars 2021
Finlande Date limite à déterminer
France Décembre 2020 (pour les codes de texte à usage unique)
Mars 2021 (pour 3DS)
Allemagne Date limite à déterminer
Grèce Date limite à déterminer
Hongrie 14 septembre 2020
Irlande Aussi rapidement que possible
Italie Date limite à déterminer
Lituanie Date limite à déterminer
Luxembourg Date limite à déterminer
Malte Date limite à déterminer
Pays-Bas Date limite à déterminer
Norvège Date limite à déterminer
Pologne Date limite à déterminer
Slovénie Date limite à déterminer


Acceptez-vous les cartes de crédit ou cartes de paiement dans votre magasin en ligne ?

Pour les paiements par carte, les sociétés émettrices de cartes de crédit et cartes de paiement de consommateurs s’orientent vers une nouvelle version de la norme d’authentification 3 D Secure, 3DS 2.0, afin de respecter les nouveaux règlements de sécurité. À compter du 14 septembre 2019, la norme d’authentification 3 D Secure sera requise pour accepter des paiements par les principales cartes de crédit de consommateurs dans votre magasin en ligne. De ce fait, il est judicieux de vérifier que votre fournisseur de services de paiements applique la norme 3DS 2.0.

Comment facturez-vous vos clients ?

Une règle de la DSP2 est déjà en vigueur : l’interdiction aux commerçants de facturer eux-mêmes un supplément aux consommateurs pour leur utilisation d’une carte de crédit ou carte de paiement de consommateur. Si vous répercutez les coûts de sociétés de carte de paiement ou de fournisseurs de services de paiements sur vos clients, nous vous conseillons de vous renseigner pour savoir si vous êtes toujours autorisé à le faire.

Lightspeed est-elle mon fournisseur de services de paiements ?

 Lightspeed propose Lightspeed Payments, sa solution de paiement uniquement destinée aux clients détaillants aux U.S.A. Actuellement, Lightspeed n’est pas fournisseur de services de paiements pour des commerçants européens. Si vous êtes client de Lightspeed en Europe, Lightspeed vous a probablement recommandé l’un de ses partenaires de paiements de confiance, pour vous fournir des services de paiements s’intégrant à votre plate-forme Lightspeed.

En quoi les nouvelles obligations de sécurité de la DSP2 touchent-elles les clients de Lightspeed ?

 Le 14 septembre 2019, les nouveaux règlements de sécurité conformes à la DSP2 entreront en vigueur et imposeront aux commerçants d’appliquer une « authentification forte du client » (Strong Customer Authentication, SCA) pour les paiements numériques.

 Trois méthodes principales existent pour authentifier un consommateur, pour un paiement numérique. Cette authentification peut s’effectuer par :

  • un facteur connu uniquement du client, par exemple un code PIN ou un mot de passe ;
  • un facteur en la possession du client, par exemple un téléphone ou une carte ; ou
  • un facteur biométrique, par exemple un scan oculaire ou une empreinte digitale.

L’obligation d’« authentification forte du client » exige d’un commerçant qu’il vérifie l’identité du client en utilisant au moins deux de ces trois facteurs. C’est l’origine du terme « double authentification » : l’authentification à deux facteurs (two-factor authentication, 2FA).

Dans la pratique, cette nouvelle obligation signifie que les paiements par carte en ligne utilisant uniquement les informations figurant sur la carte elle-même ne sont plus autorisés. La double authentification impose aux consommateurs d’authentifier aussi la transaction en saisissant un mot de passe ou un code PIN, ou en confirmant leur identité à l’aide d’un code envoyé à leur téléphone, entre autres possibilités. Certains commerçants ont exprimé leurs craintes que ces obstacles supplémentaires réduisent leurs ventes en ligne. Cependant, de nombreux professionnels du secteur affirment qu’une authentification forte du client va accroître la confiance dans le commerce en ligne et pourrait entraîner sa hausse, en définitive.

En outre, pour les paiements par carte, la nouvelle version de la norme 3D Secure, 3DS 2.0, est requise pour effectuer une authentification forte du client (la norme originale 3D Secure ne respecte pas les exigences de la double authentification 2FA). À compter du 14 septembre 2019, la norme d’authentification 3DS 2.0 sera requise pour accepter des paiements par les principales cartes de crédit de consommateurs dans votre magasin en ligne, donc il est judicieux de vérifier que votre fournisseur de services de paiements applique effectivement la norme 3DS 2.0.

Que puis-je faire, selon Lightspeed, pour assurer la conformité DSP2 de mon entreprise ?

 Les entreprises sont toutes différentes. Nous avons présenté ci-dessus quelques suggestions pour préparer votre entreprise à la DSP2, mais ces suggestions ne peuvent pas remplacer des conseils juridiques spécifiques à la situation de votre entreprise. Nous vous conseillons, en tout cas, d’entreprendre une des actions suivantes ou toutes ces actions :

  • Obtenir confirmation que votre fournisseur de services de paiements est titulaire d’une licence, partout où vous effectuez des transactions.
  • Obtenir confirmation des mesures prises par votre fournisseur de services de paiements pour assurer une authentification forte du client et une communication sécurisée.
  • Obtenir confirmation que votre fournisseur de services de paiements applique la norme d’authentification 3DS 2.0 pour vos paiements par carte en ligne.
  • Si vous facturez actuellement un supplément à vos clients pour leur utilisation d’une carte de crédit ou carte de paiement de consommateur, renseignez-vous pour savoir si vous êtes autorisé à continuer de le faire.

Informez Lightspeed si vous n’êtes pas entièrement satisfait des mesures prises par votre fournisseur de services de paiements pour la conformité à la directive DSP2. Nous serons heureux d’étudier avec vous toutes les possibilités.