Depuis la fin de l’année 2020, la deuxième directive sur les services de paiement (DSP2) est enfin entrée pleinement en vigueur dans l’Espace économique européen (ci-après EEE).
Son objectif est de garantir une meilleure transparence et une sécurité renforcée aux consommateurs et aux utilisateurs de cartes lors des paiements en ligne.
Pour ce qui est de l’industrie hôtelière, la DSP2 apporte des changements au processus de réservation et au traitement des données relatives aux cartes de crédit des clients. Dans le présent article, nous examinons de plus près ce qu’est la DSP2 et ce que cette directive signifie pour votre entreprise.
Qu’est-ce que la PSD2 ?
PSD2 est l’abréviation de Payment Services Directive 2 (EU) 2015/2366. Cette directive s’applique à toutes les entreprises qui utilisent des cartes de crédit et des paiements en ligne. Les hôtels en font bien sûr partie. Actuellement, la directive est restreinte à l’EEE. Cela signifie qu’elle n’est obligatoire que si le client et l’hôtel sont situés au sein de l’EEE.
Les objectifs de la DSP2 sont sans équivoque axés sur le bien-être du consommateur. Il s’agit avant tout du renforcement de la sécurité des opérations de paiement électronique. La DSP2 a également pour but de continuer à assurer les conditions d’une concurrence uniforme dans l’espace SEPA (Single European Payments Area). Par ailleurs, cette directive intègre les innovations techniques qui sont apparues depuis la première directive sur les services de paiement.
La PSD2 est axée sur les paiements en ligne. Désormais, l’authentification forte du client (strong customer authentication - SCA) avec authentification à deux facteurs (2FA) est toujours requise pour chaque initiation de paiement.
À cet effet, deux facteurs sur trois doivent être utilisés :
-
La connaissance : quelque chose que seul le client connaît, par exemple un mot de passe ou un code PIN.
-
La propriété : quelque chose qui appartient au client, par exemple un smartphone enregistré au nom du client.
-
L’inhérence : une caractéristique du client, par exemple l’empreinte digitale, la reconnaissance vocale ou un scan facial
Si la procédure 2FA est réussie, la preuve de cette réussite est stockée dans le système sous la forme d’un jeton d’authentification et le paiement peut être effectué.
À ce jour, les fournisseurs de services de paiement conformes à la DSP2 utilisent 3D Secure 2.0 (3DS2 en abrégé) pour réaliser la 2FA. Les clients sont donc redirigés vers le site web de leur banque pour y autoriser les paiements.
Par exemple, la réservation d’une chambre d’hôtel : Le client fournit les coordonnées de sa carte de crédit via l’écran de réservation pour payer sa chambre à l’avance. Pour confirmer le paiement, le client est redirigé vers sa banque. Il y saisit un code que la banque a préalablement envoyé sur son téléphone portable.
Comment la DSP2 concerne-t-elle les hôtels ?
La PSD2 touche de nombreuses transactions hôtelières telles que les réservations de chambres, les paiements avant, pendant et après le séjour à l’hôtel.
Avant l’entrée en vigueur de la DSP2, l’OTA ou l’écran de réservation pouvait demander les coordonnées de la carte de crédit du client pour une garantie. Cette opération n’a pas nécessité d’authentification. Vous pouvez toujours demander les coordonnées de la carte pour une garantie, mais si vous voulez obtenir l’autorisation de déclencher les paiements immédiatement ou ultérieurement, la 2FA est requise au moment de la réservation en ligne. En effet, sans la 2FA, il existe un risque que les transactions en ligne (comme le prépaiement d’un séjour ou le blocage d’un montant de garantie) déclenchées par le PMS soient rejetées par le système.
Dans un premier temps, cela peut rendre les transactions en ligne plus difficiles, car les clients ne sont pas encore habitués à effectuer une 2FA pour une garantie. Vraisemblablement, les voyageurs abandonneront dans un premier temps un plus grand nombre de transactions de réservation lorsqu’ils seront confrontés à ces nouvelles mesures peu familières. Cependant, une fois que la DSP2 sera devenue une réalité et sera perçue comme normale par les clients, elle apportera un avantage important aux hôtels.
La 2FA pour les transactions en ligne (cardholder-not-present transaction) entraîne un transfert de responsabilité (liability shift). Cela signifie qu’un client ne peut plus annuler sa transaction après la 2FA, même pas en faisant appel à la banque. Les hôtels bénéficient ainsi d’une plus grande sécurité pour les réservations garanties et d’une protection contre les débits compensatoires en cas d’annulation.
Comment votre hôtel peut bien démarrer avec la PSD2
En ce qui concerne les réservations de chambres d’hôtel, un certain temps peut s’écouler entre la réservation et l’arrivée - un temps pendant lequel les clients peuvent changer d’avis. Autrefois, la garantie de la carte de crédit était un bon moyen d’éviter cela, d’éviter les absences et de garantir les réservations.
Aujourd’hui, de nouvelles solutions sont nécessaires pour se conformer aux dernières réglementations, limiter les absences et les annulations, tout en garantissant une expérience client agréable.
Paiement préalable lors de la réservation
Pour tout hôtelier, le scénario de réservation idéal consiste à réserver directement sur le site web de l’hôtel. Si un paiement total ou partiel est requis à ce moment-là, votre écran de réservation doit être conforme à la DSP2 et utiliser la 2FA pour effectuer la transaction. Le Spider-Booking de Hotel-Spider est conforme à la norme PSD2.
Si le client réserve en passant par une OTA, la responsabilité de la bonne exécution de la transaction incombe au fournisseur tiers. Toutefois, vous devez tout de même vous assurer que tous vos partenaires de distribution sont conformes à la DSP2.
Paiements effectués en dehors du séjour
Les transactions effectuées en dehors du séjour sont nécessaires dans un certain nombre de situations. Il s’agit notamment de la saisie manuelle des coordonnées de la carte pour obtenir une garantie, ou du débit de la carte en raison d’une annulation de dernière minute ou d’une absence. Autrefois, le paiement pouvait être déclenché facilement car la carte du client était stockée dans le PMS.
Bien que cela soit encore possible aujourd’hui, il est impossible d’inverser la responsabilité en cas de transaction sans le propriétaire de la carte (par exemple, en saisissant le numéro de la carte sans code PIN dans le terminal). Ainsi, le client pourrait réclamer les frais d’annulation générés via sa banque. Pour éviter cela, l’hôtel peut effectuer un 2FA pendant ou après la réservation. Toutefois, surtout pour ce qui est des réservations en avance, il est important de noter que le jeton SCA n’est valable que pendant 90 jours.
Les hôtels ont toujours la possibilité d’ignorer la 2FA au moment de la réservation, ce que les clients peuvent trouver ennuyeux. En revanche, vous pouvez envoyer au client un message qui le mènera directement à l’écran de réservation en ligne. Il peut y laisser les coordonnées de sa carte de crédit avec une 2FA pour garantir sa réservation. Ce message peut être envoyé, en fonction du jour d’arrivée, juste après la réservation ou juste avant le séjour pour respecter le délai de 90 jours du jeton SCA. Avec le Spider-Booking4 de Hotel-Spider, cette étape importante peut être automatisée de façon pratique.
Paiement à la sortie
À la sortie, le client paie soit le montant total, soit le solde du paiement partiel déjà effectué. Si la transaction a lieu à la réception avec un lecteur de carte et la saisie du code PIN, il s’agit d’une transaction dite « cardholder-present », puisque le propriétaire de la carte est présent au moment du paiement. Le transfert de responsabilité de l’hôtel vers le client prend alors automatiquement effet et le paiement ne peut plus être réclamé par la suite.
Si vous souhaitez effectuer un paiement en ligne, deux options s’offrent à vous :
- Un PMS qui permet des paiements en ligne conformes à la DSP2.
- Un partenaire, tel que Hotel-Spider, qui peut conserver le code d’authentification de l’autorisation 2FA pour des transactions ultérieures.
Transactions après la sortie de l’hôtel
Il arrive de temps en temps qu’un client parte de l’hôtel sans payer ou que des dommages ou des produits du minibar soient facturés après le départ. Si l’hôtel ne dispose pas de la 2FA pour la carte de crédit enregistrée, il y a un risque élevé que cette transaction soit rejetée par le système.
Là encore, les hôteliers disposent de deux moyens pour se protéger et obtenir un renversement de responsabilité :
- La traditionnelle autorisation par carte de crédit avec carte et code PIN au moment de l’enregistrement : Pour cela, calculez le coût de tout le séjour plus une marge pour les dépenses supplémentaires.
- La 2FA avec la 3DS2 avant l’arrivée : Le code d’authentification est généré avant l’arrivée et enregistré pour les transactions ultérieures.
Tout cela vous semble-t-il être un grand changement ? En effet. Hotel-Spider facilite la tâche de votre hôtel, car nous éliminons tout le stress.
Sur le long terme, la DSP2 présente des avantages évidents. Les transactions en ligne deviennent plus sécurisées pour les clients et les hôtels. Les hôtels peuvent se protéger de façon plus efficace contre les pertes de revenus dues à la non-présentation, à l’annulation et au débit compensatoire, et il existe désormais un renversement clair de la responsabilité pour les transactions en ligne également.
Si vous avez encore des questions sur la PSD2, si vous vous demandez si votre hôtel est déjà conforme à toutes les règles ou si vous cherchez un partenaire qui se chargera de tout cela pour vous, n’hésitez pas à nous contacter.