3D Secure : Qu’implique donc en réalité ce transfert de responsabilité ?

Et bien voilà, le liability Shift est entré en vigueur et, depuis le 1er octobre dernier, le transfert de responsabilité vers la banque du porteur est effectif pour toute transaction par CB avec une carte émise par une banque française. L’occasion de faire un premier petit bilan.

Constatation n° 1 : le sujet passionne et suscite des réactions et des supputations.
Il faut dire que les banques n’ont pas été très bavardes sur le sujet. Tant vers les commerçants que vers leurs clients porteurs de cartes.

Qu’implique donc en réalité ce transfert de responsabilité ?

La réponse est simple :
C’est la banque du porteur de la carte qui est désormais responsable de la transaction. Libre à elle de mettre en place telle ou telle mesure pour authentifier son client. Ne pas mettre en place de contrôle pour vérifier que c’est bien son client qui commande ne l’exonère bien entendu pas de la responsabilité.
Il n’est donc plus possible depuis le 1er octobre, pour un e-commerçant, de se retrouver avec un impayé dès lors que le serveur bancaire qu’il utilise est 3D secure (c’est à dire qu’il a souscrit l’option auprès de sa banque).
Plusieurs cas de figure sont alors possibles en cas de répudiation ou utilisation frauduleuse :

1 - La transaction validée était signalée “Garantie 3D Secure” >> Pas d’impayé possible
La banque du client a authentifié la transaction. En cas de répudiation elle “se débrouille” avec son client

2 - La transaction a été acceptée mais non garantie 3D Secure >> Pas d’impayé possible.
En effet si elle n’est pas garantie c’est parce que la banque du porteur n’a pas pris les mesures pour la garantir. Elle reste donc responsable en cas de répudiation de son client et “se débrouille” avec lui.
Dans le cas d’une carte non “enrolable 3D Secure” (ancienne génération) le cas est le même, la banque émettrice doit prendre ses disposition pour la faire évoluer.

3 - La transaction est acceptée mais non garantie alors que la banque du porteur avait bien mis en place la validation 3D Secure mais la banque du e-commerçant (pour une raison X) n’a pas demandé la vérification, alors que le 3D Secure est implémenté sur le serveur. Dans ce cas, la responsabilité bascule vers la banque du e-commerçant. Pas vers le e-commerçant ! >>Pas d’impayé possible.

Remarque : lorsqu’une transaction avec une carte FR est acceptée mais non “enrollée 3D Secure”, vous ne savez pas si vous vous trouvez dans le cas n°2 ou le cas n°3. Et après tout peu importe !

Rien que de très logique en fait ! Mais comme rien n’était clair et que tout et son contraire circule sur le sujet, j’ai pris soin avant d’écrire ces lignes de faire enquêter un peu un responsable monétique d’une de nos banques pour être affirmatif.

Attention toutefois :

- Si vous n’avez pas souscrit à l’option 3D Secure sur le serveur de votre banque, vous n’êtes pas couvert. (Encore que, mon interprétation sur le sujet serait que votre banque, pour se dégager de la responsabilité qui lui retomberait dessus, devrait normalement vous forcer à l’adopter !)

- Il est possible encore de recevoir encore des impayés pendant un moment mais uniquement pour des transactions effectuées avant le 1er octobre.

- Les cartes étrangères non garanties 3D Secure ne sont pas couvertes. Il n’est en effet pas possible de soumettre à une mesure franco-française une banque étrangère qui reste libre ou pas d’adhérer à un système pas forcément obligatoire dans son pays d’origine. Restez donc vigilants sur le pays d’origine de la carte en cas de livraison en France avec une transaction non garantie !

Et l’aspect commercial dans tout ça ?
Le taux de transactions garanties 3D Secure tourne actuellement (pour notre part) autour des 50% et le pourcentage est sensiblement le même sur les 2 solutions que nous utilisons, SPPLUS (Caisse Epargne) et SIPS (Atos)

Le pop up 3D Secure fait il peur aux clients ? Ont ils des réticences à donner leur date de naissance ?
Je n’ai pas de réponse précise là dessus. Quelques (très peu) appels ou interrogations par mail sur cette nouveauté mais rien de bien significatif. Un indicateur tout de même : pour notre part nous constatons depuis le 1er octobre des taux d’abandon de panier tout à fait conformes à ce qui se passait avant. Pas plus pas moins ! Je pense même que très rapidement cette petite sécurité sera un élément de rassurance.
En tout cas c’est un sacré confort et ça fait gagner un temps précieux !

A lire ailleurs :

Visa et mastercard à la rescousse des e-commerçants sur le JDN

NB :

Quelques correctifs par rapport à votre article :
- le commerçant 3D Secure ne reçoit plus d’impayés pour les contestations “ce n’est pas moi qui ait fait la transaction” (soit 80% des impayés actuels) mais il peut recevoir d’autres impayés (minoritaires mais qui existent quand même)
- le transfert de responsabilité s’applique aux cartes étrangères Visa et Mastercard depuis Octobre 2006, donc bien avant les cartes Françaises (Octobre 2008).
- il existe des exceptions au transfert de responsabilité (cartes commerciales par exemple)

Le processus d’authentification n’est normalement pas effectué via un pop-up (afin d’éviter les pop-up killers), il fait partie intégrante de la page de paiement (page supplémentaire).

N’hésitez pas à demander des compléments d’information à votre établissement bancaire ou à votre prestataire de paiement. Certains prestataires, comme Atos Worldline (solution SIPS) ont intégré la matrice (complexe) de transfert de responsabilité, et le commerçant obtient à chaque transaction l’information “Transfert de responsabilité OK” ou “Transfert de responsabilité KO”.