Le 14 septembre 2019, tous les paiements effectués en ligne devront être garantis par une « authentification forte du client ». En effet une Directive européenne de 2015 a été transposée en droit français par l’ordonnance du 9 août 2017. L’objectif était l’harmonisation des systèmes de paiement en Europe tout en prévoyant une amélioration de la sécurisation des transactions, notamment en ligne.
Cette réglementation concerne avant tout les prestataires de services de paiement (banques…). Néanmoins en apportant un nouveau cadre aux échanges monétaires, certaines dispositions impactent toutes les autres entreprises. Tout le commerce en ligne va en effet être concerné par ce texte et plus précisément par la mise en place du principe de l’« authentification forte du client ». Ce principe repose sur l’utilisation d’au moins deux éléments indépendants que seul le client utilisateur connaît ou possède (question, code envoyé par un moyen de communication défini…) (cf. Article L133-4. Du Code monétaire et financier).
L’hôtellerie-restauration est un secteur avec des spécificités : la réservation et le paiement sont souvent réalisés à des moments strictement différents. Par ailleurs des indemnités lors de no-shows ou d’annulations tardives peuvent être prélevées à l’initiative de l’établissement bénéficiaire du paiement. Pour permettre la sécurisation de ces transactions un mandat avec une authentification forte du client sera donc nécessaire au moment de la réservation en ligne, que celle-ci soit effectuée sur le site web direct de l’établissement ou via un intermédiaire de type plateforme en ligne (OTA…). Les réservations par téléphone et en direct à l’hôtel ne sont pas concernées par cette identification forte. De même les réservations ne comprenant pas de conditions d’indemnités, comme les tarifs entièrement flexibles, ne nécessitent pas de mandat de prélèvement le paiement se faisant à l’hôtels.
Le 14 septembre 2019, les hôtels et restaurants proposant la réservation en ligne en direct ou via un intermédiaire numérique, devront ainsi avoir mis à disposition de leur clientèle un mandat respectant ce principe d’authentification forte. Contrairement à certains pays européens avec l’autorisation de l’Autorité bancaire européenne, la France n’a pas pris la décision de repousser ce délai d’entrée en vigueur.
Le GNI encourage donc ses adhérents à se rapprocher rapidement de leur prestataire informatique gérant les réservations en ligne directes ainsi que de leur banque pour mettre en place un mandat de prélèvement avec une double authentification pour les réservations en directes NANR et les semi-flexibles comprenant des indemnités en cas d’annulation. Le GNI recommande aussi de contacter la banque pour connaître la souplesse de prélèvement des indemnités suite à une annulation tardive ou un no show d’une réservation en ligne.
Concernant les OTAs, Expedia a envoyé un mail en juillet pour prévenir que des modifications allaient prochainement être mises en place pour se conformer à cette réglementation européenne. De même Booking.com a envoyé un mail à ses hôtels partenaires en août pour promouvoir son système de « paiement en ligne » afin de pallier cette nouvelle obligation. Le GNI rappelle aux hôteliers que cette solution génère néanmoins des coûts de commission bancaire, les cartes virtuelles soumises par Booking.com étant considérées par les banques comme des cartes professionnelles. Selon les négociations que chaque établissement a pu avoir avec sa banque sur ces frais de commission, la mise en place de cette solution aura un coût réel plus ou moins élevé.
Concernant la restauration, LaFourchette de même que les leaders de la réservation en ligne en direct que sont Guestonline et Zenchef avaient précédemment réfléchi à la mise en place d’un principe « d’empreinte de carte » ou de pré-paiement pour garantir les réservations et limiter les no show (phénomène qui s’étend de plus en plus). Le GNI attend le retour de ces entreprises sur leur mise en place de l’authentification forte du client lors de ces réservations en ligne.
Pour tout renseignement complémentaire vous pouvez contacter le Département Europe et Numérique : v.martens[at]gni-hcr.fr