La gestion des encaissements et des remboursements est un grand casse-tête pour l’immense majorité des hôtels. C’est une opération qui demande de plus en plus de temps, qui génère des coûts directs, qui est source d’incidents et de réclamations de la part des clients, et le remboursement de ces derniers se révèle extrêmement frustrant.
Le problème réside dans le manque d’outils et d’automatisations dans la gestion hôtelière pour les établissements recevant des réservations au paiement direct garanties par un numéro de carte de crédit. Cela débouche sur des traitements manuels, peu sécurisés et, dans la plupart des cas, qui ne correspondent pas à la réglementation en vigueur en matière de traitement des cartes PCI.
Paiement sécurisé ou 3D-Secure pour éviter le remboursement des frais
Disposer de la carte du client comme garantie, y compris du CCV2, n’est désormais plus suffisant pour garantir le paiement. Le taux élevé de fraude dans les paiements par internet, et la tromperie d’un grand nombre de clients, ont conduit au fait que le remboursement des paiements est à l’ordre du jour, ce qui génère un sentiment de vulnérabilité dans le secteur. Nous parlons toujours de réservations avec paiement direct lorsque :
- Sur les tarifs non-remboursables : comment réaliser le débit de manière sécurisée ? Cela vous concerne, évidemment, si vous travaillez avec ces tarifs, un fait très répandu dû aux nombreux avantages qu’ils proposent et que nous expliquons dans : « Tarifs non- remboursables, tout ce que vous devez prendre en compte ».
- Sur les tarifs flexibles, comment encaisser de manière sécurisée les pénalités en cas d’annulation en dehors des délais autorisés ou de no show ? Cela vous concerne au moment où vous acceptez une réservation avec paiement direct et annulation flexible. Cela touche par conséquent la majorité des hôtels.
Le « paiement sécurisé » ou « 3D Secure » est l’unique manière d’effectuer un débit avec la carte de crédit sans que le client ne puisse demander un remboursement. Un « paiement sécurisé » implique la confirmation de l’identité du client au moyen de l’utilisation d’un PIN de validation qu’il entrera toujours sur le site internet de la banque (jamais sur celui de l’entité commerciale) et qui, à des fins légales, équivaut au fait qu’il se rende à l’hôtel, s’identifie et signe.
D’un autre côté, nous avons les « paiements non-sécurisés », qui ne nécessitent pas l’authentification du client, et qui peuvent être rétrocéder sans beaucoup d’effort, par exemple, par simple dépôt de plainte. Il dispose même d’un délai et tant que celui-ci ne sera pas écoulé votre encaissement ne sera pas garanti.
L’autre problème qui vient se greffer est celui des cartes de crédit qui ne sont pas toutes habilitées pour le « paiement sécurisé » et qui acceptent seulement les « paiements non sécurisés ». Au dernier rang des paiements sécurisés se trouve toute l’Amérique Latine ainsi que les États-Unis. En revanche, en Europe ou au Japon, le paiement sécurisé est très implanté. C’est pourquoi, avant de configurer une passerelle de paiement sur votre site internet, vous devez procéder en faisant en sorte d’exiger le « paiement sécurisé » si la carte le permet tout en proposant également le « paiement non sécurisé » afin de ne pas perdre des réservations via des cartes qui ne sont pas encore habilitées. Le fait d’accepter uniquement le « paiement sécurisé » vous conduirait à perdre les ventes de tous les utilisateurs qui utilisent des cartes qui ne sont pas encore habilitées.
D’autres moyens de paiement alternatif comme Paypal ou Amazon Pay ne vous garantissent pas non plus le « paiement sécurisé » à moins que soit activée l’option 3D Secure au moment du paiement. Si vous ne le faites pas, vos paiements seront « non sécurisés » et, par conséquent, le client pourra également les annuler.
Apple Pay, au contraire, est un moyen alternatif de « paiement sécurisé » similaire au 3D Secure, c’est pourquoi, aucun encaissement via ce moyen ne pourra être rétrocédé au client. Jusqu’à aujourd’hui, Google Pay n’est pas considéré pas comme un moyen de paiement sécurisé même si l’on espère que cela changera bientôt.
Une autre bonne alternative sécurisée consiste à habiliter le « virement bancaire » comme un moyen de paiement. Bien que ce moyen ne soit pas très répandu sur internet, il occupe un créneau dans certains marchés, et dans le cas de réservations au montant élevé. Chez Mirai, nous autorisons le virement comme moyen de paiement depuis 2015.
Norme de sécurité PCI pour éviter le risque de fraude dans votre hôtel
La problématique ne s’achève pas là cependant. Les standards de sécurité de plus en plus exigeants comme PCI, obligent également le secteur à réévaluer et à modifier complètement sa gestion des encaissements.
Les principaux émetteurs de cartes, Visa et Mastercard en tête, imposent une pression toujours plus forte aux banques pour qu’elles exigent l’application de la norme PCI à tous leurs clients. Dans le secteur hôtelier et de la distribution, ils ont débuté par ceux qui géraient le plus grand volume de cartes de crédit comme les grands réseaux, les agences en ligne et les outils de e-commerce, tels que les channel managers, ainsi que les moteurs de réservations.
Curieusement, il n’est pas exigé aux hôtels pour le moment, excepté dans certains cas, d’appliquer strictement la réglementation, et les exigences se limitent au fait que tous les fournisseurs de l’hôtel doivent être certifiés. En réalité, très peu d’hôtels appliquent la norme PCI, quelque chose qui devra changer le plus tôt possible. Il est temps que le secteur se mette à pied d’œuvre, attribue les budgets nécessaires et soit disposé à entreprendre de grands changements dans sa gestion, ce qui soulève un grand problème. Les hôtels, comme presque tous les commerces, ont des habitudes et des pratiques avec leur personnel qui, dans la plupart des cas, travaille de la même façon depuis des années. Il est facile de changer les outils. Il est possible de changer les procédés. Mais changer les habitudes et les pratiques des équipes est toujours ce qui se révèle le plus compliqué.
Trois alternatives pour pouvoir appliquer la norme PCI :
- La première est la plus simple à comprendre mais celle à laquelle le moins d’hôtels adhèrent : avoir toute votre vente au travers de canaux à crédit (où les canaux facturent le client et vous paient ensuite). Dans ce cas, vous n’avez pas besoin d’appliquer la norme PCI puisque vous ne gérez aucune carte de clients.
- Cas irréalistes mis à part, la seconde alternative consiste à obtenir la certification PCI avec les répercussions que cela implique et qui sont nombreuses, profondes et non assumables dans la plupart des cas. Entre autres exemples, il y a la formation et le turn-over continu du personnel, la surveillance permanente et protégée d’un registre écrit de toute activité relative à l’accès à une carte (jour, heure, qui l’a utilisée et pourquoi, etc.), l’obligation de notifier tout incident ou brèche dans la sécurité aux entités émettrices, la re-certification annuelle et un audit approprié, ainsi qu’une multitude de conditions supplémentaires qui, de par la nature et la gestion des hôtels, sont difficiles à appliquer.
- La troisième est la non-nécessité de se certifier en parvenant à une gestion totale de l’hôtel sans avoir recours à l’usage direct de cartes de crédit. Cela ne signifie pas que l’hôtel n’est pas autorisé à conserver les cartes de crédit de ses clients. Il peut et doit le faire, mais toujours au moyen d’un fournisseur certifié PCI à qui il délègue la complexité que requiert ce stockage. Cela ne veut pas dire non plus que vous ne pouvez pas utiliser ces cartes pour effectuer des débits ou des remboursements. Vous pouvez le faire, mais toujours au moyen d’outils adaptés et certifiés qui facilitent cette tâche et en ne gérant jamais manuellement le numéro de la carte.
Comment réussir ma gestion sans accéder à aucun moment à la carte du client ? En intégrant un outil qui tokenise automatiquement les cartes de vos clients. La fonction de cet outil est de conserver pour vous toutes les données en vous dissimulant le PAN (Primary Account Number, numéros de la carte) en échange d’un numéro de référence (ou token) que vous pourrez utiliser pour vos consultations, vos débits et vos remboursements.
La grande question est : à quel niveau intégrons-nous cette tokenisation ?
De notre point de vue, l’endroit logique est le PMS, là où sont téléchargées toutes les réservations (et les cartes comme garantie). Consultez votre PMS pour voir quelles sont les alternatives qu’il vous propose.
Si vous ne pouvez pas le faire sur le PMS, il vous appartiendra de le traiter « un peu plus en amont », dans le channel manager, qui normalement gère les réservations de tous les canaux vers le PMS. Consultez votre channel manager pour voir quelles alternatives de tokenisation il peut vous proposer.
Si votre channel manager ne vous apporte pas de réponse non plus, vous devrez l’intégrer « tout en haut » et vous rendre de canal en canal, avec toute la complexité et l’usure que cela suppose.
- Sur Booking.com et Expedia dans le modèle « Hotel collects », jusqu’à aujourd’hui vous pouvez régler vos encaissements sans accéder à la carte du client, au moyen de « cartes virtuelles ». C’est très bien d’un point de vue opérationnel mais comme cela ajoute un coût élevé, jusqu’à 3% dans certains cas prélevé par la banque, la majorité des hôtels se montrent très réticents à l’adopter.
- Sur votre site internet direct, vous devrez intégrer un outil de tokenisation à votre moteur de réservations pour que chaque réservation qui entre automatiquement vous génère un token sur lequel opérer ultérieurement. Une bonne alternative pourrait être Addon Payments de Comercia Global Payments, avec laquelle Mirai vient de s’intégrer ou encore Verifone, qui propose également cette option et avec qui nous sommes également intégré.
- La gestion opérationnelle devrait également changer totalement dans les réservations téléphoniques et par e-mail, en redirigeant le client au moment du paiement vers un système vocal robotisé ou une application web sécurisée pour recueillir et tokeniser les cartes automatiquement.
Comment se conjuguent la sécurité dans l’encaissement et l’application de la norme PCI ?
Ce sont des sujets totalement différents mais très liés à la fois, ce qui peut prêter à confusion. À aujourd’hui, l’immense majorité des hôtels utilisent des moyens manuels pour encaisser et qui ne sont, par conséquent, ni sécurisés ni compatibles PCI. Bien que n’étant pas directement liés, le passage aux paiements sécurisés et compatibles PCI doit être traité comme un seul et même projet et exécuté dans une démarche stratégique et à long terme.
Nous résumons dans ce tableau les différentes alternatives et la façon dont elles se combinent entre elles.
Un nouveau concept est né : la parité de « qualité et sécurité de l’encaissement »
Nous sommes habitués à parler de parité de stock et de prix entre les canaux ou, également, de conditions de réservation (politique d’annulation et moyen de paiement). Mais on ne parle jamais de la différence entre les canaux du risque de rétrocession des encaissements ou de leur compatibilité PCI.
Autrement dit, les OTA de paiement direct (Booking.com et Expedia « Hotel collects ») génèrent plus de coûts et de risques que la simple commission.
- Elles n’assurent pas la non-rétrocession du débit (le paiement n’étant pas sécurisé).
- Elles ne facilitent pas l’application de la norme PCI.
- Leur alternative pour résoudre les deux problèmes, à savoir l’usage de « cartes virtuelles », augmente les coûts de manière substantielle au point d’être inacceptables par les hôtels.
Si, en revanche, dans notre canal direct, nous pouvons automatiser les encaissements (ce qui épargnerait en plus beaucoup de temps au personnel), les sécuriser au moyen de passerelles de paiement, en tokenisant toutes les cartes et tout cela sans augmenter le coût … le canal direct ne devrait-il pas avoir un avantage compétitif en termes de tarif par rapport aux OTA ? En fin de compte, les réservations de votre site internet sont plus sécurisées, plus rentables et plus PCI que si elles entrent par les OTA. Ne devriez-vous pas les favoriser à l’aide d’un meilleur tarif pour le client ? Certains les font bien sûr déjà, mais nous avançons ici un argument supplémentaire pour le mettre en place.
C’est une mauvaise pratique que de mettre en place une passerelle de paiement sécurisée sur votre site internet en laissant ce même tarif ouvert sur Booking.com (même s’il est non-remboursable, puisque l’encaissement sera « non sécurisé » et manuel dans l’hôtel) et en maintenant la parité des prix. Si vous souhaitez procéder ainsi, assurez-vous que le tarif publié sur le site internet est plus compétitif que celui de Booking.com, en répercutant sur le client final une partie des bénéfices qu’il vous apporte en préférant votre site internet à tout autre canal.
Conclusion
La gestion des encaissements dans les hôtels et l’application des normes de sécurité n’est pas un sujet réjouissant, encore moins pour les équipes commerciales des établissements, mais il est cependant très important, en particulier pour le département financier et celui des opérations.
Il y a beaucoup de travail à faire et beaucoup d’outils à changer ou à intégrer. Il est temps de commencer à penser à la manière de traiter toute cette transformation et de la mettre au profit des intérêts de l’hôtel, avant que les exigences bancaires ne s’élèvent et que les restrictions qu’elles imposent soient inassumables.
Le monde est en pleine révolution des moyens de paiement, plus spécialement encore sur mobile. Les plus grands bougent et les banques tremblent. Vous avez maintenant l’opportunité de faire en sorte que votre vente directe fasse un pas en avant.