In English, en español, em português.
La PSD2 s’approche tel un tsunami et, comme ce fut le cas avec le RGPD en mai 2018, cela sera une révolution pour le secteur et un nouveau casse-tête pour les hôtels (ou peut-être pas tant que cela, comme nous le verrons plus tard). Il s’agit d’une norme remplie de sigles et de technicismes, qui devrait bientôt entrer en vigueur et qui présente de nombreuses exemptions et exceptions. Par conséquent, nous annonçons avec certitude une période de confusion, des heures de débat et beaucoup de précipitation pour « s’adapter ».
Chez Mirai, cela fait des mois que nous effectuons des recherches sur cette nouvelle directive et, en particulier, sur l’impact qu’elle aura sur les hôtels et leur vente directe. Nous en avons discuté avec de nombreux experts en la matière, alors nous essaierons dans ce post de simplifier une règlementation complexe, de la « traduire » dans un vocabulaire hôtelier et d’expliquer à quel degré elle affectera les hôtels et leur vente directe, ainsi que les actions à mener pour « s’adapter ».
Qu’est-ce que la directive PSD2 et quand entre-t-elle en vigueur ?
La PSD2, ou la version revisitée de la PSD (Payment Service Directive), est une directive européenne (In English) qui entrera en vigueur le 14 septembre 2019. En résumé, cela revient à dire que, dans les transactions en ligne, il ne suffira plus de demander les informations de la carte de crédit du client mais, pour autoriser une transaction, une double authentification (connue en anglais sous le sigle SCA ou Strong Customer Authentication) sera nécessaire. Cela signifie qu’au moins deux des trois facteurs suivants seront nécessaires à la réalisation de la transaction :
- « Ce que le client détient » comme la carte de crédit ou le téléphone portable.
- « Ce que le client sait » comme une clé RIB ou un code PIN qui accède au téléphone portable.
- « Ce que le client est » et qui l’identifie comme une empreinte digitale ou la reconnaissance faciale (identification biométrique).
Bien que la date officielle d’entrée en vigueur soit le 14 septembre 2019, de nombreuses rumeurs circulent sur un éventuel report face au grand retard de toute l’industrie (In English) (en particulier les émetteurs de cartes) pour être prêts dans les temps.
Que vise la PSD2 ?
La PSD2 vise, parmi ses objectifs, à rendre le commerce électronique plus sûr. En effet, ces dernières années, la fraude aux cartes volées ou dupliquées a grimpé en flèche et a généré une vague de remboursements ou chargebacks. Toute cette fraude représente un problème croissant pour l’ensemble de l’industrie : les commerces, les banques, les émetteurs de cartes et les marques. Avec un système de double authentification (SCA), il faut espérer que la fraude, et par conséquent les chargebacks, diminuent de manière substantielle.
La PSD2 vise également à rendre le commerce électronique plus user-friendly, en facilitant les processus d’authentification pour accepter de nouveaux formats comme les données biométriques ou les paiements par téléphone portable en lieu et place de la carte bancaire.
Enfin, la directive cherche à réduire les coûts des transactions en ligne, en libéralisant l’accès aux interfaces bancaires (API) et en permettant à plus d’entreprises de rivaliser dans cet écosystème de paiements, ce qui apportera plus de concurrence et moins de coûts.
La PSD2 concerne-t-elle toutes les transactions ?
Non. Seules seront soumises à la PSD2 les transactions qui remplissent ces deux conditions (les deux à la fois) :
- L’émetteur (issuer) de la carte doit être européen (appartenir à un des 28 pays de l’UE). Les émetteurs des cartes ne sont pas les marques VISA, MasterCard ou AMEX mais normalement les banques elles-mêmes ou, dans certains cas, des entreprises qui émettent des cartes co-branded comme les compagnies aériennes (Air France, Lufthansa) ou de grands magasins (IKEA, Carrefour). Ce n’est pas tant la « nationalité » du client final qui est importante, mais la « nationalité » de l’émetteur de la carte.
- L’acquéreur (acquirer) ou l’institution financière (en général une banque) qui traite la transaction au nom du commerce, doit également être européen (dans ce cas, votre banque).
C’est pourquoi, un client qui détient une carte émise par la Deutsche Bank et qui fait un achat dans une boutique en ligne qui encaisse à la CaixaBank en Espagne, se trouvera dans l’environnement PSD2. Le client devra quant lui s’identifier à deux reprises afin de pouvoir réaliser cette transaction.
Dans le cas contraire, un client qui détient une carte émise par la Bank of America et qui fait un achat dans une boutique en ligne qui encaisse cette transaction au CIC, ne se trouvera pas dans l’environnement PSD2.
Y-aura-t-il des sanctions pour ceux qui ne « s’adapteront pas » à la PSD2 ?
À la différence de l’application du RGPD qui était obligatoire pour tous les hôtels (et les commerces en général), et qui comportait des inspections et des sanctions, l’ « adaptation » à la PSD2 se limite à un groupe de commerces beaucoup plus réduit.
Ce sont principalement les passerelles de paiement et le secteur bancaire ou financier en général qui doivent s’adapter. Ce sont eux qui seront surveillés de près par le régulateur, qui pourra imposer des sanctions en cas de non-exécution.
C’est pourquoi, les hôtels ne feront pas l’objet d’inspections ni de sanctions dans l’application de la directive PSD2. La responsabilité de tout commerce en ligne (les hôtels l’ont dans leur vente directe) se limitera au choix d’une plateforme de recouvrement qui elle, par contre, sera adaptée à la PSD2.
Le Royaume-Uni fait-il partie des pays avec un environnement PSD2 ?
Oui, tant qu’il restera au sein de l’UE.
Si finalement le Royaume-Uni sort de l’UE (prochaine date de sortie prévue le 31 octobre), il faudra voir si un accord spécial est prévu ou s’il s’agit d’un pays à tous égards en dehors de l’environnement PSD2.
Quel est le rapport entre le 3DS2 et la PSD2 ?
Le 3DS2 est une évolution du système 3DS (jusqu’alors nommé 3DS ou 3DS1), implanté depuis des années, en particulier en Europe, pour apporter plus de sécurité dans les transactions en ligne. Dans la pratique, ce sont ces achats qui requièrent un code PIN sur le téléphone ou une clé bancaire supplémentaire.
Le 3DS2 est le nouveau standard d’un consortium de grandes cartes appelé EMVCo, dont l’objectif est d’améliorer l’expérience de l’utilisateur de l’actuel 3DS1, et d’apporter une sécurité supérieure. Il vise essentiellement à demander plus d’informations au client sur sa personne ou le nom de sa banque, et accepte l’identification au moyen de technologies biométriques (empreinte ou reconnaissance faciale) aussi bien sur les terminaux iOS qu’Android.
Le 3DS2 sera la méthode de double authentification standard en Europe et valable pour passer le test SCA qu’exige la PSD2 dans ses transactions. Nous verrons, par conséquent, comment les banques sont en train d’adapter leurs standards en passant de l’actuel 3DS au 3DS2 dans les prochaines années. On espère également que le 3DS2 ne se limitera pas au niveau européen mais qu’il deviendra un standard mondial.
Quelles sont les boutiques ou les sites internet concernés par la PSD2 et le 3DS2 ?
Toute entité qui procédera à un encaissement électronique (en ligne) de ses clients sera concernée, quoi qu’elle vende : vêtements ou nourriture, billets d’entrée (sports, cinémas, etc.), voyages ou hôtels.
Dans le secteur hôtelier, cela concernera surtout les entreprises (les OTA en général) qui travaillent selon le modèle merchant, c’est-à-dire celles qui facturent le client final au moment de faire la réservation. Toutes ces entreprises devront inévitablement s’adapter à la PSD2.
Concernant les hôtels et leur vente directe, la directive touchera particulièrement les tarifs non-remboursables et l’encaissement au moment de la réservation. Toutes les transactions qui se trouveront dans l’environnement PSD2 devront passer par la double authentification (SCA).
Quel est l’impact sur ma vente téléphonique ou présentielle ?
Il n’y en a aucun.
La vente par téléphone et par e-mail (MOTO ou Mail Order and Telephone Order) est une des exemptions de la PSD2. Les encaissements pourront être effectués de la même façon, au moyen du numéro de la carte bancaire uniquement, et sans la nécessité de la double authentification. Pour ce faire, il faudra configurer le TPV pour réaliser la transaction en mode MO-TO, ce qui permettra d’encaisser sans aucun problème.
La vente présentielle ne changera pas non plus, puisque le client étant en face de vous, l’autorisation du paiement se fait en personne et physiquement.
Quel est l’impact de la PSD2 sur ma vente directe ?
À la différence de la majorité des OTA (hormis Booking.com…pour l’instant), les hôtels n’ont pas l’habitude d’encaisser les clients au moment de la réservation. C’est pourquoi, la PSD2 ne doit pas être une obsession puisque qu’elle ne s’appliquera pas dans la majorité des réservations. Cela ne signifie pas non plus qu’elle n’a aucun impact.
Nous ferons la différence entre les réservations « paiement à la réception de l’hôtel » (généralement annulation flexible) et les réservations « paiement immédiat » (généralement non-remboursables).
- Réservations flexibles et paiement du client à la réception de l’hôtel.
- Il n’y a aucune transaction en ligne, par conséquent la PSD2 ne s’applique pas.
- En cas de no-show ou d’annulation hors délai, vous disposerez de la carte de crédit que le client a laissé en garantie. Nous verrons ci-après ce qui se passera avec ces encaissements manuels.
- Réservations non- remboursables et paiement immédiat.
- Il sera approprié d’utiliser un terminal de paiement virtuel ou TPV, qui vérifie la double authentification du client dans ce type de transaction de l’environnement PSD2. À la date du 14 septembre, toutes les passerelles bancaires devront être complètement adaptées à la directive, c’est pourquoi vous n’avez rien à faire hormis vous assurer que la vôtre est bien adaptée. Des plateformes comme Redsys ou Addon Payments assurent qu’elles seront prêtes pour cette date.
- Si à l’heure actuelle vous n’utilisez pas de plateforme en ligne pour encaisser, c’est peut-être le moment d’y penser car l’encaissement à la main sur un TPV physique d’une carte qui provient d’une réservation en ligne sera de plus en plus compliqué.
Pourrai-je encaisser avec le TPV physique des cartes issues de réservations en ligne ?
Dans la pratique hôtelière, il est très courant d’encaisser à la main sur un TPV physique au moyen de la carte d’un client qui a réservé sur le site internet de l’hôtel ou sur Booking.com. Les deux principaux cas de figure où les hôtels encaissent de cette manière sont :
- Réservations non-remboursables sans passerelle en ligne (l’encaissement se fait à la main à l’hôtel).
- Encaissement des no-shows ou des annulations hors délai.
Dans le cas d’une carte obtenue électroniquement (par internet), si la transaction dépend de l’environnement PSD2, la double authentification sera requise afin de terminer la transaction. Vu sous cet angle, NON, vous ne pourrez pas dans ce cas encaisser à l’aide du TPV physique avec le numéro de la carte bancaire seulement, puisqu’il vous manquera la double authentification du client.
En revanche, il y a un « domaine hors catégorie » qui a tout à fait l’air de devenir la planche de salut des hôtels au moins à court et moyen terme. Il s’agit de l’exemption de la PSD2 sur les réservations téléphoniques (MO-TO). Comme nous l’avons vu, les réservations effectuées par téléphone ou par mail sont exemptes de cette double authentification et seront encaissées en configurant le TPV en mode MO-TO au moment de la transaction. Qui ou qu’est-ce qui vous empêche de continuer à gérer ces réservations en ligne et de les encaisser à la main (comme jusqu’à maintenant) de cette façon ? Probablement personne, au moins à court terme. Ce n’est pas la solution idéale ni probablement durable à long terme (en particulier si vous avez beaucoup de désistements de la part des clients, ce qui n’est pas le cas de figure habituel) mais ça l’est en revanche pour sortir de l’impasse en attendant que se dissipe la grande confusion qui règne actuellement dans le monde de la PSD2.
Il faut comprendre que l’encaissement d’une carte avec le TPV physique sans la double authentification et sans la présence du client restera un encaissement entièrement restituable / remboursable par ce dernier. Et d’autant plus avec l’entrée en vigueur de la directive PSD2.
Comment appliquer la PSD2 en totalité sur ma vente directe ?
Il existe deux alternatives qui, même si elles vous permettent d’appliquer la PSD2, comportent d’importants inconvénients qui dissuadent de l’utiliser (au moins pour le moment) :
- Incorporer une passerelle bancaire à toutes les réservations (les flexibles et les non-remboursables). Nous garantissons ainsi que toutes les transactions au sein de l’environnement PSD2 passeront par la double authentification (SCA). Dans le cas des réservations non-remboursables, l’encaissement se fera sur le moment. Dans le cas des réservations flexibles, seule aura lieu l’authentification (pas l’encaissement), l’encaissement se fera plus tard (au moment du check-out par exemple)
Pour ceux qui souhaitent plus de détails, cela fonctionne comme suit : après l’authentification de l’utilisateur, un token appelé CAVV (Cardholder Authentication Verification Value) est généré. Avec la carte, il vous permettra de faire un encaissement a posteriori en séparant l’étape de la réservation de celle du paiement. Ce CAVV vous autorisera seulement à encaisser la valeur de la réservation et non un montant supérieur.
Le grand problème de cette approach est l’impact prévisible sur la conversion dont souffrira votre vente. Une conséquence naturelle puisque :
- Plus le processus d’achat sera long, plus il y aura de renvois vers le site de la banque ou plus nous demanderons de remplir de champs (le 3DS2 inclura obligatoirement les champs mail et téléphone pour pouvoir réaliser la transaction), et plus de clients se perdront en chemin.
- En outre, toutes les cartes européennes ne sont pas encore dotées de systèmes de double authentification, par conséquent, un certain pourcentage de nos clients ne pourra pas réserver.
- Enfin, même si les passerelles bancaires s’adaptent à la PSD2, le véritable problème viendra du côté des émetteurs qui ne seront pas prêts à temps. Si un émetteur de carte refuse ou empêche la double authentification, il est fort probable que cette transaction se perde et que vous perdiez votre client par la même occasion.
- Envoyer un e-mail de pré-séjour avec un lien vers une passerelle de paiements. Une autre solution valable, bien que loin d’être idéale encore, serait d’incorporer au PMS ou au CRS (et d’avoir l’information sur toutes les réservations avec paiement à la réception de l’hôtel, que ce soit celles du propre site de l’hôtel ou celles de Booking.com) un processus automatique qui, 3 à 4 jours avant l’arrivée (date limite d’annulation en réalité), envoie un mail au client contenant un lien vers une passerelle de paiements qui l’invite à payer en ligne avant son arrivée. Cette passerelle serait l’endroit où le client devrait s’identifier deux fois en cas de transaction dans l’environnement PSD2.
Les questions sur cette solution sont :
- Cela incitera-il le client à annuler la réservation car il se trouve dans l’incertitude ?
- Que se passe-t-il si le paiement n’est pas terminé ? Vous annulerez la réservation ? Vous la conserverez ? La réponse peut varier selon la saison, selon votre taux d’occupation, etc.
- Le pire c’est que tout sera manuel, par conséquent, on recule d’un pas.
- Cela ne résout pas bien non plus le cas particulier des clients qui ne comptent pas se présenter (no-show) puisqu’ils ne répondront probablement pas, et vous resterez dans la même incertitude.
Que vont faire Booking.com et Expedia pour s’adapter à la nouvelle directive PSD2 ?
Sur le fond, ce que vous faites avec votre vente directe est très lié à ce que font vos principaux concurrents Expedia et Booking.com. Soyons conscients que rares sont les clients qui réservent sur votre site internet sans avoir visité le site de ces OTA.
Expedia travaille majoritairement selon le modèle merchant (elle encaisse le client pour ensuite vous payer). C’est pourquoi l’OTA devra absolument s’adapter à la PSD2. La question est : que fera Expedia avec les réservations traitées selon le modèle agency (où le paiement du client se fait directement à l’hôtel) ? Il s’agit du modèle majoritairement utilisé par Booking.com (pour le moment). Les questions sont les suivantes : Expedia et Booking.com passeront-elles à la double authentification du client sur les réservations avec paiement à la réception de l’hôtel ? Si elles ne le font pas, comment encaisserez-vous les non-remboursables et les no-shows ? Si elles le font, vous obligeront-elles à utiliser leurs méthodes de paiement via la carte virtuelle qui supposera une augmentation des coûts pour vous ?
La réalité est que si vous décidez de vous adapter à la PSD2 avec le choix d’incorporer une passerelle de paiement dans votre vente directe pour toutes les réservations (non- remboursables et flexibles), et que ni Booking.com ni Expedia (sur le modèle agency) n’agissent pour passer à cette double authentification du client, cela peut représenter un grand problème pour vous et se terminer par un énorme transfert des réservations de votre site internet vers l’OTA, puisqu’il sera beaucoup plus facile de réserver avec les OTA que sur votre site internet.
En revanche, si ce sont les OTA qui décident de passer à la double authentification même sur les réservations avec paiement à la réception de l’hôtel, et que vous ne l’exigez pas (ou bien que vous le demandez a posteriori et non au moment de la réservation), c’est le transfert inverse des OTA vers votre canal direct qui pourra avoir lieu.
Nous ne sommes ni Expedia ni Booking.com, mais la conversion a toujours été capitale pour les OTA, et elles éviteront dans la mesure du possible tout changement qui nuirait à la conversion. Par conséquent, il faut espérer que ni Expedia ni Booking.com (les deux sur le modèle agency) ne fassent de faux pas. Rappelons qu’elles peuvent prétexter que sur les réservations avec paiement à la réception de l’hôtel, il n’y a pas de transaction en ligne, et que par conséquent, la double authentification n’est pas nécessaire. Et si la réservation est un no-show ? Ce n’est pas leur problème mais le vôtre.
Chez Mirai, nous pensons que les OTA, en particulier Booking.com, disposent d’une occasion unique d’atteindre quelque chose qu’elles poursuivent depuis longtemps pour passer d’un modèle agency à un modèle merchant. Grâce au prétexte de la PSD2, elles pourraient obliger l’hôtel à accepter le modèle d’encaissement (au moins sur les tarifs non-remboursables) et ne pas le proposer comme quelque chose d’optionnel comme jusqu’à maintenant. Quelque chose de réalisable au moyen d’un discours positif qu’elles orienteraient dans ce sens : « laissez-nous gérer les encaissements, y compris cette réglementation complexe, et déchargez-vous de toute responsabilité ».
D’un point de vue hôtelier, la proposition est très attrayante jusqu’à ce que vous vous rendiez compte qu’elle présente deux grands inconvénients qui la rendent totalement inconcevable :
- Le coût. L’encaissement par cartes virtuelles augmente le coût des réservations de 1% à 3% selon le cas, qu’il faudrait ajouter au coût déjà très élevé des réservations de Booking.com.
- Disparités. Permettre à Booking.com d’encaisser le client lui ouvre les portes pour créer des disparités, un aspect qui existe déjà depuis longtemps avec les hôtels qui sont dotés de ces moyens de paiement actifs (par exemple, leur programme Early Payment Benefit). Permettre à Booking.com d’avoir le choix de faire des disparités, c’est ouvrir une boîte de Pandore aux effets insoupçonnés.
Et les Facilitated Bookings, qu’en adviendra-t-il ?
Mise à jour septembre 2022: trivago met fin à «Express Booking» à partir du 1 octobre 2022
La PSD2 représente un nouveau défi pour les assistants de réservation des méta-moteurs. Nous évoquons principalement Instant Booking de TripAdvisor, de trivago Express Booking (tEB) de trivago ou Book on Google (BoG).
Le client introduit la carte de crédit dans les interfaces de ces assistants de réservation et, par conséquent, ce sont eux qui sont responsables d’apporter une solution technique de garanties pour appliquer la PSD2. Nous verrons quelles sont les solutions qu’ils apportent et à quel moment elles seront disponibles. Nous savons qu’ils travaillent sur le sujet et nous verrons bientôt les résultats.
Hormis trivago Express Booking (tEB), aucun de ces systèmes ne permettait pour le moment la double authentification avec le 3DS, c’est pourquoi rien ne changera le 14 septembre. Les hôtels pourront continuer à encaisser comme jusqu’à présent tant que leurs passerelles bancaires le leur permettent, ou en encaissant à la main comme c’était le cas pour un grand nombre.
Se passera-t-il quelque chose le 14 septembre 2019 lorsque la PSD2 entrera en vigueur ?
Non. Nous pensons qu’il ne se passera rien.
Peu d’entités seront prêtes à cette date : les passerelles ou TPV (bien que les plus importants affirment que oui) ni les banques et encore moins les émetteurs de cartes qui semblent être le maillon le plus faible de la chaîne.
En revanche, le 14 septembre sera un tournant dans lequel toute l’industrie devra réfléchir et commencer à prendre des décisions en rapport avec le caractère même de la PSD2. Une fois de plus, la directive doit entrer en vigueur pour que nous la prenions au sérieux.
Notre recommandation
Au vu des circonstances, l’impact de la PSD2 sur la vente directe n’est pas très fort. Continuer à opérer comme jusqu’à présent serait probablement la meilleure recommandation, au moins dans une première étape, jusqu’à ce que nous soyons sûrs que le secteur bancaire s’adapte convenablement et que nous puissions surveiller de près les mouvements des OTA, et tout en acceptant que les TPV physiques permettront d’encaisser à la main les cartes en mode MO-TO, tel que l’annonce la directive.
Nous ne pensons pas que cela vaille la peine d’introduire un TPV en ligne pour encaisser ou authentifier toutes les réservations. L’impact sur la conversion pourrait être contre-productif, en particulier si les OTA choisissent de ne rien valider du tout.
Nous vous recommandons, le cas échant, et à moyen terme, une approche de type « validation du client a posteriori », en envoyant un e-mail au client depuis le PMS ou le CRM quelques jours avant l’arrivée, sur toutes les réservations avec paiement à la réception de l’hôtel (vente directe et OTA modèle agency). Cette solution n’est pas parfaite mais au moins elle vous rapproche davantage de l’application stricte de la PSD2.
Lorsque nous verrons les décisions que prendront les principales OTA qui fonctionnent selon le modèle agency (principalement Booking.com, bien qu’Expedia également), le moment sera venu de reconsidérer la décision prise sur votre vente directe.
Conclusion
La PSD2 représentera un nouveau tour de manivelle dans le commerce en ligne et le client gagnera en sécurité et, avec le 3DS2, en facilité et en usability. Mais cela se verra sur le long terme. À l’heure actuelle, la confusion est encore élevée et l’industrie ne semble pas être prête. De ce fait, on parle déjà de moratoires avant la survenue d’un chaos généralisé.
Les hôtels ne doivent pas se relâcher et doivent bien s’informer sur cette directive et sur l’impact qu’elle aura sur l’industrie en général et sur leur vente directe en particulier. Par conséquent, cela ne fait pas de mal d’anticiper le travail et de connaître les passerelles de paiement en ligne disponibles et leurs conditions, puisqu’il semble que l’industrie œuvre dans ce sens, au moins pour encaisser les tarifs non-remboursables.
En revanche, il n’est pas nécessaire non plus de s’alarmer et de prendre de mauvaises décisions qui pourraient pénaliser votre vente directe. Compte tenu de l’information actuellement disponible, le plus raisonnable est d’attendre que toute la confusion se dissipe, que tous les players de l’industrie (banques, passerelles, émetteurs, etc.) s’adaptent parfaitement, et de voir quelles seront les décisions des principales OTA.