# Préparation à l'authentification forte du client

Découvrez comment le règlement sur l'authentification forte des clients affecte votre entreprise et comment mettre à jour votre intégration pour la prendre en charge.

- [Vidéo SCA](https://stripe.com/payments/strong-customer-authentication)
- [Scénarios de paiement SCA](https://stripe.com/guides/sca-payment-flows)
- [Webinaire](https://go.stripe.global/sca-webinar.html)

[L’authentification forte du client (SCA),](https://stripe.com/guides/strong-customer-authentication) une règle en vigueur depuis le 14 septembre 2019 dans le cadre de la réglementation DSP2 en Europe, nécessite de modifier la manière dont vos clients européens authentifient les paiements en ligne. Pour les paiements par carte, vous devez utiliser *3D Secure* (3D Secure (3DS) provides an additional layer of authentication for credit card transactions that protects businesses from liability for fraudulent card payments) afin de satisfaire aux exigences de la SCA. Les institutions financières de vos clients peuvent refuser les transactions qui ne respectent pas les nouvelles directives d’authentification.

Pour prendre en charge la SCA :

1. Déterminez si la SCA a un impact sur votre entreprise.
1. Décider quel produit prêt pour la SCA convient le mieux à votre entreprise
1. Effectuer les changements dès maintenant pour éviter les refus de paiement.

Si vous utilisez un plugin, une plateforme ou un [partenaire d’extension](https://stripe.partners) tiers, contactez votre partenaire Stripe pour voir si des modifications sont nécessaires pour prendre en charge la SCA. [Contactez le service d’assistance](https://support.stripe.com/contact) si vous avez des questions.

## Entreprises et paiements concernés

Mettez à jour votre intégration Stripe pour prendre en charge la SCA si toutes les conditions suivantes s’appliquent :

- Votre entreprise est établie au sein de *l’Espace économique européen* (The European Economic Area is a regional single market with free movement of labor, goods, and capital. It encompasses the European Union member states and three additional states that are part of the European Free Trade Association) ou vous [créez des paiements au nom de comptes connectés établis dans l’EEE](https://docs.stripe.com/strong-customer-authentication/connect-platforms.md)
- Vous servez des clients dans l’EEE.
- Vous acceptez les cartes (de crédit ou de débit).

Bien que certaines transactions à faible risque (en fonction du volume des taux de fraude associés au prestataire de paiement ou à la banque) ne nécessitent pas d’authentification, les banques peuvent toute de même demander au client d’exécuter l’authentification. Même si vous traitez principalement des transactions à faible risque, mettez à jour votre intégration afin que vos clients puissent effectuer l’authentification lorsque la banque le demande. En savoir plus sur les *exemptions à la SCA* (Some transactions that are deemed low risk, based on the volume of fraud rates associated with the payment provider or bank, may be exempt from Europe's Strong Customer Authentication requirements).

## Produits et API prêts pour la SCA

Que vous collectiez des paiements ponctuels ou que vous enregistriez des cartes pour les réutiliser ultérieurement, Stripe fournit des produits préconfigurés et personnalisables pour vous aider à respecter les exigences de la SCA.

Les intégrations qui ne sont pas prêtes pour la SCA, comme celles qui utilisent l’ancienne [API Charges](https://docs.stripe.com/payments/charges-api.md), peuvent connaître des taux élevés de refus de la part des banques qui appliquent la SCA.

### Paiements ponctuels

Acceptez les paiements par carte avec l’*API Payment Intents* (The Payment Intents API tracks the lifecycle of a customer checkout flow and triggers additional authentication steps when required by regulatory mandates, custom Radar fraud rules, or redirect-based payment methods) et [Checkout](https://docs.stripe.com/payments/checkout.md), un flux de paiement prédéfini hébergé par Stripe qui gère automatiquement les exigences de la SCA pour vous. Checkout est personnalisable et vous permet d’accepter des paiements pour des achats ponctuels et des *abonnements* (A Subscription represents the product details associated with the plan that your customer subscribes to. Allows you to charge the customer on a recurring basis) sur votre site Web.

- [Migrer vers l’API Payment Intents](https://docs.stripe.com/payments/payment-intents/migration.md)
- [Utiliser une page de paiement préconfigurée](https://docs.stripe.com/payments/accept-a-payment.md?integration=checkout)
- [Créer un tunnel de paiement personnalisé](https://docs.stripe.com/payments/accept-a-payment.md?integration=elements)

### Réutilisation des cartes

Enregistrez une carte bancaire pour une réutilisation ultérieure avec l’API Payment Intents et *l’API Setup Intents* (The Setup Intents API lets you build dynamic flows for collecting payment method details for future payments. It tracks the lifecycle of a payment setup flow and can trigger additional authentication steps if required by law or by the payment method). Vous pouvez également utiliser Checkout pour gérer automatiquement les exigences de la SCA, ou utiliser [Billing](https://docs.stripe.com/billing.md) pour gérer la SCA pour les [abonnements](https://docs.stripe.com/subscriptions.md).

- [Utiliser une page de paiement préconfigurée](https://docs.stripe.com/payments/save-and-reuse.md?platform=checkout)
- [Créer un flux personnalisé pour enregistrer les informations de carte bancaire](https://docs.stripe.com/payments/save-and-reuse.md)

## Migration vers la SCA

Vous devrez peut-être mettre à jour votre intégration pour prendre en charge la SCA. Pour plus d’informations sur les modifications à apporter, y compris des recommandations de produits spécifiques établies en fonction du cas d’usage, consultez les guides suivants :

- [Migrer vers l’API Payment Intents](https://docs.stripe.com/payments/payment-intents/migration.md)
- [Flux de paiement conformes à la SCA](https://stripe.com/guides/sca-payment-flows)

## Mettre à jour les plugins et les bibliothèques de développeur

Vous devrez peut-être mettre à jour votre bibliothèque de plugin Stripe ou votre bibliothèque développeur pour prendre en charge la SCA. Si vous êtes à la recherche d’un plugin prêt pour la SCA, visitez [Stripe Partners](https://stripe.com/partners/sca-ready).

### Identifier votre plugin sur notre plateforme

Pensez à inclure des informations d’identification dans vos plugins et bibliothèques tierces afin que nous puissions vous contacter en cas de modifications futures ou de mises à jour critiques de l’API. Utilisez la [fonction setAppInfo](https://docs.stripe.com/building-plugins.md#setappinfo) pour fournir ces informations dans votre intégration Stripe.

Nous vous encourageons à rejoindre le [programme Partenaires Stripe](https://stripe.com/partner-program?utm_campaign=partnerprogram&utm_source=sca-plugins-guide). L’[inscription est gratuite](https://stripe.com/partner-program?utm_campaign=partnerprogram&utm_source=sca-plugins-guide&utm_medium=join#stripe-partner-program) et vous y trouverez davantage de ressources destinées aux développeurs qui conçoivent des plugins. Prenez connaissance de nos [recommandations de bonnes pratiques](https://docs.stripe.com/building-plugins.md).

### Déterminer votre chemin d’intégration

Considérez les éléments suivants :

- Utilisez [Stripe Checkout](https://docs.stripe.com/payments/checkout.md) pour collecter les paiements à l’aide d’un formulaire personnalisable. Vous pouvez intégrer le formulaire de paiement sur votre site Web ou l’héberger sur Stripe.
- Pour mieux contrôler votre tunnel de paiement, utilisez l’API Payment Intents et l’API Setup Intents avec[Elements](https://docs.stripe.com/payments/elements.md), *PaymentMethods* (PaymentMethods represent your customer's payment instruments, used with the Payment Intents or Setup Intents APIs), *Customers* (Customer objects represent customers of your business. They let you reuse payment methods and give you the ability to track multiple payments), et *Connect* (Connect is Stripe's solution for multi-party businesses, such as marketplace or software platforms, to route payments between sellers, customers, and other recipients). Ces API affichent des flux d’authentification, tels que 3DS 2, enregistrent les cartes bancaires à utiliser ultérieurement, et prennent en charge la SCA.
- Pour les paiements récurrents, utilisez Stripe Billing pour gérer les [abonnements](https://docs.stripe.com/subscriptions.md) et [factures](https://docs.stripe.com/invoicing.md).
- [Inscrivez un endpoint de webhook](https://docs.stripe.com/webhooks.md#register-webhook) pour votre compte ou vos comptes connectés, et gérez-les avec l’API Webhooks.

Si aucune de ces options ne convient à votre intégration, [contactez-nous](mailto:plugins+sca@stripe.com).

### Tester l’authentification dynamique

Une fois la nouvelle approche d’intégration implémentée, configurez vos [règles Radar 3D Secure dynamiques](https://docs.stripe.com/payments/3d-secure/authentication-flow.md#three-ds-radar) de façon à tester votre intégration à l’aide de vos [cartes de test 3D Secure](https://docs.stripe.com/payments/3d-secure/authentication-flow.md#three-ds-cards). Veillez à tester à la fois les cas de réussite et d’échec de l’authentification.

### Informez vos clients et Stripe

Dès que vous avez terminé la mise à jour, fournissez à vos clients une mise à jour prête pour la SCA. Vous pouvez partager le [Guide d’authentification forte du client](https://stripe.com/guides/strong-customer-authentication) avec vos clients pour les aider à comprendre ces évolutions réglementaires. Lorsque vous publiez une mise à jour prête pour la SCA, [informez Stripe](mailto:plugins+sca@stripe.com) également. Nous orientons les utilisateurs vers des solutions prêtes pour la SCA sur la page [Partenaires Stripe](https://stripe.com/partners/sca-ready).

## Utiliser d’anciens mandats

Si vous collectez des paiements alors que votre client n’utilise pas activement votre application, la SCA peut exiger que votre client se réauthentifie, même s’il s’est authentifié dans le passé. Pour ces paiements *hors session* (A payment is described as off-session if it occurs without the direct involvement of the customer, using previously-collected payment information), vous pouvez utiliser les API Stripe pour identifier votre client une seule fois *pendant une session* (A payment is described as on-session if it occurs while the customer is actively in your checkout flow and able to authenticate the payment method), puis réutiliser la carte bancaire à plusieurs reprises en hors session.

Vous pouvez également utiliser d’anciens mandats (parfois appelés droits acquis) pour les paiements hors session qui respectent la période d’admissibilité suivante, quels que soient le montant et la fréquence des paiements :

- Cartes de clients européens enregistrées avant le 31 décembre 2020
- Cartes de clients du Royaume-Uni enregistrées avant le 14 septembre 2021

Stripe recherche automatiquement les transactions réalisées avec la carte avant les dates listées ci-dessus. S’il les trouve, Stripe a recours à l’ancien mandat pour gérer la transaction en cours. Si la banque accepte l’ancien mandat, la transaction est considérée comme hors du périmètre d’application de la SCA et peut se poursuivre sans authentification supplémentaire.

Si la banque refuse l’ancien mandat, l’état du PaymentIntent passe à *requires\_payment\_method* (This status appears as "requires_source" in API versions before 2019-02-11), et vous devez demander à votre client de [compléter le paiement](https://docs.stripe.com/payments/save-and-reuse.md?platform=web&ui=elements#charge-saved-payment-method).

### Enregistrer les cartes après la période d’éligibilité

Une fois que la SCA prend effet, vous pouvez utiliser l’API Payment Intents pour [enregistrer et réutiliser les cartes](https://docs.stripe.com/payments/save-and-reuse.md), et l’API Setup Intents pour être admissible aux exemptions hors session. Vous pouvez également enregistrer des cartes en utilisant [Stripe Checkout](https://docs.stripe.com/payments/save-and-reuse.md?platform=checkout).

### Préparation de vos cartes enregistrées pour la SCA

Pour que Stripe puisse réutiliser des mandats précédents, vous devez utiliser l’API Payment Intents et indiquer à Stripe que le paiement a lieu hors session.

| Avant la période d’éligibilité                                                                                                                                                                                                                                                    | Après la période d’éligibilité                                                                                                                                     |
| --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| Vous avez enregistré la carte bancaire en passant un token, une [source](https://docs.stripe.com/sources.md), ou un [moyen de paiement](https://docs.stripe.com/payments/save-during-payment.md) à l’objet `Customer`.                                                            | Créez un PaymentIntent avec un [indicateur hors session](https://docs.stripe.com/payments/save-and-reuse.md?platform=web&ui=elements#charge-saved-payment-method). |
| Vous avez enregistré la carte bancaire en créant un [SetupIntent](https://docs.stripe.com/payments/save-and-reuse.md) ou en utilisant [setup_future_usage](https://docs.stripe.com/api/payment_intents/create.md#create_payment_intent-setup_future_usage) dans un PaymentIntent. | Créez un PaymentIntent avec un [indicateur hors session](https://docs.stripe.com/payments/save-and-reuse.md?platform=web&ui=elements#charge-saved-payment-method). |

## Entrée en vigueur de la SCA

Préparez vos flux de paiement pour la préparation à la SCA dès que possible, si les réglementations SCA vous affectent. Cela peut aider à prévenir une augmentation des refus de cartes européennes et à vous préparer en cas d’application précoce de la loi par les banques. En savoir plus sur [l’application selon les pays](https://support.stripe.com/questions/strong-customer-authentication-sca-enforcement-date).

### S’assurer que votre intégration est prête pour la SCA

Votre intégration est prête pour la SCA lorsque vous traitez tous vos paiements à l’aide de produits prêts pour la SCA, tels que Checkout, Billing, l’API Payment Intents ou une solution partenaire prête pour la SCA.

De plus, veuillez effectuer les opérations suivantes :

- Testez l’authentification 3DS avec nos [cartes de test réglementaires](https://docs.stripe.com/testing.md#regulatory-cards) pour vous assurer que votre intégration peut gérer 3DS.
- Pour les paiements hors session, configurez et identifiez la carte bancaire lors de l’enregistrement du moyen de paiement, puis utilisez l’API pour [indiquer les paiements hors session](https://docs.stripe.com/payments/save-and-reuse.md?platform=web&ui=elements#charge-saved-payment-method).
- Si vous utilisez le Billing API pour des abonnements ou des factures, assurez-vous que votre intégration peut gérer les [états incomplets](https://docs.stripe.com/billing/subscriptions/overview.md#payment-behavior).

### Comprendre les paiements incomplets et les refus ou échecs de paiement

Les paiements peuvent ne pas aboutir, car ils sont incomplets, refusés ou ont échoué. Pour les paiements bloqués dans un état `incomplete` (Dashboard) ou `requires_action` (API), veuillez procéder comme suit :

- Assurez-vous que votre client n’authentifie pas activement un paiement pendant une session. Il se peut également que votre client ait abandonné le tunnel de paiement.
- Vérifiez que vous [gérez les actions suivantes](https://docs.stripe.com/payments/payment-intents/verifying-status.md#next-actions), comme l’authentification.
- Définissez [off_session](https://docs.stripe.com/api/payment_intents/create.md#create_payment_intent-off_session) sur `true` lors de la création d’un paiement hors session.

Les banques peuvent refuser les paiements qui nécessitent une authentification 3DS, mais pour lesquels 3DS n’est pas activé.

Si un paiement hors session échoue, mais que vous pensez qu’il est exempté des exigences de la SCA, procédez comme suit :

- Assurez-vous d’identifier la carte bancaire lors de l’enregistrement des détails du moyen de paiement, que ce soit pendant un paiement ou sans paiement.
- Lors de l’enregistrement de cartes lors d’un paiement, définissez `setup_future_usage` sur `off_session`.
- Lorsque vous enregistrez des cartes bancaires sans paiement, utilisez l’API Setup Intents et définissez `usage` sur `off_session`.

Les exemptions ne sont pas garanties et les paiements hors session peuvent toujours nécessiter une authentification par la banque.

#### Afficher les paiements refusés

1. Dans le Dashboard, allez dans **Transactions** >[Paiements](https://dashboard.stripe.com/payments).

1. Dans la liste déroulante **Filter by: status**, effectuez l’une des opérations suivantes :

   - Sélectionnez **Failed** pour afficher les paiements hors session refusés.
   - Sélectionnez **Incomplete** pour afficher les paiements refusés pendant une session.

1. Cliquez sur **Appliquer**.

1. Passez la souris sur le badge d’état pour connaître la raison.

### Surveiller les litiges

Lors de la surveillance des litiges, sachez que les paiements authentifiés via 3DS sont soumis à la règle du *transfert de responsabilité*. Si un titulaire de carte [conteste un paiement 3DS](https://docs.stripe.com/payments/3d-secure/authentication-flow.md#disputed-payments) comme étant frauduleux, en général, ce n’est plus vous, mais l’émetteur de la carte qui en devient responsable. Si l’émetteur de la carte applique des exemptions, le paiement n’est pas authentifié par 3D Secure, et le transfert de responsabilité ne s’applique donc pas.

### Collecter l’autorisation de réutiliser les cartes

Lorsque vous configurez votre tunnel de paiement pour enregistrer une carte bancaire à l’aide de l’API Payment Intents ou de l’API Setup Intents, Stripe marque les paiements hors session ultérieurs sous la forme de *transactions initiées par le marchand* (A payment made off-session with a properly authenticated saved card, can qualify as merchant-initiated transaction and be exempt from SCA) (MIT). Ces transactions nécessitent un accord (également appelé *mandat*) entre vous et votre client.

Sur votre site Web ou votre application, couvrez au minimum les éléments suivants :

- Le consentement du client vous autorisant à déclencher un paiement ou une série de paiements en son nom
- La fréquence prévue des paiements (ponctuels ou récurrents)
- La façon dont vous déterminez le montant à payer

Dans votre tunnel de paiement, faites référence aux conditions de paiement :

J’autorise  à demander à l’émetteur de ma carte de prélever un paiement sur le compte bancaire de ma carte conformément au contrat qui nous lie.