Circulaire juridique N°10.26 11 mars 2026 Sécuriser les paiements à distance (internet, mail, téléphone) DSP2 et nouvelles règles de la Banque de France

Nous vous informions à la circulaire juridique 25.19 de l’entrée en vigueur, au 14 septembre 2019, des

nouvelles règles techniques relatives à la double authentification ( » DSP2″), également dénommée

« authentification forte » pour les paiements réalisés en ligne.

Cette réglementation concerne principalement le secteur hôtelier, où la plupart des réservations se

fait sur internet. Toutefois, le secteur de la restauration peut également être concerné puisque se

développe de plus en plus la prise d’arrhes en ligne pour valider une réservation et se prémunir des «

no-show »

Ainsi la quasi-totalité des réservations se fait désormais à distance. Face à la hausse de la fraude, les

règles se sont durcies.

Le point de départ : la prise d’une simple « empreinte » bancaire n’est plus une garantie de paiement,

notamment en cas de no-show.

Pour sécuriser ses encaissements, le professionnel doit autant que possible demander une

authentification forte (aussi appelée « SCA » pour Strong Customer Authentification). Sans elle, le

risque d’impayé pèse sur le professionnel.

Cette circulaire, basée sur la Directive sur les Services de Paiement révisée (DSP2, circulaire 25.19) et

les dernières recommandations de la Banque de France (cf. courrier en Annexe), vous propose des

clés pratiques pour sécuriser vos transactions à distance (site internet, mail, téléphone).

Afin de protéger plus encore les consommateurs et les professionnels contre la fraude liée aux

paiements à distance, l’Union Européenne a mis en place une nouvelle mesure : l’authentification

double facteur obligatoire (également dénommée « authentification forte » ou » SCA »).

Elle permet de renforcer significativement la sécurité pour l’émission de paiements en ligne qui était

assurée par un SMS simple avant 2021.

Ainsi et pour qu’un système soit désormais conforme, il doit se composer d’une double sécurité

reposant sur deux des trois critères suivants :

– Critère de connaissance – ce que le consommateur sait (mot de passe, question secrète, code

PIN etc.),

– Critère de possession – ce que le consommateur a (téléphone, application, wallet etc.),

– Critère d’inhérence – ce que le consommateur est (empreinte digitale, reconnaissance faciale

ou vocale etc.).

Pour 80% des Français, cette double authentification se matérialise par l’application bancaire installée

sur un mobile enregistré auprès de sa banque (critère de possession), complétée d’un code

confidentiel (critère de connaissance) ou d’une empreinte biométrique (critère d’inhérence).

RAPPEL SUR LA REGLEMENTATION DSP2Page 3 sur 9

De quels types de paiements parle-t-on ?1

Les paiements par carte à distance se décomposent en trois grandes catégories :

– Les paiements directs sur internet (CIT pour Customer Initiated Transaction), qui correspondent aux

paiements unitaires réalisés au moment d’un achat sur un site d’e-commerce. La réglementation

impose le recours à une authentification forte au moment du paiement, sauf si celui-ci relève de l’un

des cas d’exemption définis dans la réglementation en raison d’un niveau de risque limité (par

exemple pour les paiements de faible montant). C’est le cas des réservations hôtelières, qu’elles

soient débitées à la réservation ou ultérieurement.

– Les paiements différés sur internet (MIT pour Merchant Initiated Transaction), qui correspondent à

des paiements consécutifs à un engagement à payer pris lors de la souscription sur un site d’e-

commerce, par exemple dans le cas d’un abonnement périodique, d’un paiement en plusieurs fois,

ou encore d’un paiement ajusté en fonction de la consommation de l’utilisateur. Dans ce cas de figure,

l’authentification forte du client a lieu au moment de la souscription, les paiements étant émis par

le commerçant sans nouvelle intervention de son client. Typiquement pour le paiement des extras

réalisés après le départ du client, qui avait donné son autorisation à un tel débit différé.

– Les paiements à distance hors internet (MOTO pour mail order / telephone order) correspondent à

des paiements réalisés au moyen d’un moyen de communication non automatisé : transmission d’une

commande sur un bordereau papier (courrier ou télécopie) ou insérée dans un courriel, ou encore

commande passée par téléphone. Dans ce cas de figure, le client fournit les informations relatives à

sa carte de paiement au commerçant ou à un serveur vocal, qui renseigne ensuite l’interface de

paiement. Attention : en cas de contestation du client, il est de plus en plus difficile pour le

commerçant d’obtenir gain de cause.

Note : pour les paiements réalisés depuis un terminal de paiement, l’authentification par code PIN

répond déjà aux exigences prévues par la directive Européenne.

Les professionnels n’ont pas à mettre en place eux-mêmes cette mesure d’authentification forte.

C’est aux prestataires de services de paiement (« PSP ») / prestataire d’acceptation technique (« PAT »)

de proposer les solutions conformes à la nouvelle règlementation européenne. Nous recommandons

aux professionnels de prendre les devants pour anticiper tout refus de débit pour non-conformité

avec la nouvelle règlementation.

1 240606_OSMP_Note-explicative-Plan-hors-3DS.pdf

MISE EN CONFORMITE DU COMMERCANTPage 4 sur 9

Le contrat d’acceptation de paiement par carte signé par le professionnel avec sa banque définit les

obligations relatives aux mesures de sécurité qui lui incombent, dans le respect de la règlementation

européenne.

Ainsi, nous recommandons aux adhérents de prendre attache auprès de :

1. leur Prestataire de Services de Paiement (« PSP ») qui est généralement leur banque, qui a déjà

dû communiquer sur le sujet, pour mettre en place une procédure et s’équiper d’une

technologie conforme à la réglementation.

2. leur prestataire technique de paiement ou leur fournisseur de solution de réservation en ligne,

qui peut également proposer des outils de paiement sécurisés (modules de paiement,

paiement par lien sécurisé, etc.)

1. Pour tous les professionnels recourant à des paiements à distance

(hôtel, restaurant, traiteur, etc.)

Pour toute réservation sur internet, impliquant une prise des coordonnées bancaires pour débiter la

transaction en cas de no-show ou de prépaiement, il faudra que le client valide une authentification

forte lors de sa réservation à distance, sur le montant correspondant à la garantie.

Au moment de la réservation à distance, le professionnel, au moyen de la solution mise en place par

son Prestataire de Services de Paiements (PSP) doit donc s’assurer qu’une authentification forte a

été faite par le client.

En ce qui concerne les paiements initiés par le professionnel en l’absence du client (ie : hôteliers en

cas de consommation d’extras post check-out.), il ne sera pas nécessaire d’obtenir une nouvelle

authentification forte du client, sous réserve d’avoir réalisé au préalable une authentification forte

du client lorsque ce dernier procède à la réservation de son séjour sur le site internet de

l’établissement ou lors de son arrivée à l’hôtel directement sur le terminal de paiement.

La pratique répandue, au moment de la réservation à distance, d’une authentification

forte avec une pré-autorisation d’ un montant à zéro euros (€) pour tenter un débit

ultérieur en cas de no-show, a été refusée par la Banque de France.

La pré-autorisation doit être faite sur un montant correspondant au montant réel

qui serait débité en cas de no-show.

La pratique ancienne et répandue, au moment de la réservation à distance, d’une

prise de caution forfaitaire librement déterminée par le professionnel n’est pas

recommandée lorsqu’elle ne correspond pas au montant réellement susceptible

EN PRATIQUE COMMENT SECURISER LES TRANSACTIONS A DISTANCE ?Page 5 sur 9

d’être débité. En cas de litige, le client pourrait obtenir le remboursement si le

montant débité dépasse ce qu’il pouvait raisonnablement attendre au moment de

l’autorisation

2. Comprendre le risque d’impayé : les 2 principaux cas de contestation

client

Cas n°1 : L’opération « non autorisée »

Le client dit : »Ce n’est pas moi qui ai payé ! »ou »Je n’ai jamais donné mon accord pour ce paiement. »

Contexte type : C’est le cas d’une fraude avérée, où le titulaire de la carte n’a pas consenti à

l’opération, comme dans les cas d’une carte volée ou d’un numéro de carte usurpée.

Règles (Art. L.133-18 du Code monétaire et financier) : Le client a jusqu’à 13 mois pour contester. Sa

banque doit le rembourser immédiatement. La charge de la preuve est inversée : c’est à la banque du

professionnel de prouver la fraude ou la négligence grave du client, ce qui est extrêmement difficile.

Risque de remboursement : TRÈS ÉLEVÉ, si aucune authentification forte n’a été demandée par le

professionnel C’est le risque principal du MOTO ou des réservations sur internet sans SCA. En

l’absence d’authentification forte, le professionnel perd quasi-systématiquement l’argent.

Cas n°2 : L’opération « autorisée » mais contestée

Le client dit : »J’étais d’accord pour une garantie, mais pas pour ce montant ! »

Contexte type : Le client a bien effectué une authentification forte (SCA) lors de la réservation, mais il

conteste le montant qui lui a été débité par la suite (exemple: un no-show, extras).

Règles (Art. L.133-25 du Code monétaire et financier) : Le client a huit semaines pour contester.

Pour être remboursé, il doit prouver deux choses :

1) que le montant exact n’était pas indiqué lors de l’autorisation ET

2) que le montant débité est supérieur à ce qu’il pouvait « raisonnablement attendre ».

Risque de remboursement : LIMITÉ si les bonnes pratiques sont respectées.

En informant clairement le client du montant exact de la pré-autorisation et des éventuels extras

pouvant être facturés.

3. Se prémunir contre le risque d’impayé

3.1. La pré-autorisation bancaire en cas de « no-shows »Page 6 sur 9

Pour garantir une réservation et pouvoir facturer un no-show, la pré-autorisation doit respecter les

trois règles cumulatives ci-après :

Règle N°1 : Une authentification forte (SCA) est OBLIGATOIRE.

Cette authentification peut être réalisée via un paiement sur un site sécurisé, un module de paiement

intégré à votre moteur de réservation ou un lien de paiement sécurisé envoyé au client (Pay-by-Link).

Règle N°2 : Le montant préautorisé doit être précis et justifié.

L’Observatoire de la sécurité des moyens de paiement (OSMP, Banque de France) recommande de

préautoriser le montant maximal qui pourrait être débité.

Exemple: le prix de la première nuit pour un séjour de 3 jours, 100€ pour une réservation dans un

restaurant gastronomique. La pré-autorisation à 0€ ou 1€ est à proscrire.

Pour toute vérification de validité de la CB du client :

La demande de renseignement (=lorsque le client renseigne ses coordonnées bancaires) permet au

professionnel de s’assurer de la validité de la CB (carte valide et non opposée au moment de la

demande).

Cette prise de vérification ne vaut pas autorisation de débit et ne garantit pas la présence des fonds

sur le compte du client, lorsque le professionnel décidera de débiter la CB.

Les professionnels doivent demander aux clients un montant précis qui fera l’objet d’une autorisation

forte.

Pour les réservations flexibles (téléphone/mail/à distance) :

– Au moment de la réservation, il faut demander une pré-autorisation avec un montant défini

correspondant au montant prévu dans vos conditions générales de vente (CGV) en cas d’annulation

tardive / « no-show » (1ère nuitée, etc.) pour réaliser un paiement sécurisé sur internet.

Dans le cas d’un envoi de PBL de préautorisation (=débit différé) le montant est en principe « réservé »

durant 30 jours (à vérifier avec votre prestataire).

– A l’arrivée, comme la réservation à distance n’impliquait pas de paiement mais seulement une

garantie, il est recommandé faire une autorisation sur le montant total prévisionnel correspondant à

la réservation faite par le client (+ éventuels extras : petit-déjeuner, mini-bar avec un montant

forfaitaire) en présence du client qui authentifiera de façon forte l’autorisation avec son code PIN.

Pour les réservations fermes, non annulables non remboursables (« NANR ») (téléphone/mail/à

distance) :

– Il faudra clairement informer le client, lors de sa réservation que sa réservation implique un

prépaiement immédiat et intégral du montant total du séjour hors extra.Page 7 sur 9

– A l’arrivée pour vous prémunir de tout impayé, nous vous recommandons de prendre une

authentification forte sur votre TPE du montant des extras (petit-déjeuner, mini-bar avec un montant

forfaitaire).

Règle N°3 : Il faut informer clairement le client AVANT la préautorisation.

Le professionnel doit indiquer via ses Conditions Générales de Vente (CGV) et également via un

message clair sur la page de paiement :

– Le montant exact de la pré-autorisation et ce qu’il couvre.

– Les modalités : pas de débit immédiat, mais un impact possible sur son plafond de carte.

– N’oubliez pas la case à cocher « J’ai lu et j’accepte les CGV » avant toute validation.

Ci-après un modèle de clause à adapter et à insérer dans les CGV et à doubler dans une fenêtre

d’information avant paiement / pré-autorisation du client :

Article X : Conditions de Réservation, de Paiement et de Garantie

X.1. Garantie de la réservation par pré-autorisation bancaire

Pour toute réservation effectuée en ligne ou à distance (mail, téléphone), une garantie par carte bancaire est requise.

Cette garantie est effectuée via une demande de pré-autorisation qui nécessite une authentification forte (SCA) de

votre part, conformément à la réglementation européenne sur les services de paiement (DSP2).

Le montant de cette pré-autorisation est fixé à [Exemple : le montant total de la première nuit du séjour].

Cette pré-autorisation n’est pas un débit immédiat. Toutefois, elle peut temporairement réduire le plafond de votre carte

bancaire du montant autorisé, afin de garantir la disponibilité des fonds pour couvrir d’éventuelles pénalités.

En cas d’annulation tardive (moins de [Exemple : 48 heures avant la date d’arrivée]) ou de non-présentation à l’hôtel

(« no-show ») aux dates convenues, le montant de la pré-autorisation sera définitivement débité par l’établissement à

titre d’indemnité forfaitaire. L’authentification forte que vous réalisez au moment de la réservation vaut accord exprès

de votre part pour le débit de cette indemnité.

X.2. Paiement des tarifs « non-annulables, non-remboursables »

Pour les réservations identifiées comme « non-annulables, non-remboursables », le paiement de l’intégralité du séjour est

exigé au moment de la réservation ou à une date fixée dans votre email récapitulatif de réservation et de confirmation

de réservation. Ce paiement est réalisé via une transaction sécurisée nécessitant une authentification forte (SCA) de

votre part. Conformément aux conditions de ce tarif, aucun remboursement ne sera effectué en cas d’annulation ou de

modification.

X.3. Sécurité des données

Les données de votre carte de paiement sont traitées de manière sécurisée par notre prestataire de services de paiement

certifié et ne sont jamais transmises en clair sur le réseau. L’établissement se réserve le droit de refuser toute réservation

si les informations de la carte bancaire sont incorrectes ou invalides.

3.2. Paiements par téléphone/mail (« MOTO »)

Un paiement MOTO est par nature une opération risquée pouvant exposer à une contestation de la

part du client jusqu’à 13 mois.Page 8 sur 9

Les professionnels sont invités, autant que possible, à limiter ce type de transactions (par exemple par

la promotion des alternatives comme le paiement par lien sécurisé) et en tout état de cause à mieux

sécuriser les transactions MOTO résiduelles.

La Banque de France nous a informés (cf. courrier en Annexe) que la dérogation qui permettait aux

hôteliers de valider des réservations avec des coordonnées bancaires fournies par téléphone / mail

fait actuellement l’objet d’un plan de réduction progressive dans le cadre des travaux de

l’Observatoire de la sécurité des moyens de paiement et va être progressivement supprimée, avec un

calendrier de rejet strict :

– 12 novembre 2025 : Rejet des paiements MOTO > 4 000 €

– Septembre 2026 : Rejet des paiements MOTO > 2 000 €

– Octobre 2026 : Rejet des paiements MOTO > 1 000 €

– Novembre 2026 : Rejet des paiements MOTO > 500 €

Pour les transactions MOTO résiduelles, les professionnels doivent utiliser des systèmes où le client

saisit lui-même ses données par le biais de serveurs vocaux interactifs sécurisés.

Les professionnels doivent se rapprocher de leur banque ou de leur prestataire de paiement pour

mettre en place les solutions adéquates.

Nous vous recommandons vivement de ne pas attendre les échéances ci-dessus pour vous mettre en

conformité. D’ores et déjà, de nombreux opérateurs bancaires remboursent le client à la moindre

réclamation, sans attendre votre preuve de bonne foi.

3.3. Plateformes de réservation (OTAs)

Les plateformes de réservation en ligne (Booking, Expedia, etc.) doivent intégrer l’authentification

forte.

– Si elles encaissent pour le professionnel, elles doivent être conformes.

– Si elles sont de simples intermédiaires, elles doivent transmettre au professionnel un

identifiant sécurisé (token) permettant d’initier un paiement lié à l’authentification forte déjà

réalisée par le client sur leur plateforme.

4. Récapitulatif

Étape La bonne pratique A proscrire

Réservation à distance Sur internet ou au moyen d’un

lien de paiement, demander

une pré-autorisation avec SCA

sur un montant réel et

correspondant au séjour/repas

réservé (ex: première nuit pour

Noter les numéros de CB

donnés par téléphone/mail

(MOTO).Page 9 sur 9

un séjour flexible de 3 nuitées,

100€ pour un repas dans un

restaurant gastronomique,

totalité pour un séjour non

annulable non remboursable).

Arrivée du client (Check-in) Reprendre la carte physique du

client et lui faire composer son

code PIN sur le TPE pour valider

le montant total du séjour (+

extras). Cela verrouille la

transaction.

Se contenter de l’empreinte

prise à distance.

Départ du client (Check-out) Utiliser le TPE en présence du

client avec son code PIN.

Ressaisir manuellement les

informations de la carte que

vous aviez notées.

Gestion d’un « no-show »

« extras »

Débiter la pénalité grâce au

« chaînage » de la pré-

autorisation initiale (qui a fait

l’objet d’une SCA et dont le

montant était connu).

Tenter un débit sur une

« empreinte » prise par

téléphone (MOTO).

Annexe N°1 Courrier information Banque de France – octobre 2025