Découvrir assoconnect Essai gratuit

Sécurité & paiement en ligne : qu’en est-il pour votre association et vos adhérents ?

7 août 2020

Cela fait quelques rentrées associatives que vous souhaitez gérer vos adhésions en ligne. Une partie de vos membres le réclame et cela simplifierait la gestion des encaissements. Vous réfléchissez donc à intégrer une solution de paiement en ligne pour votre association.

Vous êtes prêt à sauter le pas... Mais vous avez un doute.

Vous avez entendu toutes sortes d’horreurs sur le paiement en ligne et ne voulez pas prendre de risque pour votre association.

Alors qu’en est-il vraiment de la sécurité du paiement en ligne ? Comment protéger votre association et vos adhérents ? Quelles sont les bonnes pratiques à adopter ?

Au programme :

Attachez votre ceinture et allons-y !

Conservez et partagez cet article
en demandant sa fiche technique gratuite !

Je demande ma fiche technique

paiement en ligne securite carte association

L'encaissement pour compte de tiers, une première sécurité du paiement en ligne

Avant de nous attaquer à la sécurité des paiements en elle-même, il vous faut d'abord vérifier que l'organisme par lequel vous passez pour collecter de l'argent est bien habilité à faire de l'encaissement pour compte de tiers.

Rien de mieux qu’un bon exemple pour comprendre : étudions ensemble ce que nous faisons chez AssoConnect.

Nous recevons des paiements avec 2 usages très différents :

  • Les paiements des abonnements à AssoConnect : les fonds reçus nous appartiennent,
  • Les paiements des adhésions, dons et ventes en ligne : ces fonds appartiennent aux associations.

Dans le premier cas, nous agissons comme un acteur classique de e-commerce et les fonds collectés arrivent sur notre compte en banque. C’est exactement ce qui se passe quand vous achetez en ligne un ordinateur vendu par la FNAC sur le site de la FNAC.

Le second cas correspond à de l’encaissement pour compte de tiers : les fonds reçus arrivent sur un compte en ligne, que vous pouvez assimiler à un porte-monnaie électronique ou une cagnotte au nom de l’association, ouvert chez Adyen, l’un des acteurs du paiement en ligne les plus sûrs au monde.

Ce schéma de fonctionnement est très réglementé par la loi pour lutter contre le blanchiment d’argent et le financement du terrorisme.

Heureusement, il est facile de vérifier qu’un établissement est agréé en se rendant sur le site de l’ACPR (Autorité de Contrôle Prudentiel et de Résolution). On peut voir que Adyen est bien dans la liste :

sécurité-paiement-ligne-acpr-adyen

Comment marche l'encaissement pour compte de tiers ?

Pour illustrer son fonctionnement, prenons l’exemple d’une campagne d’adhésions en ligne, situation de plus en plus courante.

Voici les étapes :

  1. Un utilisateur arrive sur la campagne d’adhésion hébergée par AssoConnect,
  2. Il paie en ligne sur Adyen et alimente ainsi le porte-monnaie électronique de l'association,
  3. L’association récupère ses fonds en demandant un virement sur son compte en banque.

Schéma-paiement-en-ligne-sécuritéAssoConnect encaisse de l’argent de vos adhérents pour votre compte : vous êtes le "tiers" du terme "encaissement pour compte de tiers".

Ce système nous permet de prélever les frais de paiement liés à l’infrastructure qui permet le paiement en ligne et de vous reverser le produit de vos ventes.

Petite parenthèse à propos des frais : ils servent en grande partie à rémunérer l’opérateur qui rend ce paiement possible et dont c'est le métier. Le paiement en ligne 100% gratuit n’existe pas, le coût lié à ce service prend simplement différentes formes d’une structure à l’autre : frais de transaction, commission, pourboire volontaire suggéré à l’acheteur, etc.

Le mécanisme d’encaissement pour compte de tiers est également un gage de sécurité pour vous :

  • Les fonds collectés ne transitent à aucun moment par notre compte en banque,
  • Nous n’avons pas le droit de les utiliser : aucun risque de les voir disparaître suite à un investissement malheureux,
  • Ils restent disponibles même en cas de cessation d'activité d’AssoConnect.

Cette solution avec notre système de collecte via de l’encaissement pour compte de tiers est probablement la plus simple pour vous. Bien plus simple en tout cas que de créer un site e-commerce à votre association :

  • Pas de contrat à signer, ni de tarifs à négocier avec votre banque,
  • Les bénéfices de l’effet de groupe : les flux financiers de l’ensemble des associations clientes d’AssoConnect sont importants et permettent donc de négocier des tarifs plus intéressants sur les frais de transaction,
  • Pas d'intégration technique à prévoir pour utiliser un système de paiement en ligne.
Regardons maintenant plus en détails en quoi le paiement en ligne assure une sécurité maximale à votre association et vos adhérents.

sécurité-paiement-en-ligne-asso

Comment assurer la sécurité des paiements en ligne de votre association ?

Depuis son apparition en 1914 sous forme métallique chez Western Union, 72 millions de cartes bancaires françaises ont été utilisées pour dépenser près de 570 milliards d’euros en 2018.

En France, depuis l’entrée en vigueur le 1er novembre 2009 de l’ordonnance du 15 juillet 2009 relative aux services de paiement, la banque a l’obligation de rembourser intégralement le porteur de carte en cas de vol de sa carte bancaire ou de paiement frauduleux sur Internet.

J'en profite donc au passage pour vous rappeler qu’une assurance en option de ses moyens de paiement est donc très probablement inutile en plus d’être généralement assez chère !

Heureusement pour le système, le taux de fraude est très faible : de l’ordre de  0,06% en 2018 mais représente tout de même plus de 439 millions d’euros !

Puisque la loi protège le client, que le voleur s’est envolé avec les fonds, il ne reste plus que la banque et le commerçant – nous – pour éponger l’ardoise.

Tout l’enjeu pour nous est donc de prouver que nous avons vérifié l’identité du client avant d’accepter le paiement.

A moins d’utiliser une carte américaine où l’on demandera une signature, vos adhérents ont l’habitude de taper leur code secret à chaque opération avec leur carte : retrait dans un distributeur, paiement sur un TPE (Terminal de Paiement Electronique), etc.

Ce code secret suffit pour prouver qu’il n’est pas un bandit et donc demander une carte d’identité devient inutile.

Sur Internet, ce code à 4 chiffres est remplacé par celui à 3 chiffres qui se trouve au dos de la carte. Il n'est pas très confidentiel, impossible donc de vérifier qui se trouve devant l’écran.

On a donc inventé le système 3D-Secure où l’on demande une information en plus. Vous avez sûrement déjà rencontré ce genre d'écran :

sécurité-paiement-en-ligne-3d-secure

L'information demandée est le plus souvent un code à 8 chiffres reçu sur le mobile.

Contrairement à une idée reçue, vos adhérents n’en tirent aucun avantage en termes de sécurité puisque la loi fait déjà le nécessaire : votre association, et AssoConnect au passage, sont les heureux bénéficiaires de cette protection, ce qui est n’est quand même pas négligeable !

96% des cartes françaises sont compatibles et 66% des boutiques en ligne utilisent un système permettant cette authentification.

Les paiements sur AssoConnect font partie des 35% des paiements en ligne protégés par 3D-Secure sur les logiciels de collecte.

Nous avons fait le choix du 3D-Secure même pour les tout petits montants pour plusieurs raisons :

  • Un utilisateur a 13 mois pour faire opposition sur un paiement ce qui peut être une très mauvaise surprise pour une association une fois les dépenses réalisées,
  • Cela n'a pas d'impact sur la réalisation du paiement, le taux d'abandon est même moins fort que pour un paiement sans 3D-Secure

conseils-sécurité-paiement-en-ligne

Conseils de sécurité à donner à vos adhérents sur le paiement en ligne

Un homme averti en vaut deux.

Voici donc quelques conseils de sécurité, qui s'appliquent évidemment dans le cadre de paiements pour votre association, mais également pour tous les paiements en ligne.

  • Avant de saisir des informations confidentielles comme votre numéro de carte bancaire ou vos identifiants de connexion, vérifiez que la connexion de votre navigateur est bien cryptée. Les navigateurs à jour affichent un petit cadenas fermé à côté du lien de la page, signe que personne ne peut intercepter votre saisie lors de la soumission du formulaire.

sécurité-paiement-url-connexion-https

  • Vous pouvez gratter le code à 3 chiffres au dos de votre carte bancaire après l’avoir mémorisé, ou le masquer à l’aide d’une pastille adhésive pour qu’il ne soit pas vu et mémorisé à votre insu.

  • Vérifiez que votre date de naissance n’est pas librement accessible sur Facebook ou tout autre site.
  • Verrouillez votre téléphone avec un code secret et ne permettez pas à vos notifications de s’afficher lorsque le téléphone est verrouillé : ainsi le voleur ne pourra pas acheter en ligne sur un site utilisant le code 3D-Secure reçu sur le mobile.
  • Attention à ne pas installer d’applications sur votre smartphone hors des boutiques en ligne officielles d’Apple (App Store), Google (Google Play) ou Microsoft (Microsoft Store). Certaines applications a priori inoffensives cachent en réalité des programmes espions capables de lire vos SMS et donc de récupérer le code 3D-Secure ! Le phénomène Pokemon Go d’il y a quelques années a été par exemple l’occasion pour certains joueurs impatients de l’arrivée du jeu en France de se laisser tenter par des contrefaçons de l’application.

sécurité-paiement-sans-contact

Le paiement sans contact est-il sécurisé ?

Le paiement sans contact est relativement sûr comme moyen d’encaissement puisqu'en 2018, son taux de fraude de 0,020% se situe entre le paiement de proximité (0,010%) et le paiement en ligne (0,24%).

La fraude intervient presque exclusivement en cas de perte ou de vol de la carte. La loi protège ici aussi l’utilisateur puisqu’il est intégralement remboursé et dispose du même délai de 13 mois pour faire opposition.

Cette question ne se pose pas sur AssoConnect mais rien ne vous empêche de l’utiliser pour les paiements de petits montants inférieurs à 50€. Il vous faudra tout de même louer un TPE auprès de votre banque.

résumé-sécurité-paiement-ligne-association

En bref

🔒 Comment assurer la sécurité des paiements en ligne ?

Plusieurs éléments peuvent indiquer qu'un site est sécurisé. L'un d'eux est l'utilisation du 3D Secure, un système de sécurité qui vérifie que vous êtes à l'origine d'un paiement via l'envoi d'un SMS sur votre téléphone. En savoir plus

🤔 Qu'est-ce que l'encaissement pour compte de tiers ?

L'encaissement pour compte de tiers revient à faire transiter l'argent par un intermédiaire de confiance dont c'est le métier. L'argent est donc en sécurité jusqu'à arriver à destination, assurant ainsi une sécurité maximale. En savoir plus 

💳 Le paiement sans contact est-il un moyen de paiement sûr ?

Le taux de fraude au paiement sans contact était de l'ordre de 0,020% en 2018. Le paiement sans contact par carte bancaire reste donc un moyen de paiement relativement sécurisé. En savoir plus

Envie de conserver une trace de cet article ?
Téléchargez gratuitement sa fiche technique !

Je demande ma fiche technique

paiement-ligne-securite-cb-association

Voilà, vous savez maintenant comment procéder à des paiements en ligne en toute sécurité. Les avantages pour votre association peuvent s’avérer nombreux : proposer le don en ligne, lancer vos campagnes d’adhésions en ligne, dématérialiser la billetterie de vos événements ou encore proposer une boutique en ligne pour votre association.

Autant de moyens intéressants de diversifier vos sources de revenus. Et maintenant que le doute est levé sur la sécurité, vous n'avez plus d'excuses pour ne pas le tester auprès de vos adhérents ou donateurs !

New call-to-action