Découvrir assoconnect Essai gratuit

Paiement en ligne : comment sécuriser votre association et vos adhérents ?

Cela fait quelques rentrées associatives que vous souhaitez gérer vos adhésions en ligne. Une partie de vos membres le réclame et cela simplifierait la gestion des encaissement !

Vous êtes prêt à sauter le pas... Mais vous avez un doute.

Vous avez entendu toutes sortes d’horreurs sur le paiement en ligne et ne voulez pas prendre de risque pour l'association.

Alors comment protéger votre association et vos adhérents ? Quelles sont les meilleures pratiques à adopter ?

Au programme :

paiement en ligne securite carte association adherent assoconnect

L'encaissement pour compte de tiers

Avant de nous attaquer à la sécurité des paiements en eux-mêmes, il vous faut d'abord vérifier que l'organisme par lequel vous passez pour collecter de l'argent est bien habilité à faire de l'encaissement pour compte de tiers.

Rien de mieux qu’un bon exemple pour comprendre : étudions ensemble ce que nous faisons chez AssoConnect.

Nous recevons des paiements avec 2 usages très différents :

  • Les paiements des abonnements à AssoConnect : les fonds reçus nous appartiennent,
  • Les paiements des adhésions, dons et ventes en ligne : ces fonds appartiennent aux associations.

Dans le 1er cas, nous agissons comme un acteur classique de e-commerce et les fonds collectés arrivent sur notre compte en banque. C’est exactement ce qui se passe quand vous achetez en ligne un ordinateur vendu par la FNAC sur le site de la FNAC.

Le 2ème cas correspond à de l’encaissement pour compte de tiers : les fonds reçus arrivent sur un porte-monnaie électronique au nom de l’association, cagnotte ouverte chez S-Money, un intermédiaire agréé par la Banque de France et appartenant à la BPCE (Banque Populaire & Caisse d’Epargne).

Ce schéma de fonctionnement est très réglementé par la loi pour lutter contre le blanchiment d’argent et le financement du terrorisme.

Heureusement, il est facile de vérifier qu’un établissement est agréé en se rendant sur le site de l’ACPR (Autorité de Contrôle Prudentiel et de Résolution). On peut voir que S-Money est bien dans la liste au 1er janvier 2017 :

paiement en ligne securite association assoconnect

Comment marche l'encaissement pour compte de tiers ?

Voici les étapes :

  1. Un utilisateur arrive sur le site de l’association et consulte la billetterie hébergée par AssoConnect
  2. L'utilisateur paie en ligne sur S-Money et alimente le porte-monnaie de l'association
  3. L’association récupère ses fonds en demandant un virement sur son compte en banque

paiement en ligne securite association assoconnect

AssoConnect encaisse de l’argent de vos adhérents pour votre compte : vous êtes le "tiers" du terme "encaissement pour compte de tiers".

Ce système nous permet de prélever les frais de paiement et vous reverser le produit de vos ventes. Ce mécanisme est également un gage de sécurité pour vous :

  • Les fonds collectés ne transitent à aucun moment par notre compte en banque,
  • Nous n’avons pas le droit de les utiliser : aucun risque de les voir disparaître suite à un investissement malheureux,
  • Ils restent disponibles même en cas de cession d'activité d’AssoConnect,
  • La Banque de France distingue les flux de chaque association : pas de risque de cafouillage !

Cette solution avec notre système de collecte via de l’encaissement pour compte de tiers est probablement bien plus simple pour vous plutôt que d’ajouter une casquette e-commerce à votre association :

  • Pas de contrat à signer ni de tarifs à négocier avec votre banque
  • Vous bénéficiez de l’effet de groupe de toutes nos associations : ensemble nos flux financiers sont plus importants donc nous obtenons des tarifs plus intéressants sur la billetterie,
  • Pas d'intégration technique à prévoir pour utiliser un système de paiement en ligne.

Regardons maintenant comment vous pouvez sécuriser votre association et vos adhérents.

paiement en ligne securite carte association adherent assoconnect

Comment sécuriser les paiements en ligne de votre association ?

Depuis son apparition en 1914 sous forme métallique chez Western Union, 72 millions de cartes françaises ont été utilisées pour dépenser près de 600 milliards d’euros en 2016.

En France, depuis l’entrée en vigueur le 1er novembre 2009 de l’ordonnance du 15 juillet 2009 relative aux services de paiement, la banque a l’obligation de rembourser intégralement le porteur de carte en cas de vol de sa carte bancaire ou de paiement frauduleux sur Internet.

J'en profite donc au passage pour vous rappeler qu’une assurance en option de ses moyens de paiement est donc très probablement inutile en plus d’être généralement assez chère !

Heureusement pour le système, le taux de fraude est très faible : de l’ordre de  0,07% en 2015 mais représente tout de même plus de 400 millions d’euros !

Puisque la loi protège le client, que le voleur s’est envolé avec les fonds, il ne reste plus que la banque et le commerçant – nous – pour éponger l’ardoise.

Tout l’enjeu pour nous est de prouver que nous avons vérifié l’identité du client avant d’accepter le paiement.

A moins d’utiliser une carte américaine où l’on demandera une signature, vos adhérents ont l’habitude de taper leur code secret à chaque opération avec leur carte : retrait dans un distributeur, paiement sur un TPE (Terminal de Paiement Electronique), etc.

Ce code secret suffit pour prouver qu’il n’est pas un bandit et donc demander une carte d’identité devient inutile.

Sur Internet, ce code à 4 chiffres est remplacé par celui à 3 chiffres qui se trouve au dos de la carte. Il n'est pas très confidentiel, impossible donc de vérifier qui se trouve devant l’écran.

On a donc inventé le système 3D-Secure où l’on demande une information en plus. Vous avez sûrement déjà rencontré ce genre d'écran :

paiement en ligne securite association assoconnect

L'information demandée peut être la date de naissance (à moins d’être une célébrité, peu de monde la connait et vos amis qui vous souhaitent un joyeux anniversaire sont a priori dignes de confiance !) ou un code reçu sur le mobile.

Contrairement à une idée reçue, vos adhérents n’en tirent aucun avantage en termes de sécurité puisque la loi fait déjà le nécessaire : votre association, et AssoConnect au passage, sont les uniques heureux bénéficiaires de cette protection, ce qui est n’est quand même pas négligeable !

96% des cartes françaises sont compatibles et 66% des boutiques en ligne utilisent un système permettant cette authentification.

Les paiements sur AssoConnect font partie des 35% des logiciels de paiements en ligne protégés par 3D-Secure.

Nous avons fait le choix du 3D-Secure même pour les tout petits montants pour plusieurs raisons :

  • Un utilisateur a 13 mois pour faire opposition sur un paiement ce qui peut être une très mauvaise surprise pour une association une fois les dépenses réalisées,
  • Cela n'a pas d'impact sur la réalisation du paiement, le taux d'abandon est même moins fort que pour un paiement sans 3D-Secure

paiement en ligne securite carte association adherent assoconnect

Quelques conseils à donner à vos adhérents sur le paiement en ligne

Un homme averti en vaut deux.

Voici donc nos conseils, qui s'appliquent évidemment dans le cadre de paiements pour votre association, mais également pour tous les paiements en ligne.

  • Avant de saisir des informations confidentielles comme votre numéro de carte ou vos identifiants de connexion, vérifiez que la connexion de votre navigateur est bien cryptée ! Les navigateurs modernes affichent un petit cadenas vert fermé à côté du lien de la page, signe que personne ne peut intercepter votre saisie lors de la soumission du formulaire.

paiement en ligne securite association assoconnect

  • Vous pouvez gratter le code à 3 chiffres au dos de votre carte bancaire après l’avoir mémorisé, ou le masquer à l’aide d’une pastille adhésive pour qu’il ne soit pas vu et mémorisé à votre insu.

  • Vérifiez que votre date de naissance n’est pas librement accessible sur Facebook.
  • Verrouillez votre téléphone avec un code secret : le voleur de votre sac à main ne pourra pas acheter en ligne sur un site utilisant le code 3D-Secure reçu sur le mobile.
  • Attention à ne pas installer d’applications sur votre smartphone hors des boutiques en ligne officielles d’Apple (Apps Store), Google (Google Play) ou Microsoft (Microsoft Store). Certaines applications a priori inoffensives cachent en réalité des programmes espions capables de lire vos SMS et donc de récupérer le code 3D-Secure ! Le phénomène Pokemon Go a été par exemple l’occasion pour certains joueurs impatients de l’arrivée en France du jeu de se laisser tenter par des contrefaçons de l’application.

paiement en ligne securite carte association adherent assoconnect

Le paiement sans contact pour votre association

Le paiement sans contact est relativement sûr comme moyen d’encaissement puisque son taux de fraude de 0,019% se situe entre le paiement de proximité (0,009%) et le paiement en ligne (0,228%).

La fraude intervient presque exclusivement en cas de perte ou de vol de la carte. La loi protège ici aussi l’utilisateur puisqu’il est intégralement remboursé et dispose du même délai de 13 mois pour faire opposition.

Cette question ne se pose pas sur AssoConnect mais rien ne vous empêche de l’utiliser pour les paiements de petits montants inférieurs à 20€. Il vous faudra tout de même louer un TPE (Terminal de Paiement Electronique) auprès de votre banque.

paiement en ligne securite carte association adherent assoconnect

Voilà, vous savez maintenant comment collecter de l'argent en ligne pour votre association en toute sérénité. Vous n'avez plus d'excuses pour ne pas le tester auprès de vos adhérents ou donateurs ! ;)

Sources  : Rapport annuel 2015 de l’Observatoire de la sécurité des cartes de paiement, un organisme de la Banque de France

Liste des établissements habilités par l'ACPR à exercer en France