Retour
Sylvain FABRE
Le 6 septembre 2016
Paiement en ligne : comment sécuriser votre association et vos adhérents ?

Paiement en ligne : comment sécuriser votre association et vos adhérents ?

Cela fait quelques rentrées associatives que vous souhaitez gérer vos adhésions en ligne. Une partie de vos membres le réclame et cela simplifierait la gestion des encaissement !  



Vous êtes prêt à sauter le pas... Mais vous avez un doute. Vous avez entendu toutes sortes d’horreurs sur le paiement en ligne et ne voulez donc pas prendre de risque pour l'association. 



Comment protéger votre association et vos adhérents ? Quelles sont les meilleures pratiques à adopter ? 



 



L'encaissement pour compte de tiers



Avant de nous attaquer à la sécurité des paiements en eux-mêmes, il vous faut d'abord vérifier que l'organisme par lequel vous passez pour collecter de l'argent est bien habilité à faire de l'encaissement pour compte de tiers.



Rien de mieux qu’un bon exemple pour comprendre : étudions ensemble ce que nous faisons chez AssoConnect.



Nous recevons des paiements avec 2 usages très différents :




  • Les paiements des abonnements à AssoConnect : les fonds reçus nous appartiennent
  • Les paiements des adhésions, dons et ventes en ligne : ces fonds appartiennent aux associations


Dans le 1er cas, nous agissons comme un acteur classique de e-commerce et les fonds collectés arrivent sur notre compte en banque. C’est exactement ce qui se passe quand vous achetez en ligne un ordinateur vendu par la FNAC sur le site de la FNAC.



Le 2ème cas correspond à de l’encaissement pour compte de tiers : les fonds reçus arrivent sur un porte-monnaie électronique au nom de l’association, cagnotte ouverte chez S-Money, un intermédiaire légalement autorisé par la Banque de France et appartenant à la BPCE (Banque Populaire & Caisse d’Epargne).



Ce schéma de fonctionnement est très réglementé par la loi pour lutter contre le blanchiment d’argent et le financement du terrorisme. Heureusement, il est facile de vérifier qu’un établissement est agréé en se rendant sur le site de l’ACPR (Autorité de Contrôle Prudentiel et de Résolution). On peut voir que S-Money est bien dans la liste au 1er janvier 2017 :





 



Comment ça marche concrètement ? 



Schéma de l'encaissement pour compte de tiers




  1. Un utilisateur arrive sur le site de l’association et consulte la billetterie hébergée par AssoConnect
  2. L’utilisateur paie en ligne sur S-Money et alimente le porte-monnaie de l’association
  3. L’association récupère ses fonds en demandant un virement sur son compte en banque


AssoConnect encaisse de l’argent de vos adhérents pour votre compte : vous êtes le "tiers" du terme "encaissement pour compte de tiers".



Ce système nous permet de prélever les frais de paiement et vous reverser le produit de vos ventes. Ce mécanisme est également un gage de sécurité pour vous :




  • Les fonds collectés ne transitent à aucun moment par notre compte en banque
  • Nous n’avons pas le droit de les utiliser : aucun risque de les voir disparaître suite à un investissement malheureux
  • Ils restent disponibles même en cas de cession d'activité d’AssoConnect 
  • La Banque de France distingue les flux de chaque association : pas de risque de cafouillage !


Cette solution avec notre système de collecte via de l’encaissement pour compte de tiers est probablement bien plus simple pour vous plutôt que d’ajouter une casquette e-commerce à votre association :




  • Pas de contrat à signer ni de tarifs à négocier avec votre banque
  • Vous bénéficiez de l’effet de groupe de toutes nos associations : ensemble nos flux financiers sont plus importants donc nous obtenons des tarifs plus intéressants sur la billetterie
  • Pas d’intégration technique à prévoir pour utiliser un système de paiement en ligne


Regardons maintenant comment vous pouvez sécuriser votre association et vos adhérents.



 



Comment sécuriser votre association ? 



Depuis son apparition en 1914 sous forme métallique chez Western Union, 72 millions de cartes françaises ont été utilisées pour dépenser près de 600 milliards d’euros en 2016.



En France, depuis l’entrée en vigueur le 1er novembre 2009 de l’ordonnance du 15 juillet 2009 relative aux services de paiement, la banque a l’obligation de rembourser intégralement le porteur de carte en cas de vol de sa carte bancaire ou de paiement frauduleux sur Internet.



J’en profite donc au passage pour vous rappeler qu’une assurance en option de ses moyens de paiement est donc très probablement inutile en plus d’être généralement assez chère ! Heureusement pour le système, le taux de fraude est très faible : de l’ordre de  0,07% en 2015 mais représente tout de même plus de 400 millions d’euros !



Puisque la loi protège le client, que le voleur s’est envolé avec les fonds, il ne reste plus que la banque et le commerçant – nous – pour éponger l’ardoise.



Tout l’enjeu pour nous est de prouver que nous avons vérifié l’identité du client avant d’accepter le paiement.



A moins d’utiliser une carte américaine où l’on demandera une signature, vos adhérents ont l’habitude de taper leur code secret à chaque opération avec leur carte : retrait dans un distributeur, paiement sur un TPE (Terminal de Paiement Electronique),… Ce code secret suffit pour prouver qu’il n’est pas un bandit et donc demander une carte d’identité devient inutile.



Sur Internet, ce code à 4 chiffres est remplacé par celui à 3 chiffres qui se trouve au dos de la carte. Il n'est pas très confidentiel, impossible donc de vérifier qui se trouve devant l’écran.



On a donc inventé le système 3D-Secure où l’on demande une information en plus. Vous avez sûrement déjà rencontré ce genre d'écran :



Exemple de 3D secure



L'information demandée peut être la date de naissance (à moins d’être une célébrité, peu de monde la connait et vos amis qui vous souhaitent un joyeux anniversaire sont a priori dignes de confiance !) ou un code reçu sur le mobile.



Contrairement à une idée reçue, vos adhérents n’en tirent aucun avantage en termes de sécurité puisque la loi fait déjà le nécessaire : votre association, et AssoConnect au passage, sont les uniques heureux bénéficiaires de cette protection, ce qui est n’est quand même pas négligeable !



96% des cartes françaises sont compatibles et 66% des boutiques en ligne utilisent un système permettant cette authentification.



Les paiements sur AssoConnect font partie des 35% des logiciels de paiements en ligne protégés par 3D-Secure.



Nous avons fait le choix du 3D-Secure même pour les tout petits montants pour plusieurs raisons :




  • Un utilisateur a 13 mois pour faire opposition sur un paiement ce qui peut être une très mauvaise surprise pour une association une fois les dépenses réalisées
  • Cela n'a pas d'impact sur la réalisation du paiement, le taux d'abandon est même moins fort que pour un paiement sans 3D-Secure


 



Quelques conseils à donner à vos adhérents



Un homme averti en vaut deux, voici donc nos conseils, qui s'appliquent évidemment dans le cadre de paiements pour votre association, mais également pour tous les paiements en ligne.





  • Avant de saisir des informations confidentielles comme votre numéro de carte ou vos identifiants de connexion, vérifiez que la connexion de votre navigateur est bien cryptée ! Les navigateurs modernes affichent un petit cadenas vert fermé à côté du lien de la page, signe que personne ne peut intercepter votre saisie lors de la soumission du formulaire.



    HTTPS



  • Vous pouvez gratter le code à 3 chiffres au dos de votre carte bancaire après l’avoir mémorisé, ou le masquer à l’aide d’une pastille adhésive pour qu’il ne soit pas vu et mémorisé à votre insu.
  • Vérifier que votre date de naissance n’est pas librement accessible sur Facebook.
  • Verrouillez votre téléphone avec un code secret : le voleur de votre sac à main ne pourra pas acheter en ligne sur un site utilisant le code 3D-Secure reçu sur le mobile
  • Attention à ne pas installer d’applications sur votre smartphone hors des boutiques en ligne officielles d’Apple (Apps Store), Google (Google Play) ou Microsoft (Microsoft Store). Certaines applications a priori inoffensives cachent en réalité des programmes espions capables de lire vos SMS et donc de récupérer le code 3D-Secure ! Le phénomène Pokemon Go a été par exemple l’occasion pour certains joueurs impatients de l’arrivée en France du jeu de se laisser tenter par des contrefaçons de l’application.


 



Le paiement sans contact



Le paiement sans contact est relativement sûr comme moyen d’encaissement puisque son taux de fraude de 0,019% se situe entre le paiement de proximité (0,009%) et le paiement en ligne (0,228%).



La fraude intervient presque exclusivement en cas de perte ou de vol de la carte. La loi protège ici aussi l’utilisateur puisqu’il est intégralement remboursé et dispose du même délai de 13 mois pour faire opposition.



Cette question ne se pose pas sur AssoConnect mais rien ne vous empêche de l’utiliser pour les paiements de petits montants inférieurs à 20€. Il vous faudra tout de même louer un TPE (Terminal de Paiement Electronique) auprès de votre banque.



 



Voilà, vous savez maintenant comment collecter de l'argent en ligne pour votre association en toute sérénité. Vous n'avez plus d'excuses pour ne pas le tester auprès de vos adhérents ou donateurs ! ;)





Vous utilisez déjà le paiement en ligne pour collecter les cotisations de vos adhérents ?

Expliquez-nous ce que cela vous a apporté dans les commentaires !



Sources  : 

Rapport annuel 2015 de l’Observatoire de la sécurité des cartes de paiement, un organisme de la Banque de France

Liste des établissements habilités par l'ACPR à exercer en France : https://acpr.banque-france.fr/fileadmin/user_upload/acp/publications/registre-officiel/201601_liste__EME.pdf



Designed by Freepik



 

Découvrez davantage d'articles sur ces thèmes :
Sécurité Adhésions
cta

Besoin d'un logiciel complet ?

Sur AssoConnect, tous vos outils de gestion et de communication sont centralisés en un seul endroit.

Tester gratuitement
0 commentaire(s)
Aucun commentaire pour le moment.
Consultez également
Comment passer une rentrée sportive sereine ?

Comment passer une rentrée sportive sereine ?

Cette présentation s'adresse aux dirgeants d'associations sportives pour qui rentrée associative...

Sarah Bouyou
30 juin 2015
Pourquoi les cotisations en ligne sont indispensables à votre association ?

Pourquoi les cotisations en ligne sont indispensables à votre association ?

Si vous êtes responsable associatif, on parie que vous prendriez bien des vacances.Vous n’avez...

Nina Flabeau
14 août 2018
7 bonnes résolutions pour votre association

7 bonnes résolutions pour votre association

Toute l'équipe d'AssoConnect vous présente ses meilleurs voeux pour cette année 2016 ! 

Qu'elle...

Pierre GRATEAU
4 janvier 2016
Améliorations liées à la gestion des événements et adhésions - AssoConnect

Améliorations liées à la gestion des événements et adhésions - AssoConnect

Ce mois-ci, le développement s’est porté sur l’enrichissement de nos modules “adhésions” et...

Bertrand Flaujac
12 avril 2016
Votre association et la CNIL

Votre association et la CNIL

Quand une association importe sa base de membres dans AssoConnect, une question revient assez...

Pierre GRATEAU
6 décembre 2016
Comment protéger votre association sur internet ?

Comment protéger votre association sur internet ?

La sécurité sur le web est un domaine très vaste dont nous pourrions parler des heures !Nous...

Sylvain FABRE
14 décembre 2016
Les nouveautés d'AssoConnect - mars 2017

Les nouveautés d'AssoConnect - mars 2017

Les améliorations de ce mois de mars vous simplifient la visualisation des informations...

Anaïs Limpalaer
28 mars 2017
La place des mineurs dans les associations

La place des mineurs dans les associations

Les mineurs sont largement présents au sein des associations, aussi bien de loisirs, que...

Corinne Dardelet
10 octobre 2017
Découvrez OpenAsso, la plateforme collaborative du monde associatif

Découvrez OpenAsso, la plateforme collaborative du monde associatif

Temps de lecture : 6 minutesNous sommes très heureux de vous annoncer le lancement d’OpenAsso,...

Corinne Dardelet
5 juin 2018
Fermer En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies et notre Politique de Confidentialité. En savoir plus