Plan OSMP : quels impacts sur vos paiements en France ?

Depuis novembre 2024, le Plan OSMP (Observatoire de la Sécurité des Moyens de Paiement) transforme en profondeur le paysage du paiement en ligne en France. Ce programme piloté par la Banque de France impose des normes de sécurité plus strictes pour lutter contre la fraude, qui a atteint 1,2 milliard d'euros en 2024.

Le constat est sans appel : les paiements sans authentification forte (3D Secure) génèrent quatre fois plus de fraude que ceux correctement authentifiés (0,358% contre 0,095% selon le rapport OSMP). Face à cette situation, les entreprises doivent désormais adapter leurs stratégies de paiement pour rester conformes tout en préservant leur taux de conversion.

Les dirigeants, responsables financiers ou experts du paiement, sont plus que jamais invités à respecter les “best practices” dans les parcours de paiement, les choix technologiques et les relations avec les prestataires. Le but : réduire la fraude tout en conservant la meilleure conversion possible.

Payplug, solution de paiement française du groupe BPCE, vous explique comment vous pouvez transformer cette contrainte en opportunité de performance.

OSMP : de la régulation à l’application concrète

Objectif et calendrier de déploiement

Le Plan OSMP a été lancé pour répondre à l'augmentation alarmante de la fraude sur les paiements en ligne. Son objectif principal est de généraliser l'application du protocole 3D Secure (3DS) tout en permettant un usage intelligent des exemptions pour préserver l'expérience utilisateur.

Le déploiement suit un calendrier précis avec des étapes clés :

• 10 février 2025 : Limitation des paiements hors 3DS à 50€ par carte et par marchand sur 24h glissantes

• 10 avril 2025 : Abaissement du plafond à 30€

• 10 mai 2025 : Plafond à 0€ - Tous les paiements devront être authentifiés via 3DS ou bénéficier d'une exemption justifiée

La fin des régimes dérogatoires

L'un des changements majeurs concerne la suppression de l'exemption sectorielle MOTO (Mail Order/Telephone Order). Certains secteurs comme la vente par correspondance, le travel ou l'hôtellerie bénéficiaient jusqu'à présent d'exemptions généralisées pour faciliter les ventes à distance.

Cette tolérance a malheureusement été détournée de son objectif initial, avec une part croissante de la fraude se déplaçant vers ces parcours moins sécurisés. Désormais, ces exemptions sont remplacées par des dispositifs individualisés, négociés au cas par cas avec les émetteurs, notamment pour les marchands à fort volume ou considérés à risque.

Certains secteurs comme la vente par correspondance, le travel ou l’hôtellerie ont historiquement eu recours au MOTO (Mail Order / Telephone Order), des parcours où la carte est utilisée sans authentification forte. Jusqu’ici, ces transactions bénéficiaient d’une exemption généralisée pour faciliter la vente à distance.

Une transformation en profondeur des parcours de paiement

Fin du DTA (Direct to Authorisation)

Le Plan OSMP met fin à la pratique du Direct to Authorisation (DTA), une méthode historiquement utilisée par certains marchands et prestataires de paiement (PSP) mais non conforme à la réglementation DSP2. Cette approche contournait les règles pour éviter l'authentification forte et limiter les coûts liés au 3DS, entraînant une augmentation significative du taux de fraude.

Depuis mai 2025, toute transaction initiée via DTA sans authentification forte (SCA) est systématiquement rejetée en soft decline.

Pour maximiser leurs chances de bénéficier d'exemptions légitimes, les marchands doivent désormais s'assurer d'envoyer les bons champs de données pour les exemptions suivantes :

• TRA Acquéreur

• TRA Émetteur

• Low Value Payment

Renforcement des règles sur les paiements récurrents (MIT)

Les paiements récurrents ou Merchant Initiated Transactions (MIT) font l'objet d'une attention particulière :

• Chaque paiement MIT doit être lié à une transaction initiale (CIT) authentifiée via 3DS

• Les chaînages doivent être complets, validés et compréhensibles par les émetteurs

• Les identifiants vides ou génériques ne sont plus tolérés

Des contrôles renforcés interviennent depuis le second trimestre 2025, avec pour sanction : plafonnement de la vélocité à 0 € pour les commerçants non conformes.

Impact sur les paiements en un clic et cartes enregistrées

Le recours au frictionless (paiement sans authentification forte) reste possible, mais sous conditions strictes :

• L'authentification initiale doit avoir été réalisée via 3DS

• L'appel à l'émetteur doit inclure un jeu de données complet : email, IP, navigateur, nom du porteur, pays de livraison, etc.

En l'absence de ces données, l'exemption a de fortes chances d'être refusée, ce qui peut entraîner une baisse significative du taux de conversion.

Dans ce nouveau contexte, les données transactionnelles deviennent stratégiques. Leur qualité conditionne l'accès aux exemptions et, plus largement, la fluidité du parcours de paiement. L'OSMP introduit donc une dynamique nouvelle : les marchands doivent non seulement sécuriser leurs flux, mais aussi les rendre lisibles et exploitables par les émetteurs.

Comment adapter votre stratégie de paiement aux recommandations de l’OSMP ?

Les marchands doivent passer d’une logique de mise en conformité passive à une approche proactive d’optimisation des flux. Il ne s’agit plus seulement de comprendre les règles, mais d’adapter vos outils, contrats et process. Le but est de maintenir un haut niveau de performance dans un cadre réglementaire plus exigeant.

Intégrer le 3-D Secure dans les parcours dès l’initiation

La disparition progressive du DTA impose une remise à plat des logiques d’authentification. Il est essentiel de ne plus contourner la route 3DS et de s’assurer que les bonnes informations sont transmises afin de pouvoir bénéficier d’exemption.

Cette bascule implique de réévaluer la gestion de l'authentification. Pour cela, il faut optimiser la gestion des données et s'assurer de pouvoir communiquer avec les serveurs d'authentifications les plus appropriés selon le type de transactions et de cartes utilisées par le client.

Mettre en conformité les paiements récurrents (MIT)

Pour les paiements MIT, l’enjeu est désormais la traçabilité. Chaque flux récurrent doit être rattaché à une CIT d’origine authentifiée, via un chaînage clair, conforme et techniquement lisible par les émetteurs.

Les actions à entreprendre incluent :

• Revoir l'historique des mandats existants

• Identifier les cas à risque (chaînage incomplet, grandfathering, PSP multiples)

• Planifier les correctifs nécessaires

• Dans certains cas, reconstruire partiellement les parcours ou procéder à une re-tokenisation

Structurer ses données pour mieux dialoguer avec les émetteurs

L’OSMP renforce une tendance de fond : l’accès au frictionless ne dépend plus seulement du scoring du PSP, mais aussi de la qualité des données transmises à l’émetteur.

Les éléments clés à enrichir et normaliser (dans le respect du RGPD) incluent :

• Email

• Informations sur le navigateur

• Nom du porteur

• Adresse IP

• Pays de livraison. 

Ce travail implique une collaboration entre les équipes techniques, paiement, fraude et parfois CRM. C'est ce socle de données qui permettra d'obtenir des taux de frictionless stables ou de négocier des seuils de tolérance spécifiques avec certains émetteurs.

Anticiper les discussions contractuelles à venir

Enfin, cette nouvelle ère du paiement s’accompagne d’une individualisation croissante des règles :

• Exemptions MOTO négociées au cas par cas

• Seuils de vélocité personnalisés

• Stratégies de retry post-decline adaptées par acteur

Il devient donc stratégique de s'associer à un PSP capable de négocier directement avec les émetteurs, d'anticiper les évolutions réseau, et d'apporter de la transparence sur le traitement des flux. Le choix du prestataire joue ici un rôle déterminant dans votre performance globale

Payplug vous accompagne dans l’application du plan OSMP

Payplug, PSP français appartenant au Groupe BPCE, est directement connecté au réseau CB et entretient des relations étroites avec les émetteurs français. Cette position privilégiée nous permet d'offrir à nos clients une lecture opérationnelle précise des recommandations OSMP et surtout de les accompagner avec des outils concrets.

Notre approche globale pour optimiser votre performance

Nos solutions comprennent :

• Un moteur d’authentification 3DS intelligent, basé sur les règles CB et les meilleures pratiques françaises. Nous appliquons 3DS de manière systématique, avec une logique d’optimisation des exemptions frictionless grâce à notre module Fraud Premium.
  
• Une gestion avancée des MIT, avec vérification des chaînages, gestion des tokens, et surveillance des données entrantes. Nous accompagnons nos clients dans la mise en conformité progressive de leurs abonnements existants.
  
• Un routage optimisé via le réseau CB, avec priorisation des flux à coût réduit, notamment grâce à notre intégration avec FastPass. Cela permet de maximiser les taux d’acceptation tout en réduisant les frais d’interchange.
  
• Une compatibilité native avec Safe’R, la solution d’authentification forte de CB, rendue possible grâce à notre capacité à capter et traiter les données transactionnelles depuis notre propre solution.
  

Notre appartenance au Groupe BPCE, qui représente 20% du marché français, nous donne une visibilité directe sur les problématiques de processing et de compliance. Cela nous permet d’agir rapidement en cas d’incident ou d’évolution réglementaire.

Conclusion : de la conformité à la performance

Le plan OSMP vise à faire respecter les règles déjà en place, notamment celles issues de la DSP2. Son objectif : forcer l’usage systématique du 3-D Secure dans les parcours de paiement à distance.

Ce qui était jusqu’ici toléré — exemptions généralisées, flux sans authentification forte — ne l'est plus. Depuis mai 2025, seuls les paiements conformes aux exigences d’authentification ou d’exemption clairement justifiée sont acceptés.

Dans ce nouveau cadre, il est essentiel de revoir ses parcours de paiement, la qualité des données transmises et ses relations avec les PSP pour rester performant tout en respectant les règles.

Travailler avec un acteur ancré dans l’écosystème français, qui connaît les attentes des émetteurs, les comportements des réseaux domestiques, et les dynamiques propres au marché CB, devient un facteur différenciant.

Vous souhaitez faire le point sur vos parcours ou bénéficier d’un accompagnement adapté au contexte français ? Contactez les experts Payplug.