# Mandat 3DS au Japon

Dernière mise à jour le 25&nbsp;juin&nbsp;2025
Le 15&nbsp;mars&nbsp;2024, un ensemble de lignes directrices sectorielles décrivant les mesures de sécurité applicables aux entreprises qui effectuent des paiements par carte au Japon, les «&nbsp;Credit Card Security Guidelines&nbsp;», a été révisé (voir [Credit Card Security Guidelines Version 6.0](https://www.meti.go.jp/press/2024/03/20250305002/20250305002.html)).
Les Directives relatives à la sécurité des cartes de crédit stipulent que les marchands qui effectuent des ventes en ligne (utilisateurs de Stripe) doivent activer le protocole d’authentification&nbsp;3D&nbsp;Secure d'ici fin mars&nbsp;2025 afin de lutter contre la fraude. Cela s’applique à toutes les entreprises japonaises qui acceptent des paiements en ligne au niveau national et international.
[L'authentification&nbsp;3D&nbsp;Secure (3DS)](https://stripe.com/jp/guides/3d-secure-2) est un dispositif qui fournit une couche supplémentaire d'authentification pour les paiements par carte bancaire et dégage les entreprises de toute responsabilité en cas de paiements par carte frauduleux.
## Calendrier de déploiement de l'authentification&nbsp;3DS de Stripe
En janvier&nbsp;2025, Stripe a commencé à exiger 3DS sur un petit pourcentage de paiements, jusqu'à atteindre 100&nbsp;% des paiements le 31&nbsp;mars&nbsp;2025, à l'exclusion des paiements qui sont exemptés de l'exigence&nbsp;3DS.
Certains paiements par carte bancaire sur les anciennes API qui ne prennent pas en charge 3DS (API Charges et API Orders) renvoient des échecs de paiement depuis avril&nbsp;2025. D'ici le 30&nbsp;juin&nbsp;2025, tous les paiements par carte bancaire sur ces API échoueront.
## Paiements applicables
Dans certains cas, vous pouvez décider d'appliquer ou non l'authentification&nbsp;3DS. Lorsque les paiements sont effectués sans l'authentification&nbsp;3DS en utilisant une exemption, le transfert de responsabilité pour les paiements frauduleux ne s'applique pas. Veuillez consulter notre [documentation](https://docs.stripe.com/payments/3d-secure/japan-exemptions) pour voir comment Stripe met en œuvre les exemptions relatives à l'authentification&nbsp;3DS.
## Vérifiez votre intégration
Nous vous recommandons d'utiliser des numéros de cartes tests de Stripe pour vérifier que votre intégration fonctionne avec l'authentification&nbsp;3DS. Pour en savoir plus sur les tests, consultez notre [documentation](https://stripe.com/docs/testing#regulatory-cards).
### Si vous utilisez l'API Charges ou l'API Orders
Ni l'[API Charges](https://stripe.com/docs/payments/charges-api), ni l'API Orders ne prennent en charge l'authentification&nbsp;3D&nbsp;Secure&nbsp;2. Par conséquent, si votre compte utilise ces anciennes API, les paiements par carte bancaire échoueront. Nous vous recommandons de [migrer vers l'API Payment Intents](https://stripe.com/docs/payments/payment-intents/migration) dès que possible pour éviter les échecs.
### Si vous utilisez l'API Payment Intents
Vous devez vous assurer que votre intégration peut gérer l'état [`requires_action`](https://docs.stripe.com/api/payment_intents/object#payment_intent_object-status) pour inviter vos clients à authentifier leurs paiements. Il est possible que vous deviez [mettre à jour votre intégration pour gérer l'authentification des cartes](https://docs.stripe.com/payments/3d-secure/authentication-flow).
De même, si vous [finalisez les paiements sur le serveur](https://docs.stripe.com/payments/finalize-payments-on-the-server?platform=web&type=payment#submit-payment), vous devrez prendre des mesures supplémentaires pour afficher le flux d'authentification&nbsp;3DS côté client. Consultez ce [guide](https://docs.stripe.com/payments/3d-secure/authentication-flow#confirm-payment-intent) pour en savoir plus.
### Si vous utilisez Billing
Voir «&nbsp;Que faire si j'accepte les abonnements?&nbsp;» ci-dessous.
### Si vous utilisez Billing avec une version de l'API antérieure à la version 2019-03-04
Vous devrez soit passer à la version [2019-03-14](https://docs.stripe.com/upgrades#2019-03-14) ou à une version plus récente de l'API, soit utiliser le paramètre [`payment_behavior`](https://docs.stripe.com/api/subscriptions/create#create_subscription-payment_behavior) comme décrit dans [ce guide](https://docs.stripe.com/billing/migration/strong-customer-authentication#scenario-1) pour vous assurer que les paiements initiaux des abonnements de vos clients sont authentifiés.
Si vous utilisez Stripe au moyen d'une intégration ou d'une plateforme tierce, vous devrez vous renseigner directement auprès de cette dernière pour savoir si elle est prête.
## Communiquer avec vos clients
Soyez prêt(e) à répondre aux questions de vos clients sur l'authentification&nbsp;3DS. De plus, si nécessaire, assurez-vous que votre contenu d'assistance destiné à vos clients décrive les exigences liées à l'authentification&nbsp;3DS.
## Utilisation de Radar et de Radar for Fraud Teams
Stripe Radar aide à prévenir la fraude en analysant les données de paiement de plus d'un million d'entreprises dans le monde et en détectant et bloquant les paiements frauduleux. Radar utilise l'apprentissage automatique pour effectuer des évaluations des risques fondées sur des centaines d'indicateurs, notamment le type de carte, le pays d'utilisation, l'appareil et le comportement. Stripe propose [trois règles Radar par défaut](https://stripe.com/docs/payments/3d-secure?platform=web#three-ds-radar) qui nécessitent l'utilisation dynamique de l'authentification&nbsp;3DS. En définissant ces règles dans le Dashboard, une authentification supplémentaire peut être demandée aux clients lorsque l'entreprise émettrice de leur carte exige l'authentification&nbsp;3DS.
Grâce à Radar for Fraud Teams, qui permet de définir des règles personnalisées, les entreprises peuvent adapter leurs propres paramètres de gestion des risques pour l'authentification&nbsp;3DS. Les [requêtes relatives à l'authentification&nbsp;3DS](https://stripe.com/docs/payments/3d-secure?platform=web#custom-rules-for-3d-secure-and-liability-shift) peuvent être fondées sur des niveaux de risque ou des métadonnées spécifiques, ce qui permet d'éviter le blocage excessif des paiements légitimes, de réduire le taux de refus de paiement et de maximiser les revenus.
L'utilisation de Radar peut contribuer à atténuer la perte de conversion tout en permettant de prendre des mesures contre la fraude fondées sur le risque. De plus, Radar peut être utilisé pour effectuer l'analyse de risque requise pour les paiements par carte effectués par le client.
# FAQ
## Les transactions en personne par carte bancaire sont-elles concernées?
Les transactions pour lesquelles une carte physique est utilisée en personne ne sont pas concernées.
## Au Japon, les marchands sont tenus d'adopter des mesures de sécurité en vertu de la loi Installment Sales Act, mais des sanctions sont-elles prévues si les marchands ne respectent pas ces exigences?
Aucune amende n'est prévue, mais une enquête peut être menée par Stripe ou l'acquéreur, qui peuvent demander au marchand d'adopter les mesures de sécurité appropriées pour empêcher toute utilisation frauduleuse et protéger les numéros de carte de crédit, s'il ne l'a pas fait. Si, malgré ces instructions, le marchand n'adopte pas les mesures de sécurité requises, il peut être radié de la liste des marchands.
## L'utilisation de l'authentification&nbsp;3DS entraîne-t-elle des frais?
Dans la plupart des cas, l'utilisation de l'authentification&nbsp;3DS n'entraîne pas de frais supplémentaires. Toutefois, si votre compte dispose d'un plan tarifaire personnalisé, il est possible que vous ayez à payer des frais pour chaque tentative d'authentification&nbsp;3DS.
## Que se passe-t-il si j'utilise Stripe au moyen d'une intégration tierce?
Si vous utilisez Stripe au moyen d'une intégration ou d'un module d'extension tiers, il est possible que vous deviez encore apporter des modifications à votre système pour vous conformer aux nouvelles exigences de l'authentification&nbsp;3DS. Les étapes exactes dépendent de la mise en œuvre de votre fournisseur tiers. Nous vous recommandons de contacter votre fournisseur de logiciels tiers ou de modules d'extension dès que possible pour confirmer qu'il se prépare à respecter ces réglementations et pour comprendre les mises à jour que vous pourriez avoir à faire de votre côté.
## Comment vérifier que 3DS fonctionne correctement?
Vous pouvez utiliser une clé API et des [cartes de test](https://docs.stripe.com/testing#regulatory-cards) pour créer des transactions de test. En utilisant des cartes de test qui nécessitent une authentification, vous pouvez valider l'authentification&nbsp;3DS. Stripe n'offre pas d'environnement spécial pour tester les règles du mandat&nbsp;3DS du Japon et notre équipe d'assistance n'est pas en mesure de vérifier votre intégration pour vous.
## L'authentification&nbsp;3DS est-elle obligatoire même si j'accepte des paiements de clients hors du Japon?
Pour les comptes au Japon, vous devez vous conformer aux nouvelles exigences&nbsp;3DS pour les cartes nationales et internationales.
## Cette obligation s’applique-t-elle aux entreprises situées en dehors du Japon qui vendent à des clients au Japon?
Non, les comptes établis hors du Japon ne sont pas soumis à ces exigences.
## Comment déclencher manuellement une authentification&nbsp;3DS?
Même s'il existe des [exceptions à l'authentification&nbsp;3DS](https://docs.stripe.com/payments/3d-secure/japan-exemptions), il est parfois préférable d'effectuer un [transfert de responsabilité](https://docs.stripe.com/payments/3d-secure/authentication-flow#disputed-payments) en déclenchant manuellement le flux d'authentification&nbsp;3DS en cas de suspicion de fraude. Pour ce faire, utilisez des règles Radar dans le Dashboard ou faites appel à l'API.
* Stripe propose des [règles Radar par défaut](https://docs.stripe.com/radar/rules#request-3d-secure). Vous pouvez également ajouter des [règles&nbsp;3DS personnalisées](https://docs.stripe.com/radar/rules#request-3d-secure) à l'aide de Radar for Teams.
* Avec l'API, lors de la création ou de la confirmation d'un PaymentIntent ou d'un SetupIntent, ou lors de la création d'une session Checkout, vous pouvez définir [payment_method_options[card][request_three_d_secure]](https://docs.stripe.com/api/payment_intents/create#create_payment_intent-payment_method_options-card-request_three_d_secure) à any ou challenge en fonction de votre objectif d'optimisation pour déclencher manuellement l'authentification&nbsp;3DS.
## L'authentification est-elle déclenchée dans le cadre d'un flux complexe ou simple?
En principe, cela dépend de l'évaluation des risques effectuée par l'émetteur de la carte.
* Le flux complexe est une authentification supplémentaire qui a lieu lorsque la transaction est considérée comme présentant un risque élevé. En général, un mot de passe à usage unique est envoyé par courriel par l'émetteur de la carte au titulaire de la carte, qui le saisit ensuite dans l'écran de paiement.
* Si l'émetteur de la carte estime que la transaction présente un risque faible, il peut choisir de ne pas exiger d'authentification supplémentaire; c'est ce que l'on appelle le flux simple.
Les deux scénarios entraînent un [transfert de responsabilité](/questions/liability-shift-with-frictionless-flow-for-3d-secure-v2-%283ds2%29). Si vous souhaitez préciser le flux complexe dans l'API Payment Intents, définissez «&nbsp;[request_three_d_secure](https://docs.stripe.com/api/payment_intents/create#create_payment_intent-payment_method_options-card-request_three_d_secure)&nbsp;» à challenge.
## Comment dois-je collecter à l'avance les informations de carte des clients et les facturer ultérieurement?
Si votre activité nécessite d'enregistrer les informations des cartes à l'avance, vous devrez vérifier que le client qui se connecte est bien le titulaire du compte. Vous devez mettre en place une gestion stricte des comptes et prendre des mesures contre les connexions non autorisées.
Vous pouvez utiliser l'[API Setup Intents](https://docs.stripe.com/api/setup_intents), qui permet à Stripe de déclencher automatiquement l'authentification&nbsp;3DS dans les conditions suivantes, ou utiliser le [mode configuration](https://docs.stripe.com/payments/checkout/save-and-reuse) dans Checkout pour déclencher l'authentification&nbsp;3DS par défaut lors de l'enregistrement de la carte.
* usage: off_session (par défaut)
* usage: on_session & payment_method_options.card.request_three_d_secure: any
Si l'authentification&nbsp;3DS a été effectuée lors de l'enregistrement de la carte, elle ne sera plus exigée pour les transactions suivantes. Toutefois, pour chaque transaction, vous devez évaluer le risque de fraude en fonction du montant de la transaction, des biens/services, des attributs et de l'analyse comportementale. Si vous le jugez nécessaire, procédez à une nouvelle authentification&nbsp;3DS. Dans ce cas, utilisez à nouveau l'API Setup Intents.
## Que dois-je faire si mon modèle économique implique des paiements ponctuels de la part de mes clients?
Tout d'abord, veuillez vérifier que votre flux de paiement existant fonctionne correctement avec les [cartes de test&nbsp;3DS](https://docs.stripe.com/testing#regulatory-cards).
- Checkout/Payment Links
- Aucune modification requise
---
- API Payment Intents
- Vérifiez que vous pouvez traiter les paiements à l'état «&nbsp;[requires_action](https://docs.stripe.com/payments/3d-secure/authentication-flow#when-to-use-3d-secure)&nbsp;».
---
- Facturation
- Aucune modification requise
---
- API Charges
- [Migration vers l'API Payment Intents](https://stripe.com/docs/payments/payment-intents/migration) requise
---
- Le Dashboard.
- [Checkout](https://docs.stripe.com/payments/checkout) ou Invoicing sans codage recommandé
---
- Billing
- Voir «&nbsp;Que faire si j'accepte les abonnements?&nbsp;» ci-dessous.
Même si aucune action supplémentaire n'est nécessaire de votre part, il est conseillé de vérifier que votre système [accepte l'authentification&nbsp;3DS](https://docs.stripe.com/payments/3d-secure/authentication-flow).
## Que dois-je faire si j'accepte les abonnements?
Tout d'abord, veuillez vérifier que votre flux de paiement existant fonctionne correctement avec les [cartes de test&nbsp;3DS](https://docs.stripe.com/testing#regulatory-cards).
* Si vous souhaitez déclencher l'authentification&nbsp;3DS lors de la saisie des données de la carte, veuillez vous référer à la section «&nbsp;Comment dois-je collecter à l'avance les informations de carte des clients et les facturer ultérieurement?&nbsp;».
* Si vous ne déclenchez pas l'authentification&nbsp;3DS lors de la saisie des données de la carte et que vous souhaitez la déclencher lors du premier paiement, définissez usage à on_session.
Si vous utilisez l'API Subscriptions et ne créez pas manuellement un objet SetupIntent après la saisie de la carte, il sera créé pour vous si l'authentification&nbsp;3DS est requise. Vous devrez [gérer cette opération](https://docs.stripe.com/billing/subscriptions/overview#authentication-failures) sur votre application frontale pour permettre à votre utilisateur de terminer l'authentification&nbsp;3DS.
Pour les paiements récurrents, si l'authentification&nbsp;3DS a été effectuée au moment de l'enregistrement de la carte ou du premier paiement, elle ne sera pas obligatoire pour les paiements ultérieurs. Vous n'aurez donc pas à effectuer l'authentification&nbsp;3DS. Cependant, en cas d'interactions avec le client relatives à des modifications contractuelles ou à des achats supplémentaires, vous devrez à nouveau procéder à l'authentification&nbsp;3DS.