Plan OSMP : quels impacts sur vos paiements en France ?

Depuis novembre 2024, le paysage du paiement en ligne en France évolue rapidement sous l’impulsion du Plan OSMP, un programme piloté par l’Observatoire de la Sécurité des Moyens de Paiement et supervisé par la Banque de France.

Alors que les premières échéances réglementaires sont déjà en vigueur, les entreprises doivent désormais s’adapter à une réglementation plus exigeante, qui renforce les standards de sécurité pour les paiements à distance.

Pour les dirigeants, responsables financiers ou experts du paiement, cette évolution implique de respecter les “best practice” dans les parcours de paiement, les choix technologiques et les relations avec les prestataires. 

Dans cet article, nous analysons du durcissement des règles sur votre stratégie de paiement, et comment Payplug, en tant que solution de paiement française appartenant au Groupe BPCE, vous aide à appréhender cette contrainte réglementaire afin de réduire la fraude tout en conservant la meilleure conversion possible.

1. OSMP : de la régulation à l’application concrète

Lancée pour répondre à l’augmentation de la fraude sur les paiements en ligne, l’initiative RTS¹ vise à généraliser l’application du protocole 3-D Secure (3DS), tout en encourageant l’usage intelligent des exemptions pour préserver l’expérience utilisateur. Le constat de départ est clair : en 2023, les paiements sans 3DS ont généré quatre fois plus de fraude que ceux authentifiés (0,358 % contre 0,095 %)¹.

Depuis le 10 février 2025, les paiements initiés hors 3DS sont limités à un plafond de 50 euros par carte et par marchand sur 24h glissantes. Ce seuil est descendu à 30 euros le 10 mars, et tombera à 0 euro dès le 10 avril¹.

Seules certaines transactions pourront encore bénéficier d’une exemption dite "frictionless", à condition que l’émetteur juge le niveau de risque suffisamment bas.

Autre changement majeur : la fin des régimes dérogatoires comme l’exemption sectorielle MOTO. 

Certains secteurs comme la vente par correspondance, le travel ou l’hôtellerie ont historiquement eu recours au MOTO (Mail Order / Telephone Order), des parcours où la carte est utilisée sans authentification forte. Jusqu’ici, ces transactions bénéficiaient d’une exemption généralisée pour faciliter la vente à distance.

Mais cette tolérance a fini par dévier de son objectif initial : une part croissante de la fraude s’est déplacée vers ces parcours, perçus comme plus vulnérables.

Cette exemption va prendre fin. Les régimes dérogatoires comme l’exemption sectorielle MOTO sont supprimés et remplacés par des dispositifs individualisés, négociés au cas par cas avec les émetteurs — notamment pour les marchands à fort volume ou considérés à risque. L’objectif : rétablir un cadre de confiance en imposant l’authentification forte là où elle faisait jusqu’à présent exception.

2. Une transformation en profondeur des parcours de paiement

L’un des premiers effets visibles du plan OSMP concerne l’usage du DTA (Direct to Authorisation), une méthode historiquement utilisée par certains marchands et PSP mais non conforme avec la régulation DSP2. Cette méthode contourne les règles pour éviter l’authentification forte et limiter les coûts liés au 3DS entrainant une augmentation du taux de fraude.

Fin du DTA (Direct to Authorisation)

À partir d’avril 2025, toute transaction initiée via DTA sans authentification forte (SCA) sera systématiquement rejetée en soft decline.

Les marchands doivent s'assurer d'envoyer les bons champs de données pour avoir un maximum de chance de bénéficier des exemptions : TRA Acquéreur, TRA Émetteur, Low Value Payment.

Renforcement des règles sur les paiements récurrents (MIT)

Chaque paiement MIT devra être lié à une transaction initiale (CIT) authentifiée via 3DS.
Les chaînages doivent être complets, validés et compréhensibles par les émetteurs. Les identifiants vides ou génériques ne sont plus tolérés.

Des contrôles renforcés sont attendus à partir du second trimestre 2025, avec pour sanction : plafonnement de la vélocité à 0 € pour les commerçants non conformes.

Impact sur les paiements en un clic et cartes enregistrées

Le recours au frictionless reste possible, mais uniquement si :

• L’authentification initiale a bien été réalisée via 3DS
• L’appel à l’émetteur inclut un jeu de données complet : email, IP, navigateur, nom du porteur, pays de livraison, etc.
• En l’absence de ces données, l’exemption a de fortes chances d’être refusée, ce qui peut entraîner une baisse du taux de conversion.

Dans ce nouveau contexte, les données transactionnelles deviennent stratégiques. Leur qualité conditionne l’accès aux exemptions et, plus largement, la fluidité du parcours de paiement. L’OSMP introduit donc une dynamique nouvelle : les marchands doivent non seulement sécuriser leurs flux, mais aussi les rendre lisibles et exploitables par les émetteurs.

3. Comment adapter votre stratégie de paiement aux recommandations de l’OSMP ?

Alors que les premières mesures de l’OSMP sont déjà en application, les marchands doivent passer d’une logique de mise en conformité passive à une approche proactive d’optimisation des flux. Il ne s’agit plus seulement de comprendre les règles, mais d’adapter vos outils, contrats et process pour maintenir un haut niveau de performance dans un cadre réglementaire plus exigeant.

Intégrer le 3-D Secure dans les parcours dès l’initiation

La disparition progressive du DTA impose une remise à plat des logiques d’authentification. Il est essentiel de ne plus contourner la route  3DS et de s’assurer que les bonnes informations sont transmises afin de pouvoir bénéficier d’exemption. Cette bascule implique de réévaluer la gestion de l'authentification en optimisant optimisant la gestion des données et en s'assurant de pouvoir communiquer avec les serveurs d'authentifications les plus appropriés selon le type de transactions et de cartes utilisées par le client.

Mettre en conformité les paiements récurrents (MIT)

Pour les paiements MIT, l’enjeu est désormais la traçabilité. Chaque flux récurrent doit être rattaché à une CIT d’origine authentifiée, via un chaînage clair, conforme et techniquement lisible par les émetteurs. Cela suppose de revoir l’historique des mandats existants, d’identifier les cas à risque (chaînage incomplet, grandfathering, PSP multiples), et de planifier les correctifs. Dans certains cas, cela nécessitera une reconstruction partielle des parcours, voire une re-tokenisation.

Structurer ses données pour mieux dialoguer avec les émetteurs

L’OSMP renforce une tendance de fond : l’accès au frictionless ne dépend plus seulement du scoring du PSP, mais aussi de la qualité des données transmises à l’émetteur. E-mail, IP, navigateur, pays de livraison, nom du porteur : ces éléments doivent être systématiquement enrichis et normalisés dans le respect de la RGP. Ce travail implique à la fois les équipes techniques, paiement, fraude, voire CRM. 

C’est ce socle de données qui permettra demain d’obtenir des taux de frictionless stables — ou de négocier des seuils de tolérance spécifiques avec certains émetteurs.

Anticiper les discussions contractuelles à venir

Enfin, cette nouvelle ère du paiement s’accompagne d’une individualisation croissante des règles : exemption MOTO négociée au cas par cas, seuils de vélocité personnalisés, stratégies de retry post-decline adaptées par acteur… Il devient stratégique d’être accompagné par un PSP capable de négocier directement avec les émetteurs, d’anticiper les évolutions réseau, et d’apporter de la transparence sur le traitement des flux. Le choix du prestataire joue ici un rôle déterminant.

4. Payplug vous accompagne dans l’application du plan OSMP

Payplug, PSP français appartenant au Groupe BPCE, est directement connecté au réseau CB et entretient des relations étroites avec les émetteurs français. Cela nous permet d’apporter à nos clients une lecture opérationnelle précise des recommandations OSMP, et surtout de les accompagner avec des outils concrets.

Nos solutions incluent :

• Un moteur d’authentification 3DS intelligent, basé sur les règles CB et les meilleures pratiques françaises. Nous appliquons 3DS de manière systématique, avec une logique d’optimisation des exemptions frictionless grâce à notre module Fraud Premium.
  
• Une gestion avancée des MIT, avec vérification des chaînages, gestion des tokens, et surveillance des données entrantes. Nous accompagnons nos clients dans la mise en conformité progressive de leurs abonnements existants.
  
• Un routage optimisé via le réseau CB, avec priorisation des flux à coût réduit, notamment grâce à notre intégration avec FastPass. Cela permet de maximiser les taux d’acceptation tout en réduisant les frais d’interchange.
  
• Une compatibilité native avec Safe’R, la solution d’authentification forte de CB, rendue possible grâce à notre capacité à capter et traiter les données transactionnelles depuis notre propre solution de vault.
  
• Enfin, notre appartenance au Groupe BPCE, qui représente 20% du marché français², nous donne une visibilité directe sur les problématiques de processing et de compliance, et nous permet d’agir rapidement en cas d’incident ou d’évolution réglementaire.
  

Conclusion : de la conformité à la performance

Le plan OSMP vise à faire respecter les règles déjà en place, notamment celles issues de la DSP2. Son objectif : forcer l’usage systématique du 3-D Secure dans les parcours de paiement à distance.

Ce qui était jusqu’ici toléré — exemptions généralisées, flux sans authentification forte — ne le sera plus. À partir d’avril 2025, seuls les paiements conformes aux exigences d’authentification ou d’exemption clairement justifiée seront acceptés.

Dans ce nouveau cadre, il est essentiel de revoir ses parcours de paiement, la qualité des données transmises et ses relations avec les PSP pour rester performant tout en respectant les règles.

Travailler avec un acteur ancré dans l’écosystème français, qui connaît les attentes des émetteurs, les comportements des réseaux domestiques, et les dynamiques propres au marché CB, devient un facteur différenciant.

👉 Vous souhaitez faire le point sur vos parcours ou bénéficier d’un accompagnement adapté au contexte français ? Les experts Payplug sont à votre écoute.

¹ Banque de France
² Données du Groupe BPCE, 2024