Retail payment terminal — chargebacks and card payments context
Article

Visa Compelling Evidence 3.0 pour les commerçants Shopify : Comment se qualifier, construire et soumettre

CE 3.0 renverse la charge de la preuve dans les litiges de fraude Visa 10.4 - mais seulement si l'historique de vos transactions est admissible. Voici comment vérifier l'éligibilité, rassembler les preuves et éviter les erreurs de soumission qui annulent complètement le cadre.

DE

DisputeDesk Editorial

2 juin 2026
13 min de lecture
Français

Lorsqu'un litige Visa 10.4 est signalé, vérifiez l'éligibilité au CE 3.0 avant de prendre toute mesure

Un rejet de débit Visa 10.4 — « Fraude / Environnement sans carte » — apparaît dans l'interface d'administration Shopify sous Paiements → Litiges. Le titulaire de la carte affirme ne pas avoir autorisé la transaction. Votre réponse par défaut repose sur les signaux d'autorisation : correspondance AVS, correspondance CVV, confirmation de livraison. Cette approche fonctionne parfois. CE 3.0 fonctionne mieux — mais uniquement si vous remplissez les conditions requises.

CE 3.0 est un cadre de contestation Visa qui permet aux commerçants de contrer une contestation 10.4 en prouvant que la transaction contestée partage des empreintes de l'appareil, du compte et du comportement avec des transactions antérieures non contestées du même titulaire de carte. Lorsqu'il s'applique, il renvoie la responsabilité à l'émetteur. Lorsqu'il ne s'applique pas — parce que l'historique des transactions est insuffisant, que les signaux de correspondance sont faibles ou que la soumission est mal formée — vous avez gaspillé votre délai de réponse et n'avez soumis rien d'utile.

Vérifiez d'abord l'éligibilité. Construisez ensuite.

L'exigence relative aux transactions éligibles — et pourquoi la plupart des commerçants échouent

La norme CE 3.0 exige au moins deux transactions antérieures non contestées du même titulaire de carte qui partagent des éléments de correspondance spécifiques avec la transaction contestée. La norme actuellement publiée par Visa fixe les seuils suivants :

  • Les transactions antérieures doivent avoir eu lieu dans les 120 jours précédant la date de la transaction contestée (vérifiez la période exacte auprès de votre acquéreur — certains processeurs appliquent des délais internes plus stricts).
  • Les transactions antérieures doivent être incontestées — pas de rétrofacturation, pas de demande de récupération, pas de signalement de l'émetteur sur ces commandes.
  • Au moins deux des éléments suivants doivent correspondre entre les transactions antérieures et la transaction contestée : identifiant de l'appareil, adresse IP, adresse de livraison, adresse e-mail ou compte/identifiant.

C'est au niveau de cette exigence de correspondance que la norme CE 3.0 échoue dans la pratique. Une commande passée en mode invité ne comporte pas d'identifiant de compte. Un client ayant utilisé un VPN présente une adresse IP incohérente. Un client ayant demandé une livraison à une nouvelle adresse ne respecte pas la condition de correspondance d'adresse de livraison. Il vous faut deux correspondances sans faille — et non une seule correspondance forte.

Un commerçant a vendu un lot de soins pour la peau à 310 $. La commande contestée était une commande en mode invité, expédiée à une adresse d'hôtel, passée depuis une adresse IP mobile qui ne correspondait à aucune session antérieure. Le client avait passé deux commandes précédentes — toutes deux non contestées, toutes deux avec une adresse e-mail correspondante. L'adresse e-mail seule est un indice. Le CE 3.0 en exige deux. Le commerçant a tout de même soumis sa demande. L'émetteur a rejeté le cadre CE 3.0 et a traité la réponse comme une contestation de fraude standard — ce pour quoi elle n'était pas conçue. Il a perdu.

Le paiement en tant qu'invité est un handicap structurel pour le CE 3.0. Si votre boutique enregistre un volume important de paiements en tant qu'invité, votre taux d'éligibilité au CE 3.0 sera faible. Ce n'est pas un problème de soumission — c'est un problème de capture de compte en amont.

Étape 1 : Récupérez l'enregistrement de la commande et effectuez le contrôle d'éligibilité

Dans l'interface d'administration Shopify, accédez à Commandes → [commande contestée]. Vous avez besoin des champs suivants avant de traiter la réponse à la contestation :

  • E-mail du client : s'agit-il d'un compte enregistré ou d'un invité ?
  • Adresse de livraison
  • Adresse IP au moment du paiement — visible dans la section d'analyse de fraude de la commande si Shopify Fraud Protect est activé ; sinon, récupérez-la à partir de votre pile d'analyse ou des journaux de serveur
  • Empreinte digitale de l'appareil — non disponible par défaut dans l'interface d'administration standard de Shopify ; nécessite un outil anti-fraude tiers ou votre propre journalisation de session
  • Balises de commande ou notes client indiquant l'historique des achats antérieurs

Extrayez ensuite l'historique des commandes antérieures du client. Dans l'interface d'administration Shopify, ouvrez le profil du client associé à l'adresse e-mail de la commande contestée. Examinez toutes les commandes passées au cours des 120 derniers jours. Pour chacune d'entre elles, notez : a-t-elle été contestée ? Partage-t-elle l'adresse IP, l'appareil, l'adresse de livraison ou l'adresse e-mail avec la commande actuelle ?

Si vous trouvez au moins deux commandes antérieures non contestées présentant au moins deux signaux correspondants, vous êtes éligible. Si vous ne trouvez qu’une seule correspondance, si l’historique des commandes antérieures est trop court ou si le client était un invité sans compte antérieur, vous ne l’êtes pas. Passez plutôt à une réponse standard en cas de fraude.

Étape 2 : constituez le dossier de preuves CE 3.0

Les preuves CE 3.0 ne constituent pas un document narratif. Il s'agit d'un ensemble de données structurées démontrant la continuité d'un schéma. Visa et votre acquéreur attendent des éléments spécifiques — et non un PDF de captures d'écran accompagné d'une lettre d'accompagnement.

Constituez le dossier dans cet ordre :

  1. Tableau comparatif des transactions. En regard : transaction contestée vs chaque transaction antérieure éligible. Colonnes : date de la transaction, montant, e-mail, adresse IP, identifiant de l'appareil (si disponible), adresse de livraison, adresse de facturation, statut de la contestation. Il s'agit du cœur du dossier.
  2. Documentation relative à l'adresse IP. Si l'adresse IP correspond, documentez l'adresse IP pour les deux transactions et incluez les données de géolocalisation. Si l'adresse IP ne correspond pas mais que vous vous appuyez sur d'autres signaux, n'incluez pas l'adresse IP — cela affaiblit le dossier.
  3. Données d'empreinte digitale de l'appareil. Si votre outil de lutte contre la fraude capture les identifiants d'appareil (Kount, Signifyd, Sift ou similaire), exportez la confirmation de correspondance de l'appareil. Une correspondance d'identifiant d'appareil est le signal CE 3.0 le plus fort — plus fort que l'adresse e-mail, plus fort que l'adresse IP seule.
  4. Confirmation de l'adresse de livraison. Si l'adresse de livraison correspond d'une transaction à l'autre, incluez explicitement les champs d'adresse. Une confirmation de livraison par le transporteur pour les commandes précédentes est un complément utile mais n'est pas obligatoire.
  5. Historique de création de compte et de connexion. Si le client dispose d'un compte Shopify, exportez la date de création du compte et les horodatages de connexion. Un événement de connexion proche de la date de la commande contestée renforce l'argument de la continuité du compte.
  6. Votre politique de remboursement et de lutte contre la fraude. Joignez une copie de la politique que le client a acceptée lors du paiement. Il s'agit d'une preuve secondaire : elle ne répond pas aux critères du cadre CE 3.0, mais elle vient étayer la réponse globale.

Ne surchargez pas le dossier avec des confirmations de livraison, des données de correspondance AVS ou des résultats CVV. Ces éléments relèvent d'une réponse standard en cas de fraude. Le CE 3.0 repose sur un argument de continuité comportementale : ajouter des signaux d'autorisation affaiblit le cadre et indique à l'émetteur que vous n'êtes pas sûr du bien-fondé du dossier CE 3.0.

Point de décision : soumission CE 3.0 ou réponse standard en matière de fraude ?

C'est le choix qui détermine votre stratégie de réponse. Choisissez avant de rédiger le moindre mot de la réfutation.

Voie A : Soumettre sous CE 3.0
. Utilisez cette option lorsque : deux transactions antérieures incontestées ou plus ont eu lieu au cours des 120 derniers jours, deux signaux ou plus correspondent parfaitement, et le client dispose d'un compte ou d'un historique d'e-mails cohérent. Si acceptée, la CE 3.0 transfère la responsabilité à l'émetteur. Le taux de réussite des soumissions CE 3.0 éligibles est nettement plus élevé que celui des réfutations de fraude standard — mais vérifiez les critères actuels auprès de votre acquéreur, car Visa a mis à jour ses critères d'acceptation depuis le déploiement d'avril 2023.

Voie B : Réponse
standard en cas de fraude Utilisez cette option lorsque : le client est un invité, l'historique des transactions antérieures est limité ou inexistant, les signaux de correspondance sont faibles (un seul signal, et non deux), ou si une transaction antérieure de ce client a elle-même fait l'objet d'une contestation. Un échec de la tentative CE 3.0 n'entraîne pas automatiquement la perte du litige — mais cela gaspille de l'espace dans votre réponse et indique un dossier faible. Construisez plutôt une réponse standard autour des signaux d'autorisation, de la confirmation de livraison et des indicateurs comportementaux de fraude.

Conséquence du choix de la voie A sans remplir les conditions requises : l'émetteur rejette le cadre CE 3.0, traite votre soumission comme une contestation standard et l'évalue selon un modèle de preuve inadapté. Vous avez soumis des données CE 3.0 alors que des données d'autorisation étaient nécessaires. Il s'agit d'une perte structurelle.

Conséquence du choix de la voie B alors que vous remplissiez les conditions requises pour CE 3.0 : vous menez un litige 10.4 avec des outils moins performants que ceux dont vous disposiez. Vous pouvez encore gagner — mais vous n'avez pas utilisé votre meilleur argument.

Étape 3 : Rédigez le texte de réponse

Les soumissions CE 3.0 nécessitent toujours un exposé écrit. Restez concis et structuré — ne cherchez pas à convaincre. L'émetteur coche des cases, il ne lit pas un essai.

Exemple de texte (à adapter aux spécificités de votre transaction) :

Cette réponse est soumise au titre de la procédure Visa Compelling Evidence 3.0. La transaction contestée (commande n° [XXXX], [date], [montant]) partage au moins deux éléments d'identification avec des transactions antérieures non contestées du même titulaire de carte. Plus précisément : [adresse e-mail] et [adresse IP / identifiant de l'appareil / adresse de livraison — énumérez les deux éléments correspondants] sont identiques pour la transaction contestée et les transactions antérieures éligibles datées du [date 1] et du [date 2]. Les deux transactions antérieures ont été effectuées sans contestation. Le tableau comparatif des transactions est joint. Nous demandons que la responsabilité soit transférée à l'émetteur conformément aux directives CE 3.0.

N'ajoutez pas d'excuses, de formulation de service client ou d'explications concernant votre entreprise. Le texte est une déclaration-cadre, et non une réponse à une réclamation client.

Étape 4 : Envoyez votre réponse via le canal approprié — et confirmez sa réception

Dans Shopify Payments, les réponses aux litiges sont soumises via Paiements → Litiges → [litige] → Soumettre une réponse. Shopify transmet la réponse à Stripe (le processeur sous-jacent de Shopify Payments), qui la transfère à Visa.

Si vous utilisez une passerelle tierce (Braintree, Adyen, PayPal, Authorize.net), les soumissions CE 3.0 peuvent nécessiter un envoi direct à l'acquéreur plutôt qu'un téléchargement via la plateforme. Vérifiez le canal de soumission auprès de votre prestataire de paiement avant la date limite. Certains acquéreurs disposent de modèles de soumission CE 3.0 spécifiques ; l'utilisation d'un format non standard peut entraîner le rejet du cadre pour des raisons de procédure, et non pour des raisons de preuve.

Après la soumission, consignez en interne : la date de soumission, l'identifiant du litige, le cadre CE 3.0 déclaré, les signaux de correspondance utilisés, les identifiants des transactions antérieures cités. Vous en aurez besoin si le litige est porté en arbitrage.

Modèle de note interne : CE 3.0 soumis le [date]. ID du litige [X]. Transactions éligibles : Commande n° [A] ([date]) et Commande n° [B] ([date]). Signaux de correspondance : e-mail + ID de l'appareil. Réponse soumise via [Shopify Payments / portail de l'acquéreur]. La date limite était le [date]. Résultat en attente.

Où CE 3.0 présente des lacunes sur le plan opérationnel — et non sur le plan des preuves

La plupart des échecs de CE 3.0 ne sont pas des échecs en matière de preuves. Il s'agit d'échecs de capture de données survenus des semaines ou des mois avant l'arrivée du litige.

Pas d'empreinte digitale de l'appareil. L'analyse native de la fraude de Shopify capture certains signaux, mais la correspondance des identifiants d'appareils au niveau requis par CE 3.0 nécessite généralement un outil tiers. Les commerçants qui n'utilisent pas Kount, Signifyd ou un équivalent s'appuient uniquement sur l'adresse IP et l'e-mail — deux signaux plus faciles à contester.

Prédominance des paiements en tant qu’invité. Une boutique où 70 % des paiements sont effectués en tant qu’invité présente un taux d’éligibilité CE 3.0 structurellement faible. La solution se situe en amont : inciter à la création d’un compte après l’achat, associer les commandes en tant qu’invité aux comptes via la correspondance des adresses e-mail, et capturer les données de session lors du paiement, quel que soit le statut du compte.

Données IP non conservées. Shopify affiche l'adresse IP au niveau de la commande dans le panneau d'analyse de la fraude, mais la conservation et l'exportabilité varient. Si votre suite d'outils d'analyse n'enregistre pas les adresses IP de session de manière indépendante, vous risquez de perdre l'accès aux données avant l'ouverture de la fenêtre de contestation — en particulier pour les commandes plus anciennes proches de la limite des 120 jours.

Les litiges sur des commandes antérieures contaminent le pool. Un client ayant passé deux commandes antérieures — l’une non contestée, l’autre précédemment contestée — ne vous laisse qu’une seule transaction éligible. CE 3.0 en exige deux. Vérifiez l’historique complet des litiges du client avant de déclarer son éligibilité.

La fraude amicale semble souvent plus « propre » sur le plan opérationnel que la véritable fraude — et CE 3.0 a été conçu précisément pour ce scénario. Un client régulier qui conteste une troisième commande en invoquant une non-autorisation, alors que les deux premières commandes se sont déroulées sans problème : c'est le cas type visé par CE 3.0. Ce cadre existe parce que les émetteurs se rangeaient systématiquement du côté des titulaires de carte ayant des antécédents irréprochables auprès du même commerçant. CE 3.0 fait en sorte que ces antécédents comptent.

Préparez votre boutique à la norme CE 3.0 avant la prochaine contestation

L'éligibilité à CE 3.0 se détermine au niveau de la commande, et non au niveau du litige. Au moment où le rejet de débit survient, les données existent ou n'existent pas.

Effectuez ces vérifications dès maintenant dans l'interface d'administration de Shopify :

  • Analyse de la fraude activée : Admin → Paramètres → Paiements → Prévention de la fraude. Vérifiez que l'analyse de la fraude de Shopify est active. Elle capture les adresses IP, détecte les proxys et signale les incohérences entre la facturation et l'expédition au niveau de la commande.
  • Taux de création de comptes : Admin → Clients → filtrez par statut du compte. Si le volume de commandes en tant qu’invité est élevé, envisagez d’ajouter une invite de création de compte après l’achat ou d’activer Shop Pay, qui capture les signaux d’identité persistants entre les commandes.
  • Intégration d'un outil tiers de lutte contre la fraude : si la valeur moyenne de vos commandes est supérieure à 150 $ et que vous constatez des litiges récurrents de type 10.4, l'empreinte digitale des appareils via un outil dédié vaut le coût de l'intégration. Le CE 3.0 sans identifiant d'appareil est une solution moins efficace.
  • Marquage des commandes pour les clients réguliers : marquez les commandes provenant de comptes enregistrés lors de l'exécution. Lorsqu'un litige survient, vous pouvez immédiatement filtrer les commandes antérieures du même compte sans avoir à effectuer de recherche manuelle.

L'automatisation améliore la cohérence, pas la certitude. DisputeDesk peut mettre en évidence les signaux d'éligibilité CE 3.0 et organiser les données de comparaison des transactions — mais c'est au commerçant qu'il revient de vérifier si les signaux correspondants sont suffisamment fiables pour invoquer ce cadre. Une soumission CE 3.0 limite est pire qu'une réponse standard bien construite.

Points clés

CE 3.0 exige deux transactions antérieures incontestées dans un délai de 120 jours, chacune partageant au moins deux signaux de correspondance (courriel, IP, ID de l'appareil, adresse de livraison) avec la commande contestée - un seul signal n'est pas suffisant.
Le contrôle des invités est un problème structurel de la CE 3.0 : l'absence de compte signifie l'absence d'historique de connexion, et l'IP seule satisfait rarement à l'exigence des deux signaux.
L'échec d'une tentative d'utilisation de CE 3.0 n'entraîne pas automatiquement la perte du litige, mais il gâche votre fenêtre de réponse et signale la faiblesse de votre dossier - choisissez le cadre délibérément, et non par défaut.
Les données d'empreintes digitales des appareils constituent le signal CE 3.0 le plus fort et ne sont pas capturées de manière native au niveau requis par CE 3.0 par Shopify Admin seul - des outils de fraude tiers comblent cette lacune.
L'éligibilité CE 3.0 est construite au niveau de la commande, des semaines avant l'arrivée d'un litige. Si les données n'ont pas été saisies au moment de la commande, elles ne peuvent pas être reconstituées au moment de la réponse.

FAQ

L'EC 3.0 s'applique-t-il à toutes les rétrocessions Visa ou seulement à des codes de motif spécifiques ?
CE 3.0 s'applique spécifiquement au code de motif Visa 10.4 (Fraude / environnement carte absente). Il ne s'applique pas à l'INR (13.1), au SNAD (13.3) ou à d'autres codes de motif non liés à la fraude. Si votre litige est codé différemment, l'EC 3.0 n'est pas disponible, quel que soit l'historique de vos transactions.
Puis-je utiliser CE 3.0 si le client est sorti en tant qu'invité ?
Techniquement, oui, si vous pouvez faire correspondre deux signaux (e-mail et IP, par exemple) dans les commandes précédentes des clients. Dans la pratique, les commandes des clients génèrent rarement la correspondance nette de deux signaux exigée par CE 3.0 - en particulier si les adresses IP varient ou si le client a utilisé une nouvelle adresse de livraison. Il convient d'évaluer soigneusement la situation avant de déclarer le cadre.
Que se passe-t-il si Visa rejette ma demande de CE 3.0 ?
Le litige repasse en traitement standard. L'émetteur évalue les preuves que vous avez soumises par rapport au cadre standard 10.4. Si votre dossier CE 3.0 n'incluait pas les preuves de fraude standard (AVS, confirmation de livraison, signaux comportementaux), il se peut que vous ayez soumis une réponse incomplète. C'est pourquoi il est plus sûr d'élaborer en parallèle des preuves CE 3.0 et des preuves standard - puis de choisir lesquelles soumettre - que de se contenter de CE 3.0.
Shopify Payments prend-il en charge les soumissions CE 3.0 de manière native ?
Shopify Payments achemine les litiges par l'intermédiaire de Stripe. Les soumissions CE 3.0 peuvent être téléchargées par l'intermédiaire de l'interface de réponse aux litiges de Shopify Admin, mais confirmez avec Stripe/votre acquéreur que le format de soumission répond aux exigences structurelles CE 3.0 de Visa. Certains acquéreurs exigent un formatage spécifique des champs qu'un téléchargement PDF standard peut ne pas satisfaire.
Jusqu'à quand les transactions antérieures admissibles peuvent-elles remonter ?
La norme publiée par Visa est de 120 jours avant la date de la transaction contestée. Certains acquéreurs appliquent des délais internes plus courts. Confirmez la limite exacte avec votre processeur avant de citer des transactions proches de la limite - une transaction qui tombe en dehors de la fenêtre de votre acquéreur ne sera pas admissible, même si elle se situe dans la limite publiée par Visa.

Avertissement

Ce contenu est fourni à titre informatif uniquement et ne constitue pas un conseil juridique.

Automatisez vos réponses aux litiges

DisputeDesk suit automatiquement les délais, collecte les preuves et génère des réponses gagnantes pour ne plus jamais manquer une échéance.