Coronavis, Mastercard augmente les plafonds sans contact

Le 25 mars , Mastercard a revu à la hausse les seuils de contrôles pour les transactions en « sans contact ». Cette révision des plafonds sans contact s’applique pour les transactions réalisées avec une carte bancaire.

Les plafonds sans contact » rehaussés dans 29 pays.

Pour rappel, dans de nombreux pays, il n’y a aucune limite au montant que vous pouvez régler en « sans contact ». Lorsque le montant dépasse le seuil « noCVM », c’est-à-dire sans contrôle du porteur, le TPE vous demande le code PIN. Il fait donc du « PIN Online » pour vous authentifier.
Mastercard a pris la décision ce 25 mars 2020 de relever le seuil « noCVM » dans différents pays. Voici quelques exemples : Estonie, Grèce, Allemagne, Lettonie, Lituanie, Luxembourg, Malte et Pays-Bas avaient un seuil « noCVM » à 25EUR. Il passe dès à présent à 50EUR. Chypre, Portugal et Espagne passent de 20 à 50EUR en « noCVM ».
Globalement, le réseau Mastercard a donc monté la limite à 50EUR ou équivalent. Les pays qui n’ont pas l’euros bénéficient également de cette mesure. La Croatie passe de 100HRK, à 350HRK. Le Royaume-Uni monte de 30GBP à 45GBP, la Suède de 200SEK à 400SEK. La Hongrie augmente de 5000HUF à 15000HUF.
La mesure est également prise dans des pays non membres de la communauté européenne. Citons par exemple des pays comme Ouzbékistan, Kirghizistan, Tadjikistan, Turquie…
Pour le Royaume-Uni, l’Irlande, l’Estonie et la Pologne la modification est définitive. C’est-à-dire qu’elle ne sera pas revue à la baisse après la pandémie. Pour les autres pays comme les Pays-Bas ou la Grèce, la mesure est temporaire. Une fois l’épidémie passée, les seuils antérieurs seront de retour.

La réalité technique et la portée de la mesure

Lorsque vous payez en « sans contact », on utilise un paramétrage nommé « noCVM ». Ce paramètre indique un seuil au-delà duquel il faut vous authentifier. L’authentification peut soit se faire en « PIN Online ». Le terminal vous demande le code PIN de votre carte sans qu’il soit nécessaire de l’insérer. Si la méthode « PIN Online » n’est pas supportée par le terminal, ce dernier refuse la transaction. Vous devrez alors insérer la carte.
« PIN Online » indique que le code PIN de votre carte est validé par le réseau et/ou l’émetteur de votre carte.
« PIN Offline » indique que le code PIN est validé par la puce de votre carte.
Les limites « noCVM », sans qu’il soit donc nécessaire de vous authentifier, sont fixées par l’autorité du pays en accord avec les réseaux VISA et Mastercard. En France, la limite arrêtée par CB, compétent en la matière, est de 30EUR pour les paiements « sans contact ».
Le pays ayant délivré la carte importe peu. En France, lorsque vous allez faire du « sans contact », dès que le « noCVM » de 30EUR est dépassé, le TPE impose que la carte soit insérée pour faire du « PIN Offline ». Le « PIN Online » n’existe pas en France. C’est dans les cartons pour la prochaine évolution majeure.
Prenons un pays comme l’Ireland qui a un plafond à 30EUR comme la France. Dans ce pays, si vous présentez votre carte pour payer 50EUR en « sans contact », vous dépassez le « noCVM ». Le TPE va vous demander le code PIN. Il fera alors du « PIN Online » pour vous authentifier. Si le PIN et la transaction sont acceptés par votre banque, le paiement est approuvé.
Ajoutons un autre exemple avec le Luxembourg qui a une limite « noCVM » à 25EUR. Si vous payez 26EUR avec une carte française chez eux, le TPE va vous demander le code PIN. Il fera donc du « PIN Online ». Jusque là c’est simple, mais si vous essayez de payer 31EUR avec votre carte française, le paiement sera refusé.
En réalité, le « noCVM » est également codé dans l’ICC (la puce) de votre carte. Elle connaît donc la limite jusqu’à laquelle elle accepte de « signer » une transaction en « sans contact ». Au-delà de la limite, elle refuse de « signer ». Il faudra insérer la carte dans le TPE pour terminer le paiement.
Il faudrait en réalité faire sauter la valorisation d’un TAG dans l’ICC de votre carte afin que le TPE devienne l’unique élément décideur de la limite « noCVM » et que votre carte ne limite plus le seuil de déclenchement du contrôle. Un tel comportement aurait un avantage, à savoir si le plafond du « sans contact » augmente, la carte est instantanément compatible. Toutefois, cela vient aussi avec des risques comme par exemple voir des paiements « sans contact » se faire sans contrôle du titulaire à des seuils élevés, par exemple 100CAD (env. 65EUR) au Canada.
La France n’est clairement pas l’unique pays au monde à limiter dans l’ICC le plafond par paiement en « noCVM ». Toutefois, plusieurs banques sont en réflexion pour changer la valorisation du TAG.

L’augmentation des plafonds sans contact » en France

En paiement carte, c’est le GIE CB qui est seul compétent pour prendre une telle décision. Si CB décidait de valoriser le plafond de 30EUR à 50EUR ils pourraient demander aux mainteneurs. Ce serait donc aux mainteneurs de pousser une mise à jour sur les TPE.
Le problème, c’est qu’en France, de nombreux commerçants ont acquis des TPE auprès de mainteneurs. Ces derniers n’appliquent pas forcément les mises à jour. Certains commerçants ont également refusé les contrats de maintenance pour leur(s) équipement(s). Résultat, nous serions dans une situation où certains TPE seraient à jour, ceux déployés par les banques aux commerçants, et où d’autres seraient encore à 30EUR.
Ce problème est déjà une barrière majeure. Certains TPE fonctionnent encore sur une version de « CB EMV » antérieure à la 5.5, version pourtant sortie en 2017. Nous sommes en 2020 et une partie du parc a plus de 3 ans de retard. Même si CB poussait du 30EUR, ces TPE n’auraient pas l’actualisation.
Cette situation existe car le GIE CB s’est toujours refusé à mettre des pénalités aux commerçants qui ne suivraient pas les dernières mises à jour. Une telle attitude viendrait en gros à vous forcer de passer sur les dernières versions et payer à chaque fois pour une telle opération. Sous contrat de maintenance avec une banque, c’est la banque qui le fait automatiquement sans même demander l’avis du commerçant. On parle de téléparamétrage / téléconfiguration.
A l’étranger, par exemple le Luxembourg, c’est Mastercard qui se charge de ça, car l’application de Mastercard est embarquée dans le TPE. Cela est très simple, car le Luxembourg n’a pas de réseau domestique comme on peut en trouver en France ou en Belgique pour ne citer que 2 pays.
L’Allemagne par exemple qui a un réseau domestique avec « GiroKarte », c’est différent car les TPE embarquent une application pour accepter la « EC-Karte » (nom historique de la GiroKarte), mais en plus ils embarquent Visa et Mastercard à part. Cela explique que dans le pays, de très nombreux commerçants n’acceptent que la carte domestique allemande, et non Visa/Mastercard. Mastercard peut ainsi pousser les mises à jour sur son application. D’ailleurs pour l’heure, Giro n’a pas souhaité en Allemagne monter la limite sur son réseau pour ses cartes domestiques.
L’obstacle de la configuration du TPE est déjà un point majeur en France, mais à cela s’ajoute la limite physique que votre carte peut imposer. Il faudrait donc que le GIE CB pousse un nouveau plafond à 50EUR et que les banques soient en mesure de revaloriser le TAG EMV sur toutes les cartes déjà émises. A part Crédit Mutuel, vous pouvez oublier les autres acteurs, il faudra qu’ils remplacent toutes les cartes en circulation pour coller au nouveau plafond.
Au vu de cette double complication technique, il paraît totalement improbable qu’en France une revalorisation du plafond « sans contact » soit menée par le GIE CB. Toutefois, il n’est pas exclu qu’après la crise sanitaire le GIE CB réfléchisse à une augmentation du plafond. Des rumeurs parlaient déjà d’un passage de 30 à 35EUR.
Durant la crise sanitaire, une action à la volée comme celle décidée par Mastercard n’est donc pas possible en France comme dans d’autres pays ayant les mêmes contraintes techniques que la France.
Les pays où Mastercard peut pousser à la volée une revalorisation du « noCVM » sont rares.

Le paiement par mobile « CDCVM »

Du fait que la France soit clairement le premier pays au monde à avoir lancé le paiement mobile dès 2010 dans les TPE, presque tout le parc des TPE disposant du « sans contact » accepte le paiement mobile au-delà de 30EUR.
Quand vous payez avec un mobile, jusqu’à 30EUR, le processus pour le TPE est identique à celui d’une carte bancaire. Au-delà de 30EUR, le TPE doit intégrer un composant nommé CDCVM (Consumer Device Cardholder Verification Method).
Le CDCVM correspond à une confirmation au TPE que vous avez été authentifié sur l’équipement, par exemple sur votre mobile. Si le TPE ne gère pas le CDVM (c’est rare en France), il vous limitera à 30EUR et refusera tout paiement « sans contact » au-delà de ce montant.
Par abus de langage, on peut entendre ou lire qu’il n’y a aucune limite au paiement via un mobile (Apple Pay, Google Pay, Samsung Pay). Cela n’est pas réellement exact, mais en général le plafond de votre carte bloquera avant celui du paiement mobile (CDCVM).
Si vous avez une carte de type Mastercard Gold, les plafonds sont en moyenne à 8000€/mois. La limite du paiement via Apple / Samsung / Google Pay sera donc de 8000€ maximum par paiement. Il faudrait déduire les dépenses sur les 30 derniers jours pour avoir la limite exacte.
Si en revanche vous avez une carte de type Mastercard World Elite où les plafonds moyens sont eux à 30 000€/mois, votre paiement Samsung / Google / Apple Pay bloquera avant pour des raisons de sécurité. Mais les paiements de plus de 10 000€ en une fois avec un xPay et une carte CB, Mastercard ou Visa sont très rares. Nous n’allons pas révéler le montant exact, mais chaque banque peut fixer sa limite pour le « CDCVM ».
Ne vous souciez pas du montant à payer, si le terminal en France accepte le « sans contact », vous aurez très peu d’incidents avec un paiement mobile (CDCVM). Si vous n’êtes usager du paiement mobile qu’après 2016, il est fort possible que vous n’ayez jamais rencontré ces situations.
Si on reprend l’Allemagne, chez eux, l’absence de « CDCVM » est déjà plus fréquente, même dans des hypermarchés. Le TPE demande alors d’entrer le code PIN associé à la carte, c’est pour cela que « boon. », qui est une solution allemande, intègre la définition d’un code PIN. Cela permet de payer avec un xPay sur des TPE qui ne gèrent pas le « CDCVM ». Ils ont également des situations où le TPE retourne un « paiement refusé » sans même demander le code PIN. Le paiement mobile est un peu plus hasardeux chez eux qu’en France.

Conclusion

Monter les seuils « noCVM » comme Mastercard en a décidé ce 25 mars 2020 dans l’urgence est une mesure très compliquée à mettre en œuvre, et cela dans de nombreux pays.
En attendant une augmentation des plafonds sans contact en France, le plus important reste le respect des gestes barrière. Ces gestes rudimentaires pour l’hygiène ne sont pas spécifiques à la situation. Il faut se les appliquer tout au long de l’année, car le COVID n’est pas le seul risque de contagion, on se souvient des épisodes annuels de gastro.
Il est donc inutile de solliciter les banques pour augmenter le plafond du « sans contact ». Elles n’en ont pas le pouvoir. Nous vous préconisons le paiement via votre mobile en sans contact ou Lyf Pay (si disponible) pour réduire l’exposition avec des surfaces potentiellement infectées.
Si votre banque ne propose pas de solution, vous pouvez recourir à Revolut ou boon. Il s’agit là des 2 meilleures solutions du moment pour faire du paiement mobile. Revolut vous permettra d’avoir une carte Visa virtuelle compatible avec Apple et Google Pay, alors que boon. proposera une Mastercard virtuelle compatible elle également avec Google et Apple Pay. Les 2 services sont totalement gratuits, et sans aucun frais pour les opérations en devises tout en proposant le rechargement par carte bancaire sans frais.
Max aurait été une solution, mais étonnamment, le service a fermé ses activités pour les nouveaux clients. Il n’est donc plus possible de s’inscrire à Max pour le moment. Mais il aurait fallu dans tous les cas attendre la réception de la carte pour disposer du paiement mobile. Même constat pour N26 ou Curve qu’on peut donc exclure dans cette situation avec les retards dans l’acheminent postal.