PIN Online, vers une fin annoncée du offline ?

sans contact
paiement sans contact

Depuis quelques années, nous évoquions le « PIN Online » dans différents articles. Cette méthode de paiement sans contact devait sortir peu avant le début de la pandémie. Le projet n’était pas terminé, des reports successifs ont eu lieu, mais à présent son arrivée s’officialise, le moment, pour nous, de revenir sur cette méthode de paiement.

Il n’y a pas de date précise pour le déploiement de CBCLESS 6.00 embarquant cette technologie. Nous allons profiter de cet article pour faire le point entre la réalité et la communication média sur le sujet.

Le sans contact de 30 à 50€

Durant la pandémie, le paiement sans contact a évolué de 30€ à 50€. Cette hausse du plafond était étudiée depuis quelques mois déjà, plusieurs émetteurs voulaient y aller progressivement avec un premier palier à 35€ avant d’atteindre les 50€.

Il faut savoir que la hausse du plafond sans authentification, car on parle d’un paiement noCVM, c’est-à-dire sans que le porteur ait besoin de s’authentifier, doit s’accompagner d’accord sur le transfert de responsabilité. En cas de paiement considéré par votre émetteur de carte comme frauduleux, ce sera à ce dernier de supporter la perte financière. Ni le commerçant, ni sa banque, ni vous-même ne seront considérés comme responsable et devant supporter les pertes financières, donc payer le montant des transactions contestées.

Les membres du GIE CB ont tranché, ce sera 50€ le nouveau plafond. Toutefois, afin d’éviter le calvaire du passage de 20 à 30€ pour les émetteurs de cartes ne sachant pas mettre à jour l’applicatif de leurs cartes, une rustine fût déployée sur CBCLESS. On rappelle que CBCLESS est le nom de l’application présente dans les TPE en France pour la gestion du paiement sans contact. En France, il y a globalement un seul émetteur qui sait pousser les mises à jour EMV sur ses cartes, il s’agit du Crédit Mutuel/CIC via sa filiale EuroInformation. Les autres émetteurs ne savent pas actualiser une application, et sont uniquement capable de gérer des positions actives/inactives sur une application, par exemple désactiver le sans contact.

En solution, il a été décidé d’exploiter une possibilité de « transfert d’autorisation sur l’émetteur » présente dans CBCLESS. En français, cela veut dire qu’en voulant payer 45€, votre carte répond « non, ma limite c’est 30€ », le TPE ne doit pas en tenir compte et considérer qu’entre 30€ et 50€ il doit faire un paiement avec le concours de l’émetteur de votre carte. Ce dernier peut alors décider s’il accepte d’autoriser la transaction ou non, on parle de « noCVM Online », donc du sans contact en « online ».

Le gros point négatif de cette disposition, c’est qu’on pouvait assister à des refus de paiements en raison des règles (RTS) encadrant le sans contact. Au niveau Européen, les règles opposables à tous les pays, limitent le sans contact à 5 transactions maximum dans un plafond global de 150€. Dès que l’un des 2 curseurs est atteint, l’émetteur ne doit plus autoriser de « noCVM » et décliner la transaction. Une mesure déjà intégrée de longue date par les émetteurs qui doivent se plier à ces RTS.

En France, les cartes normales préfèrent du « offline », c’est-à-dire que le paiement est autorisé par la puce de votre carte, sans que l’émetteur de celle-ci soit sollicité pour accorder le paiement. Il y a donc une sorte de double plafond, un plafond « offline » et un plafond « online », car l’émetteur ne saura que le lendemain les transactions sans contact passées en « offline ». Il est donc techniquement possible d’aller au-delà de 5 paiements et/ou 150€, mais pour plus de facilité, les porteurs ne sont informés que d’un plafond « 50€ par transaction maximum, dans une limite globale de 150€ et/ou 5 paiements ».

En résumé, si votre carte n’a pas été fraichement renouvelée, en payant en sans contact entre 30 et 50€ vous êtes en « online », et si vous avez des paiements sans contact refusés, c’est que l’une des valeurs hautes du « noCVM » est atteinte et il faudra insérer votre carte afin de réinitialiser le plafond via la saisie du code PIN. Des émetteurs proposent de réinitialiser cette valeur dans l’application de la banque, mais ils le font automatiquement lors d’un paiement avec carte insérée ou un retrait.

Le PIN Online une technologie ancienne

La France est le seul pays disposant d’un réseau domestique à avoir imposé aux commerçants d’accepter le réseau domestique CB, mais également les 2 principaux réseaux internationaux, donc Visa et Mastercard. Ailleurs dans le monde, les réseaux domestiques n’imposent pas aux commerçants d’accepter un réseau international, une déconvenue pour des Français se rendant en Allemagne, aux Pays-Bas… qui ont l’impression que le pays est très orienté « cash » alors que non, la carte est très bien acceptée, mais uniquement le réseau domestique du pays.

Il faut bien avouer que cette position Française fait sourire les monéticiens des différents pays, car CB s’est tiré une balle dans le pied avec leur politique. Il est louable de vouloir imposer ses concurrents Visa et Mastercard aux commerçants afin qu’aucune préférence ne soit faite sur le réseau domestique Français CB. Mais ni Visa ni Mastercard n’ont su se montrer reconnaissant, et côté émetteur ce n’est pas mieux quand on voit des membres historiques comme le groupe BPCE qui arrête d’émettre des cartes sur CB, Boursorama de même, Orange Bank, Carrefour Banque… En ayant joué l’inclusion, CB se retrouve donc délaissé et très peu de porteurs de cartes disent qu’ils ont une « CB », généralement ils disent plutôt une Visa ou une Mastercard, et le logo « CB » ne leur parle pas trop, voir ils disent « Carte Bleue » qui veut dire Visa…

Il existe 2 principales applications embarquées dans les Terminaux de Paiements Électroniques, il s’agit de « CB EMV » qui traite les transactions « contact », carte insérée, carte coulissée… Et la seconde qui nous intéresse ici, « CBCLESS » qui traite les transactions « sans contact ». Le comportement et les fonctionnalités des applications sont décidées par le GIE CB et permettent d’obliger les commerçants à accepter Visa et Mastercard en complément de CB. Mais dans les choix existants, CB a pris la décision à l’époque de ne pas intégrer le « PIN Online », car la France est un pays majoritairement « Offline » pour les paiements. Il faut comprendre par-là, que la France est un pays ou l’on préfère faire confiance au détenteur d’une carte et donc c’est la puce de celle-ci qui autorisera le paiement. En intégrant le « PIN Online », on aurait davantage poussé le « Online » en lieu et place du « Offline ».

Les transactions sans contact en « Online »

A l’exception des solutions historiques (avant Apple Pay et Google Pay…) de paiement mobile reposants sur la technologie SIM-Centric (disponible chez La Banque Postale, Société Générale, BNPP, Crédit Mutuel / CIC) toutes les solutions de paiement mobile imposent du « Online » pour des raisons de sécurité.

Les solutions proposées par Apple, Google et d’autres sont insuffisamment fiables, imposant à celles-ci de faire exclusivement du « Online ». Avec le succès grandissant des solutions citées, les solutions historiques furent désactivées par les établissements la proposant, fermant de fait le « Offline » avec un paiement mobile.

Dès que vous utilisez un paiement avec un mobile, vous êtes obligatoirement en « sans contact online », il ne peut en être autrement, au risque que le commerçant se prenne une amende salée.

Cela peut expliquer qu’un paiement mobile soit parfois plus lent qu’un paiement carte en sans contact. Toutefois, depuis 2015, les banques des commerçants forcent la main à ces derniers pour migrer sur une technologie proposant le paiement en 2 ou 3s au lieu d’un délai de 30s en moyenne. Encore aujourd’hui, certains commerçants refusent car cette modification impose une renégociation des contrats accepteur, et l’addition est parfois salée. On trouve encore des commerçants qui disposent d’un fixe sur leurs contrats commerçants pour un coût inférieur à 10cts/transaction. Sur les nouveaux contrats, c’est terminé, le taux généralement pratiqué s’établi aux alentours de 0.45% du montant TTC de la transaction. Ce qui peut donc représenter une hausse substantielle des coûts pour les commerçants désirants moderniser leur canal d’acceptation des transactions.

Cette commission sert en partie à reverser sa part à l’émetteur de votre carte bancaire (0.20% pour les cartes DEBIT, 0.30% pour les cartes CREDIT émises en EU), et l’autre partie sert à couvrir les frais de la banque du commerçant, comme les coûts payés à Apple pour couvrir les pertes qu’elle subie à chaque transaction Apple Pay d’un de ses clients.

Cela est sans compter le taux qui passe à 0.90% sur les cartes « COMMERCIAL » émises en France et pouvant atteindre les 3% sur les cartes hors EU ou « COMMERCIAL » hors France… On peut comprendre que les commerçants n’aient pas envie de changer leur contrat en cours afin de conserver des frais bas, et éviter de répercuter les frais de transaction sur la vente des produits à tous les clients, y compris ceux réglant en espèces.

Les cartes compatibles avec le PIN Online

Le PIN Online est une méthode de paiement qui doit être inscrite dans une liste nommée CVM et présentée par votre puce au TPE. Si le TPE est compatible, et que votre carte l’est également, le TPE peut donc proposer de poursuivre un paiement sans contact avec la saisie du code PIN.

Dans cette méthode, le PIN chiffré est envoyé au réseau de votre carte bancaire et à votre banque. Il pourra être déchiffré et comparé afin de vérifier qu’il est bien valide, avant que le processus d’autorisation de votre paiement puisse se poursuivre.

Lors de la négociation avec le TPE, la carte doit donc être en mesure de présenter dans le TAG 8E le « PIN verified online ». Rares sont les cartes qui n’embarquent pas cette méthode, en sachant qu’elle existe pour le retrait d’espèces et pour le paiement. Si elle ne propose pas cette méthode, le PIN Online sera refusé et vous serez invité à insérer votre carte avec saisie du code PIN.

A l’exception de cartes arrivant à leur expiration prochainement et avec une durée de validité supérieure à 3 ans, toutes celles en circulation sont compatibles avec le PIN Online.

Le PIN Online à l’international

Cette méthode de paiement est fréquemment utilisée hors de France, beaucoup de porteur sont habitués à présenter leur carte en sans contact, peu importe le montant à régler. Ils savent alors qu’il faut entrer leur PIN pour finaliser la transaction. Ils ne sont donc plus obligés d’insérer leur carte bancaire dans le TPE.

Si vous avez une carte émise en France, probablement que vous avez déjà pu utiliser cette méthode de paiement sur un TPE sans savoir que c’était du PIN Online Si votre carte devait être incompatible, vous serez simplement invité à insérer votre carte et finaliser la transaction en mode « contact ».

La technologie n’est donc pas récente. Et vous pouvez même la trouver sur certains TPE utilisés en France. Si votre commerçant utilise des TPE n’embarquant pas CB mais directement les applicatifs PayPass et PayWave pour Mastercard et Visa, alors vous avez déjà pu l’utiliser en France. Parmi les TPE de ce genre, on trouve surtout SumUp et iZettle qui sont exploités par de très petits commerçants qui y voient un intérêt.

Le PIN Online en France

Comme rappelé en préambule, cette fonctionnalité est prévue pour une arrivée avec la mouture 6 de l’application CBCLESS. Pour le moment, aucun déploiement n’est planifié pour cette évolution majeure de l’application.

Il y a une communication sur la disponibilité du PIN Online en France auprès de certains acteurs comme la société de taxi G7, mais vous l’aurez compris, il suffit de bypasser l’application CBCLESS et déployer PayPass et PayWave pour avoir le PIN Online. Ce n’est donc pas une prouesse technique ou autre, juste l’intégration d’une fonctionnalité des outils CB de manière anticipée, en copiant ce que font depuis des années PayWave et PayPass.

La question reste la même : quel est l’intérêt d’utiliser cette méthode au lieu d’insérer la carte ? Car dans les contestations de transactions à l’étranger, il est très fréquent de voir des signalements sur les montants car les porteurs n’ont pas vérifié le montant de la transaction demandé par le commerçant. Cette situation est également constatable avec un paiement mobile à la nuance qu’avec un signal GSM la notification rappelle immédiatement le montant.

C’est du gadget, à l’instar de la carte bancaire biométrique. On voit encore de nombreux détenteurs de mobiles compatibles qui n’activent pas le paiement mobile ou supposent qu’un plafond est en place à 50€.

Il est bien plus intéressant de « former » votre entourage à l’usage d’un paiement mobile ou montre qu’au paiement PIN Online, car dans les 2 méthodes CDCVM (mobile ou montre), ils n’auront pas de PIN à saisir pour réaliser le paiement. Si un terminal est actuellement compatible avec le sans contact, il acceptera le paiement mobile. Il peut arriver qu’un terminal n’accepte pas le paiement mobile au-delà d’un certain montant, c’était un incident connu sur des TPE délivrés par le groupe Banque Populaire Caisse d’Épargne, mais qui a corrigé le tir via une téléprogrammation des TPE assignés aux commerçants de la banque.

PIN Online vs Paiement Mobile

On vient de le souligner, on ne voit pas l’intérêt de cette technologie sur le temps de transaction entre ce mode et le mode contact. Dans les deux cas, vous avez une interaction nécessaire avec le TPE du commerçant pour finaliser votre transaction. Il est donc préférable d’opter pour le paiement mobile.

Le taux d’incidents de paiements sur du sans contact supérieur à 50€ sera globalement identique à celui qu’on trouve sur du paiement mobile. Il est vrai que le taux d’incident sur un paiement via une montre connectée est légèrement supérieur à celui du paiement mobile en raison d’une différence entre les deux technologies matérielles.

En prenant le temps de former des proches, de les rassurer, et de casser les légendes urbaines, le paiement mobile sera nettement plus simple à l’usage que le PIN Online. Il est vrai que capter le code de déverrouillage d’un mobile est nettement plus simple que celui d’une carte bancaire, les claviers de saisie ayant généralement des protections rendant plus compliqué le repérage. Avec un mobile, les gens font leur code sans se soucier de qui regarde l’écran, c’est presque machinal, surtout durant la pandémie avec le masque empêchant certaines reconnaissances biométriques.

Le PIN Online ne signe pas la fin du « offline »

Dans les guides de programmation, le TPE garde toujours la main sur le choix du paiement. La négociation reste une préférence du TPE, et non de la carte. Par conséquent, le « offline » reste de mise car il est dans les premières requêtes souhaitées par le TPE. Le « PIN Online » est donc « à défaut de noCVM si supérieur à 50€ ».

Pour l’heure, la méthode utilisée n’est pas la version finale qui sera présente dans CB 6. Par conséquent, seules les cartes qui embarquent le logo « CB » peuvent utiliser le « PIN Online », les cartes équipées exclusivement de Mastercard ou Visa ne pourront pas faire de « PIN Online » sur la méthode temporaire. Il faudra attendre l’officialisation par CB et la publication de la V6 de CBCLESS pour avoir exactement le même comportement que PayWave et PayPass. Aucune date officielle n’est prévue, le développement est en retard de plusieurs années.

Il est étonnant que le test débute avec les taxis, ces professionnels sont les plus sujets aux dysfonctionnements de TPE. Ils sont les plus touchés par les pannes de TPE, selon leurs propres déclarations, les incidents et autres dysfonctionnements les empêchant avec regret de prendre la carte bancaire. Ces professionnels bénéficient des faveurs de la chaîne monétique, il y a souvent des retours, mais personne ne veut se mettre à dos les taxis, donc tous composent avec les situations rencontrées par les clients de ces professionnels.

Conclusion

Le PIN Online va encore bénéficier de nombreuses publications dans les prochains mois. Mais rien de neuf sous le soleil, cette technologie est maintenant ancienne et n’est pas mieux qu’un paiement mobile.

Le paiement mobile ne décolle pas, c’est certain, mais il y a cependant de nouveaux usagers qui utilisent la technologie. Lorsqu’elle assimilée par le porteur, il est rare, sauf problème technique (batterie vide…) de rebasculer sur la carte physique. Les dysfonctionnements de la première heure laissent à présent place à une bien meilleure stabilité et des performances en hausse. Pour les banques qui ne proposent pas encore de solutions natives comme Apple Pay, Google Pay, Samsung Pay… nous vous recommandons de regarder du côté de Curve pour rendre votre carte bancaire compatible, sans frais, et sans avoir à recharger un compte externe / secondaire. On souligne d’ailleurs que Curve ne nécessite aucune déclaration fiscale de compte détenu à l’étranger.

Si vous avez la patience, et la pédagogie nécessaire, changez les habitudes de vos proches pour un paiement mobile / montre. Si vous avez eu la bonne approche, ils ne reviendront pas sur un paiement, même s’ils ont plus de 60 ans.