La crise sanitaire du coronavirus et le succès du paiement sans contact

« Le paiement sans contact progresse notamment au titre des gestes barrière contre la Covid 19 mais, attention, l’identification des utilisateurs est encore faible ».

La technologie du « sans contact » permet de régler des achats de la vie quotidienne d’un faible montant avec une carte bancaire ou un téléphone mobile et constitue l’un des moyens de communiquer avec le terminal de paiement électronique d’un commerçant. Elle est entrée profondément dans les habitudes de consommation des Français dans le cadre de la crise sanitaire. Reconnue par l’ISO, l’ECMA (« European Computer Manufacturers Association ») et l’ETSI (« European Telecommunications Institute »), cette technologie n’a cessé de se développer et de progresser ces dernières années. Selon une étude Mastercard, les transactions sans contact augmentent à un rythme impressionnant.

C’est en France que la croissance de ce mode de paiement est l’une des plus importantes d’Europe. En effet, le nombre de transactions annuelles a franchi la barre symbolique d’un milliard en 2017 et a été multiplié par deux entre 2016 et 2017. Sur l’ensemble de l’année 2019, ce sont 3,4 milliards d’opérations qui ont été réalisés contre 2,3 milliards pour 2018, soit +56,4%. Le paiement sans contact a ainsi représenté, en moyenne, 27% du nombre des paiements en magasin et sur automate en 2019, contre 19% en 2018 (Source : Observatoire CB).

Durant la crise sanitaire du Covid-19, l’utilisation du paiement sans contact a enregistré un vif succès car ce système a permis d’éviter de manipuler les espèces et de composer le code confidentiel de sa carte bancaire sur les terminaux de paiement.

Analyse conceptuelle et mode de fonctionnement du paiement sans contact

Les moyens de paiement sans contact permettent l’utilisation d’une carte bancaire ou d’un téléphone portable. Ils communiquent avec les terminaux de paiement grâce à un protocole de communication appelé « communication en champ propre » ou « Near Field Communication ».

La NFC est une technologie d’échanges de données entre différentes puces, séparées d’une distance de quelques centimètres. Il s’agit d’une application des technologies de radio identification (haute fréquence).

Paiement sans contact par carte bancaire

La carte bancaire disposant du pictogramme  permet de payer un achat en approchant celle-ci de 3 à 4 centimètres environ du terminal du commerçant, sans avoir besoin de saisir le code confidentiel, de signer et de présenter une pièce d’identité. Pour des raisons de sécurité, le montant maximum d’un paiement était limité à 30 euros par opération pour les cartes émises à compter du 1er octobre 2017. Depuis le 11 mai 2020, ce plafond a été fixé à 50 euros[1] afin de payer de manière facilitée et sans contact physique les achats du quotidien, contribuant ainsi au renforcement de la sécurité sanitaire dans le commerce de détail.

En plus du plafond de 50 euros, la banque fixe un montant maximum cumulé des achats avec paiement sans contact pour une périodicité donnée (par jour, semaine ou mois) ainsi qu’un nombre maximum de transactions consécutives autorisées.

Le paiement sans contact par téléphone mobile

Le paiement sans contact par téléphone mobile (M. paiement ou paiement mobile) vise notamment à transformer son téléphone portable équipé d’une puce NFC en un appareil de paiement, semblable à un portefeuille électronique, à partir duquel un consommateur pourra effectuer des paiements, réaliser des opérations financières de portable à portable ou encore s’équiper d’applications bancaires pour tout type de transaction. Dans le cas d’un paiement sans contact basé sur la technologie NFC, le mobile agit comme une carte de paiement sans contact. Ce qui signifie que si un téléphone mobile est équipé du système NFC et que la banque du titulaire du téléphone propose un service de paiement par téléphone mobile, il est possible d’effectuer des achats de faible montant avec un plafond de 50 euros par opération comme pour la carte bancaire sans avoir besoin de saisir le code confidentiel, de signer et de présenter une pièce d’identité.

Désormais, la puce peut être insérée dans d’autres types de support que la carte, comme par exemple le téléphone mobile. La puce du téléphone peut être lue simplement en approchant le téléphone mobile d’un terminal de paiement.

Le succès du paiement sans contact s’est amplifié avec la crise sanitaire du coronavirus

Le paiement sans contact, un « geste barrière »

Dans la décision de relever le plafond du paiement sans contact de 30 à 50 euros, Bercy a joué un rôle catalyseur car il y voit un « geste barrière » face au coronavirus. Le Ministre de l’Economie, Bruno Le Maire, a déclaré dans un communiqué que « les banques françaises ont répondu à l’appel en relevant le plafond du paiement sans contact. C’est une bonne nouvelle et une vraie simplification du quotidien pour tous les français. C’est surtout un « geste barrière » important pour protéger la santé des consommateurs et des commerçants ». De son côté, l’Organisation mondiale de la santé (OMS) a appelé début mars 2020 à privilégier le paiement sans contact.

Depuis le début de la crise sanitaire, nous voyons fleurir sur les vitrines des commerçants l’inscription « paiement en CB uniquement ». Ces derniers refusent les règlements en espèces. Le fait qu’un achat réglé au moyen d’un paiement sans contact soit considéré comme un « geste barrière » n’autorise pas un commerçant à refuser un paiement en espèces par crainte du virus. En effet, un commerçant qui refuse un paiement en argent liquide en invoquant le risque de contagion par la manipulation des pièces et des billets est dans l’illégalité et la discrimination. Erick Lacourrège, directeur général des services à l’économie et du réseau de la Banque de France rappelle à cet égard que seules les espèces ont cours légal en France. « Cela signifie qu’elles ne peuvent être refusées dans le cadre d’une transaction. Il est essentiel que les citoyens aient la liberté de choix du moyen de paiement qu’ils souhaitent utiliser ». Un commerçant qui refuse un paiement en espèces est passible d’une amende de 150 euros. En outre, son attitude pourrait être qualifiée de « refus de vente », une pratique qui est interdite par le Code de la Consommation. De même, sur le site « service-public.fr » un article publié le 11 mai 2020 met en avant l’illégalité de ces pratiques. « Le paiement en espèces est le seul moyen de paiement que le commerçant est dans l’obligation d’accepter ». Hormis son illégalité, ce type de refus est discriminant car comme le souligne Erick Lacourrège « les espèces constituent bien souvent pour les populations les plus fragiles, le seul moyen de paiement possible : plus de quatre millions de Français sont bénéficiaires chaque mois de prestations sociales versées, dans une très grande proportion en espèces. Il est vital que ces derniers puissent continuer à faire leurs achats avec ce moyen de paiement ». En outre, la pratique consistant à interdire les paiements en espèces au sein d’un commerce revient à exclure des personnes qui ne possèdent pas d’autres moyens de paiement comme les mineurs, les majeurs protégés, les personnes sans abri.

L’épidémie du coronavirus a favorisé le paiement sans contact

Le paiement sans contact, en forte croissance en France, progresse encore plus vite depuis le début de la crise sanitaire. Selon une étude du groupement des cartes bancaires CB, cette progression est de l’ordre de 4% en moyenne, en pleine pandémie de Covid-19. De manière générale, cette hausse a été constatée dans les secteurs restés en activité comme les magasins alimentaires, les pharmacies, les centres médicaux, etc.

Le paiement sans contact a certes progressé mais les Français restent toujours attachés aux « espèces sonnantes et trébuchantes ».

Paiement sans contact et risques de fraude

L’utilisation du paiement sans contact comme « geste barrière » ne doit pas faire perdre de vue les risques de fraude. En effet, des chercheurs en cryptographie mettent en garde contre ce système de paiement qui comporte des failles de sécurité.

Paiement sans contact et vol des données

La technologie NFC est piratable. En effet, une communication sans fil peut être interceptée à distance, par un pirate équipé d’un lecteur NFC ou intégré dans un smartphone. En 2011, Renaud Lifchiz, ingénieur sécurité chez British Telecom, déclarait que les cartes utilisant la communication en champ proche présentaient des failles de sécurité : aucun chiffrement ni authentification dans ces cartes. Il démontrait qu’avec une clé USB NFC, ou un smartphone, il était possible de capter les ondes… et d’accéder à des données personnelles. De son côté, Pierre-Alain Fouque, enseignant chercheur en informatique à l’UMR IRISA à Rennes et spécialiste de la cryptographie se méfiant du paiement sans contact, avait demandé à sa banque de désactiver la puce NFC sur sa carte bancaire. Il avait lancé une alerte en déclarant que « si l’on se promène dans la rue, avec notre carte NFC dans la poche ou le sac, il est tout à fait possible pour un pirate passant près de nous d’intercepter nos données », grâce à un faux lecteur, comme un téléphone portable ou un ordinateur. Enfin, la Commission nationale pour l’informatique et les libertés (CNIL) mettait en garde contre les nombreuses failles de sécurité du système de paiement sans contact, potentiellement piratable au moyen d’un simple téléphone portable.

Paiement sans contact et absence d’authentification

Nous avons vu précédemment que le paiement sans contact permettait de régler un achat en approchant la carte bancaire ou le téléphone portable muni d’une puce NFC à moins de 4 centimètres d’un terminal sans composer son code confidentiel, sans signer et sans présentation d’une pièce d’identité. Bref, ce système de paiement ne nécessite plus d’authentification. Nous vous laissons imaginer les conséquences d’une absence d’authentification en cas de perte ou de vol. Le magazine « 60 millions de consommateurs » prévient qu’en cas de vol ou de fraude à la carte bancaire, l’opposition ne suffit pas toujours. Depuis la mise en place du paiement sans contact, le voleur d’une carte peut effectuer des transactions jusqu’à ce qu’il atteigne le plafond qui peut être journalier et qui est défini par la banque du titulaire de la carte. L’opposition effectuée n’agirait pas sur la fonctionnalité « paiement sans contact » car le terminal de paiement des commerçants n’envoie aucune demande d’autorisation à la banque.

Que penser de cette absence d’authentification alors qu’à la demande de l’Union Européenne l’authentification forte des paiements (Strong Customer Authentication) est entrée en vigueur le 14 septembre 2019 (voir deuxième directive sur les services de paiement/DSP2).


[1] Voir ordonnance n° 2020-534 du 7 mai 2020 portant diverses dispositions en matière bancaire, publié au JORF du 8 mai 020.

Laisser un commentaire