Avant-propos : Le PIN ONLINE, qu'est-ce que c'est et est-ce utile pour vos paiements ?
Qu'est-ce que le PIN ONLINE ?
Le PIN ONLINE (ou "code PIN en ligne") est une méthode de vérification du code PIN de votre carte bancaire qui s'effectue en temps réel auprès de votre banque.
Cette technologie a d'ailleurs été mise sur le devant de la scène en France avec l'arrivée de la norme FRv6 et du "Sans Contact Plus". C'est grâce au PIN ONLINE que vous pouvez désormais effectuer des paiements sans contact de plus de 50 € : après avoir approché votre carte du terminal, celui-ci vous demande de saisir votre code PIN pour valider cette transaction d'un montant élevé.
La différence essentielle : la puce de la carte ou le serveur de la banque ?
La révolution du PIN ONLINE est simple à comprendre. Auparavant, avec la méthode "Offline", la puce de votre carte bancaire vérifiait elle-même votre code secret localement, sans connexion directe à la banque.
Aujourd'hui, avec le PIN ONLINE, la logique s'inverse. Le code que vous tapez est chiffré et envoyé pour être vérifié directement par le serveur de votre banque.
La vérification n'est donc plus locale mais nécessite une interrogation.
En bref, avec le PIN ONLINE, la validation de votre code se fait à distance et de manière centralisée par l'émetteur de votre carte, ajoutant un niveau de sécurité indispensable pour les transactions de montants plus importants.
À quoi ça sert concrètement ?
L'objectif principal du PIN ONLINE est de renforcer drastiquement la sécurité des transactions.
Voici ses avantages clés :
- Sécurité Maximale contre la Fraude : Si votre carte est volée, les fraudeurs ne peuvent pas l'utiliser même en connaissant le code, car chaque tentative est immédiatement vérifiée par la banque. Celle-ci peut ainsi bloquer la transaction si la carte a été déclarée volée ou si l'activité est jugée suspecte.
- Vérification Systématique : Contrairement à d'autres méthodes (comme la vérification "offline" où le terminal valide lui-même le code stocké sur la puce), le PIN ONLINE garantit un contrôle à chaque paiement.
- Indispensable pour certaines cartes : C'est la méthode de vérification standard pour de nombreuses cartes de débit et cartes prépayées, notamment celles des néobanques, qui nécessitent une autorisation systématique pour s'assurer que les fonds sont bien disponibles sur le compte.
Le rôle clé des certificats bancaires
Cette communication chiffrée entre le terminal et les serveurs de la banque n'est possible que si le TPE dispose des certificats de sécurité adéquats.
Chaque banque doit fournir ces certificats pour que ses cartes puissent être authentifiées via le PIN Online sur les terminaux des commerçants.
L'injection de ces certificats dans les TPE est donc une étape indispensable pour activer le "Sans Contact Plus".
De nombreuses banques ont déjà joué le jeu et fourni les leurs, permettant ainsi à leurs clients de régler des achats supérieurs à 50 euros sans avoir à insérer leur carte.
Actuellement, deux principaux types de certificats sont utilisés par les grandes banques françaises :
- (36)AES DUKPT 2017) : Adopté par le Crédit Agricole SA, la Société Générale, La Banque Postale, le groupe BPCE (Banque Populaire, Caisse d’Épargne), BNP Paribas et LCL.
- (6)TDES DUKPT) : Utilisé notamment par le Crédit Mutuel Arkéa et La Banque Postale.
Crédit Mutuel - CIC - Euro Information :
Une banque qui appartient à ses clients : ça change tout ?
Vous en êtes vraiment sûr ? 🤔
Une stratégie de "séquestration" qui ne date pas d'hier ?
C'est sur ce point que la situation se complexifie pour les commerçants clients du groupe Crédit Mutuel / CIC...
Cette pratique rappelle d'ailleurs une habitude bien connue des professionnels équipés par cette banque : celle des cartes de domiciliation de location volontairement bridées. Depuis des années, les contrats de domiciliation CB (carte commerçant, ou MID) sonts configurées pour ne fonctionner qu'avec les terminaux loués via leur propre prestataire (Euro Information), cette technique empêchant toute tentative du commerçant de changer de fournisseur de TPE.
Aujourd'hui, cette logique de "séquestration" semble se répéter...
Selon les informations remontées par de nombreux professionnels, le groupe CM/CIC aurait pris la décision de ne distribuer les certificats PIN ONLINE qu'aux commerçants qui louent un terminal de paiement auprès de la banque.
En conséquence, un commerçant propriétaire de son terminal Ingenico, même si celui-ci est techniquement compatible, se verrait refuser l'activation du PIN ONLINE. Il ne pourrait donc pas proposer le "Sans Contact Plus" à ses clients, affichant le fameux message "PIN ONLINE INACTIF" lors d'une transaction à plus de 50 €.
Cette situation crée une distorsion de concurrence, pénalisant les commerçants qui ont fait le choix d'investir dans leur propre matériel afin de ne pas être dépendant du prestataire de leur banque.
L'exaspération des commerçants face à des conseillers démunis
Le mécontentement gronde parmi les commerçants affectés. Nombre d'entre eux ont tenté d'obtenir des explications auprès de leurs conseillers bancaires, mais se sont heurtés à un mur d'incompréhension. Le manque de formation du personnel bancaire sur ces sujets techniques et monétiques est souvent pointé du doigt, les conseillers étant incapables d'expliquer la nature du problème lorsqu'on leur parle de "certificats PIN Online".
Une pratique de CM/CIC à la légalité douteuse...
Cette situation soulève de sérieuses questions sur le plan juridique. Le fait de lier une fonctionnalité technique essentielle (le PIN Online) à un contrat de location de matériel pourrait être considéré comme une pratique anticoncurrentielle.
Pour être plus concret, c'est comme si votre banquier vous obligeait à souscrire l'assurance de sa banque pour vous accorder un crédit immobilier. Or, on sait que cette pratique de vente liée est non seulement déloyale, mais surtout strictement interdite par la loi. Même s'il est connu que certains conseillers l'utilisent encore comme un moyen de pression, la règle est formelle : on ne peut subordonner l'obtention d'un service à l'achat d'un autre.
Le parallèle est saisissant. La réglementation européenne (DSP2) vise précisément à garantir un marché des paiements ouvert et concurrentiel. En ce sens, le refus de fournir les certificats PIN ONLINE à des commerçants au seul motif qu'ils ne louent pas leur terminal auprès d'une filiale désignée pourrait être attaqué en justice, car il va à l'encontre de l'esprit et de la lettre de ces législations.