De nos jours, on paie par internet, on fait attention au petit cadenas dans la barre d’adresse… et on donne notre numéro les yeux fermés à un site ! Petit tour pour expliquer comment fonctionne l’envers du décor !
Pourquoi un cadenas dans la barre d’adresse ?
Première chose qu’on vous dit quand vous payez sur internet : “Attention au petit cadenas !!”
Ok, mais qu’est-ce que ça représente ce cadenas ?
Tout simplement vous indique que tous les échanges que vous ferez avec ce site sera chiffré (enfin, on dit plus couramment crypté, mais ça reste un abus de langage) : votre ordinateur va négocier avec le site la manière dont ils vous communiquer : comment les échanges vont être chiffrés, avec quel algorithme, quelle clé… ceci va permettre de garantir que si quelqu’un écoutait les échanges entre votre ordinateur et le site (cf. Man In The Middle), il serait incapable de comprendre le moindre mot… y compris donc votre numéro de carte !
Oui, mais comment je sais que les échanges seront bien chiffrés ?
Alors là, c’est le certificat électronique qui va vous le garantir : le site sur lequel vous vous rendez a acheté, auprès d’une société spécialisée, un certificat lui permettant d’authentifier son identité. En gros, pour vous, ça vous permet de savoir que si vous êtes bien sur le site de monsitesecurise.com.
Oui, mais où transite mon numéro de carte bancaire ?

Alors vous êtes sur le site de votre marchand préféré, et vous vous apprêtez à clique sur le bouton “Payer“… à ce moment, des gouttes perlent sur votre front et dix milliards de questions se bousculent dans votre tête : est-ce que j’ai les sous, fais-je une connerie (NDLR: bon, vous aurez 14 jours de délai de rétractation)… mais surtout : est-ce que je vais pas me faire pirater mon numéro, faudra que je surveille mes comptes quand même… et surtout bon, beh ils vont me débiter quand ?!
Alors tout d’abord, il faut savoir que lorsque vous payez avec votre carte sur internet, vous ne donnez jamais votre numéro de carte à votre marchand ! Et pour cause : dans le passé, de nombreux sites se sont fait piratés & les numéros retrouvés sur internet !
Non, votre marchand a passé soit un contrat avec sa banque pour avoir la possibilité de faire du E-Commerce (NDLR: possibilité de paiement par internet) soit directement avec un fournisseur de services de paiement (PSP : Payment Service Provider) comme Lyra Network et sa solution Payzen.
Le PSP : le Fournisseur de Service de Paiement
Donc une fois que vous cliquez sur ce fameux bouton “Payez” pour valider votre commande, le site marchand vous redirige sur le site du PSP pour réaliser le paiement. A ce moment, le marchand n’aura plus aucune connaissance des échanges que vous ferez ; c’est les serveurs du PSP qui lui indiqueront directement le résultat du paiement (car entre nous, le marchand, il se fiche de savoir que vous êtes à la Caisse d’épargne, à la Société Générale, que vous payez avec une CB Visa ou Mastercard… enfin, ça l’intéresse aussi, mais ce qu’il veut savoir lui, c’est s’il doit vous envoyer votre commande & donc si vous êtes solvable !).
Et oui, car vous n’êtes pas débité tout de suite une fois que votre paiement a été accepté !
En effet, pour valider ou non votre paiement, le PSP va faire différentes vérifications (soumises à options… mais ça, c’est contractuel entre le PSP et le marchand ou le marchand et sa banque)… car le but étant de se prémunir au maximum d’une tentative de fraude :
- Contrôles locaux : est-ce que le paiement vient d’un pays “blacklisté” ou d’une IP “blacklistée”, est-ce une carte étrangère et est-ce que le marchand accepte des paiements de l’étranger, est-ce que le marchand a banni ce numéro de carte,…
- Module de risques : certains PSP fournissent un module de risques qui va indiquer au PSP le “niveau de risque” d’accepter le paiement (là, les règles sont nombreuses & variées et passent de l’IP à l’adresse du client, à son type de carte, ses paiements précédents sur le site, le montant de la transaction…)
- 3D-Secure : pour ajouter un niveau supérieur de sécurité, le marchand à la possibilité de demander une validation “3D Secure”, c’est le fameux code que vous recevez par SMS ou via une carte code. Le PSP va demander à votre banque de valider votre identité (d’où le texto car le PSP ne connait pas votre numéro de portable… mais la banque qui vous a fourni votre CB, si !!).
Enfin, une fois tous ces contrôles passés, le PSP va aller demander à votre banque une autorisation de paiement : “Est-ce que M. Dupont avec la carte 4978 xxxx xxxx xxxx 758 a le droit de payer 125€“. La banque renvoie un code d’autorisation permettant au PSP de valider ou non votre paiement.
L’autorisation de paiement
Comme je le disais juste au-dessus, la banque renvoie au PSP un code d’autorisation… mais ne débite en aucun cas votre paiement ! En fait, la banque va se contenter de descendre votre plafond de carte du montant indiqué dans l’autorisation.
Pourquoi je ne suis pas débité tout de suite ???
Parce que votre marchand peut décider de vous faire payer lorsqu’il envoie la marchandise, lorsque vous la recevez ou alors à un autre moment… c’est lui qui décide (enfin tout dépend de son contrat)… donc il peut se passer quelques jours entre l’autorisation et le paiement réel.
Par contre, il a besoin d’avoir une garantie de paiement… d’où la demande d’autorisation qui validera notamment que vous avez l’argent pour payer, que votre carte n’est pas bloquée, que vous n’avez pas dépassé votre plafond…
Par contre, une autorisation est valable 7 jours : la banque garantie donc que le paiement sera honoré sur toute demande dans ce délai !
Donc maintenant, le marchand a l’autorisation de paiement, il est dans les délais de 7j, il va donc maintenant réclamer à votre banque les sous ^^. C’est ce qu’on appelle la remise bancaire (vous savez, comme les remises de chèques que vous remplissez à la banque… beh là, c’est pareil, à part qu’il y en a beaucoup de paiements sur une remise bancaire :))
La remise
Toutes les nuits (oui, même le samedi & le dimanche), le PSP va faire ses remises. C’est à dire qu’il va générer des fichiers pour chacun de ses marchands avec toutes les transactions mises au paiement. Il va indiquer notamment dans son fichier le montant de la transaction, le numéro de carte et le numéro d’autorisation. Ensuite, ces fichiers seront envoyés en banque pour paiement.
C’est à ce moment que le compte du marchand est crédité et que le votre débité !
Et voilà 🙂