Le paiement mobile prend de plus en place dans notre vie d’entrepreneur ou de consommateur.
Mais il se présente sous des formes tellement diverses qu’il devient difficile d’y voir clair.
Qu’est-ce que le paiement mobile exactement ? Comment se passent les paiements NFC ? Et en ligne ? Et Wero et ses QR codes ? Est-ce plus sûr qu’avec une carte plastique ? Ça veut dire quoi CDCVM et SCA ?
Nous répondrons à toutes ces questions, mais d’abord mettons les choses au clair :
Définition du paiement mobile
Le paiement mobile désigne tout paiement réalisé avec un appareil mobile, par exemple un smartphone ou une montre connectée. Selon nous, l’appareil joue trois rôles différents, le deuxième étant primordial :
- identification forte (face ID, touch ID)
- émission des données de paiement (Puce NFC, tokenisation)
- validation de l’intention de paiement (bouton du smartphone ou de l’application).
Voici une tentative de classification des rôles du mobile selon les usages :
| Scénario | 1. Authentification | 2. Émission (Token / Données) |
3. Validation |
|---|---|---|---|
| Achat PC + 3D Secure | OUI (sur mobile) | NON (carte plastique) | NON (clavier PC) |
| Apple Pay en magasin | OUI (Face ID / Biométrie) | OUI (NFC / Token) | OUI (Double clic) |
| Métro | NON (Exemption DSP3) | OUI (NFC / Token) | OUI (Geste de poser sur la borne) |
| Wero (QR Code) | OUI (Appli bancaire) | OUI (Virement A2A) | OUI (Scan + Clic) |
À notre avis si la condition numéro 2 n’est pas remplie, on ne peut pas vraiment parler de paiement mobile.
On voit que n’est pas la distance avec le vendeur qui compte, mais le rôle du mobile.
Il est en effet possible de réaliser un paiement mobile en présence du vendeur, mais aussi à distance, sur un site de commerce en ligne.
Voici une image pour montrer quelques exemples de paiement mobile, avant d’aller plus en détails :
Pour simplifier, nous allons regrouper les usages en distinguant principalement les paiements par NFC des paiements à distance, en finissant avec le cas particulier des paiements par QR code.
Les paiements NFC avec smartphone
Quand on pense paiement mobile, on pense tout d’abord à un paiement de proximité en mode sans contact, réalisé avec le smartphone du client et un terminal de paiement.
Dans ce cas le téléphone du client utilise la technologie sans contact NFC et se fait en quelque sorte passer pour une carte bancaire physique, alors qu’il utilise une carte bancaire virtuelle ou virtualisée intégrée à un portefeuille numérique (wallet), comme Apple Pay, Google Pay ou Samsung Pay.
Grâce à la tokénisation, le paiement mobile est même plus sûr qu’une carte physique, en ce qui concerne les données bancaires, car le numéro de carte n’est jamais transmis au commerçant, mais est replacé par un jeton (token).
Le Tap to Pay
Il faut mentionner une évolution importante : avec le Tap to Pay, ou SoftPOS, le commerçant peut également utiliser les éléments de sécurité de son smartphone, notamment le Secure Element, pour échanger des données de paiement et se passer de terminal.
À l’origine c’était prévu pour que le client valide la transaction avec sa carte physique, s’il utilise son smartphone, on a deux téléphones qui discutent entre eux !
Voir notre sélection de solutions de Tap to Pay.
Premier avantage du paiement mobile, en ce qui concerne l’expérience utilisateur (UX) : plus de limite de paiement de 50 € en mode sans contact, grâce à l’identification biométrique (Face ID, Touch ID).
Pour les petits montants, la validation tactile (Android) et au double clic latéral (Apple), suffisent à activer la puce NFC, d’où une amélioration du temps de passage en caisse, par rapport à une saisie du code PIN.
Enfin, on peut mentionner l’aspect hygiénique, qui fait préférer les paiements pas smartphone à l’entrée manuelle du code sur un terminal de paiement.
Il n’y a pas que les cartes bancaires : les wallets des smartphones permettent en effet de stocker une grande diversité de moyens de paiement : titres-restaurants Conecs, Swile, etc., carte cadeau, pass transport, coupons de réduction, etc.
Les wearable
Ce mot difficile à prononcer par un francophone désigne des objets que l’on porte sur soi et qui sont capables de réaliser des paiements.
Il y a toutes les montres (Apple Watch, Garmin, Fitbit, Samsung, etc.), mais aussi des bagues de paiement ou encore des bracelets NFC.
Dans ce cas il est plus intéressant de laisser le constructeur gérer non seulement l’identification, mais également l’émission des jetons, indépendamment d’une quelconque carte bancaire.
Paiement mobile en ligne : c’est compliqué…
Oui, on peut payer avec son mobile en ligne, c’est-à-dire en validant la transaction avec son mobile, mais c’est un peu plus compliqué qu’en mode NFC.
Cela peut se faire comme avec les paiements de proximité, par l’intermédiaire d’un portefeuille numérique comme Apple Pay. Le client utilise alors la méthode de validation habituelle (Face ID, touch ID, etc.).
Si vous êtes commerçant, découvrez notre sélection de plateformes de paiement en ligne.
On peut aussi payer en ligne avec d’autres applications de paiement :
- Revolut, si vous êtes client de la banque et utilisez le bouton Revolut Pay
- Sumeria, sur les sites qui utilisent Lydia Pro
- PayPal, avec validation dans l’application
- Alma et Klarna pour les paiements en plusieurs fois
- Ou l’application de votre banque (par carte bancaire ou Wero)
Même sur une transaction en ligne, les mobiles iOS jouent un rôle à tous les stades du paiement
On peut d’ailleurs classer les paiements entre amis avec Lydia ou Wero dans la catégorie des paiements mobiles.
Dans certains cas le paiement est initié par une application qui n’est ni une banque ni un PSP (pourvoyeur de services de paiement).
Exemple : Uber Eats. Lorsque l’on s’inscrit, on utilise une authentification forte, ensuite c’est l’application qui gère l’identification en fonction du montant ou d’autres paramètres : elle peut se contenter du déverrouillage du téléphone ou demander une authentification par biométrie.
La facturation par l’opérateur téléphonique
On appelle aussi cette méthode paiement sur facture mobile. En anglais on parle de Direct Carrier Billing.
C’est utilisé pour les abonnements de presse, bouquets thématiques TV, mais aussi sur Google Play et l’App Store, ou encore pour faire des dons.
Deux méthodes :
- envoi d’un SMS+ par l’utilisateur, très utilisé pour les dons ;
- identification avec la carte SIM, plus adaptée aux services en ligne.
Comme c’est très facile de dépenser avec ce système, il y a des plafonds de 50 € par transaction et 300 € par mois, pour protéger le consommateur.
Les QR codes : en ligne et en magasin
En France les QR codes sont encore peu utilisés contrairement à la Suisse et au système TWINT. IL y a bien eu quelques tentatives avec Lydia Pro, mais cela ne s’est pas généralisé.
Les choses devraient changer avec Wero, le remplaçant de Paylib, qui est adopté à l’échelle européenne, et qui concerne pour l’instant 52 millions d’utilisateurs en Europe.
Wero permet de payer de manière instantanée par virement (paiement de compte à compte ou account-to-account A2A), ce qui est plus intéressant financièrement pour le commerçant que les réseaux de cartes comme Visa et Mastercard.
Avec Wero, on paye par QR code soit en ligne, soit en magasin (courant 2026) .
Dans les petits commerces qui n’ont pas de caisse sophistiquée, on peut utiliser un QR code statique
L’application de caisse ou le site d’e-commerce génèrent un QR code dynamique, qui est scanné par le téléphone du client. Les petits commerçant peuvent aussi utiliser un QR code statique à imprimer.
En dehors de Wero, il existe aussi des QR Code statiques, qui permettent de payer avec son téléphone même si le commerçant n’est pas présent, par exemple pour louer des vélos ou une trottinette, ou recharger une carte de transport.
Comme le paiement est initié sur le mobile, on reste dans le domaine du paiement mobile, même si l’identification se fait avec les simples coordonnées de la carte.
L’identification par le smartphone est plus sûre qu’avec la carte bancaire plastique
On a vu que le paiement mobile est plus sûr en ce qui concerne les données bancaires, mais c’est également le cas en ce qui concerne l’identification du porteur de la carte, grâce à la CDCVM (Consumer Device Cardholder Verification Method) ou Méthode de vérification par l’appareil du porteur de carte.
Cette méthode utilise une partie du smartphone qu’on appelle « enclave sécurisée » (Secure enclave), qui est un processeur dédié capable de valider l’identité du porteur. L’ enclave autorise ensuite une puce présente dans le téléphone appelée « élément sécurisé » (Secure element ou SE) à communiquer les éléments de la transaction, dont les fameux tokens.
Le choix de la méthode exacte va dépendre du montant de la transaction. On a vu que pour les petits montants elle pouvait être activée par simple pression du bouton latéral des appareils iOS.
La méthode la plus sécurisée repose sur la biométrie ; elle est utilisée pour les montants de plus de 50 €. C’est une méthode d’authentification forte du client, en anglais SCA (Strong Customer Authentication), conforme aux directives européenne DSP2 et DSP3, qui est bien plus sûre que le paiement sans contact par carte, même avec code PIN, en ce qui concerne l’identification du porteur.
Alternative pour les paiements en ligne avec Android : le HCE (Host Card Emulation) : cette fois-ci les informations inviolables ne sont pas stockées sur le SE du téléphone, mais sur un serveur de Google ; le terminal envoie simplement un jeton d’identification.
