Déjà introduite par BNP Paribas, la carte bancaire biométrique débarque en septembre dans les caisses régionales du Crédit Agricole. Comment fonctionne-t-elle ? Combien coûte-t-elle ? Et, surtout, a-t-elle réellement un intérêt pour les usagers bancaires ?
De bleue à biométrique. En l’espace de 50 ans, la carte bancaire s’est imposée comme le moyen de paiement préféré des Français pour leurs transactions du quotidien. L’an dernier, plus d’un achat sur deux a été réglé par carte bancaire, selon l’Observatoire de la sécurité des moyens de paiement de la Banque de France, avec une montée en puissance du paiement sans contact, dopé par le relèvement à 50 euros de son plafond. Nouvelle étape : quelques banques promeuvent désormais une nouvelle façon de payer en « sans contact » en utilisant une carte biométrique.
Qu’est-ce que c’est une carte bancaire biométrique ?
La carte biométrique est une alternative au code secret à 4 chiffres pour sécuriser un paiement en magasin. Tout comme le passeport biométrique, la carte bancaire contient l’empreinte digitale de son propriétaire. Elle est comparée à chaque transaction avec celle de la personne qui veut se servir de la carte. Si les deux empreintes sont identiques, l’achat est accepté. Sinon le paiement est refusé.
Concrètement, la carte bancaire biométrique est équipée d’un petit lecteur d’empreintes digitales sur lequel le client appose son pouce en même temps qu’il approche sa carte du boîtier de paiement. Gestuellement, cela ressemble au déverrouillage via la touche fingerprint du smartphone. D’ailleurs, ce sont les entreprises du numérique – Google et Apple en Occident – qui sont à l’origine de la démocratisation de la biométrie comme système d’authentification. Le capteur d’empreintes sur la carte est alimenté soit par une petite batterie interne (pour la carte de Thalès proposée par BNP Paribas) soit en utilisant directement l’énergie du terminal de paiement (pour la carte de Giesecke+Devrient distribuée par le Crédit Agricole).
Quelles banques proposent une carte biométrique ?
Deux banques françaises se sont officiellement positionnées sur la carte bancaire biométrique à l'heure où ces lignes sont écrites. La première à avoir dépassé la phase de test s’appelle BNP Paribas. Suite à l’expérimentation grandeur nature débutée à l’automne 2020, la banque confirme à MoneyVox avoir généralisé au premier semestre la commercialisation de sa carte biométrique, « qui est maintenant disponible dans toutes nos agences », assure BNP Paribas. « Tous nos clients pouvant disposer d’une carte Visa Premier peuvent commander une carte biométrique, en contactant nos conseillers qui ont été formés pour ce nouveau produit », poursuit la banque.
Lire aussi : BNP Paribas : les 3 chantiers qui vont changer les habitudes des clients en 2021
Après un pilote de long cours dans trois caisses régionales (Touraine Poitou, Ille-et-Vilaine et Pyrénées Gascogne), le Crédit Agricole s’est également décidé à franchir l’étape de la commercialisation grand public. Le lancement de sa carte biométrique va débuter progressivement à partir de septembre. Car, groupe mutualiste oblige, chaque banque régionale dispose d’une certaine liberté pour fixer son catalogue. La moitié des 39 caisses régionales voudraient d’ores et déjà la proposer à leurs clients.
A notre connaissance, d’autres banques françaises travaillent aussi sur la carte biométrique, dont la Société Générale. « La seconde génération de produits nous semble très prometteuse en termes de fonctionnalités, de performances et de tarifs », explique à MoneyVox la banque rouge et noire.
Pourquoi avoir une carte biométrique ?
Intuitivement, il est tentant de dire que cette méthode d’authentification va servir à améliorer la sécurisation des transactions. Toutefois, ce n’est pas la seule ni la principale raison avancée par les banques distributrices, dans la mesure où la fraude à la carte bancaire est particulièrement rare dans les commerces de proximité. En 2020, 1 euro a été détourné tous les 11 110 euros payés par carte en magasin. S’agissant spécifiquement du paiement sans contact, le taux de fraude est un peu plus élevé mais il reste très faible, avec 1 euro perdu tous les 7 690 euros réglés, et bien en-deçà de la fraude aux distributeurs de billets (1 euro fraudé tous les 3 450 euros retirés) et lors des achats en ligne (1 euro tous les 575 euros payés).
« L’usage de l’empreinte est devenu familier avec les smartphones. Cela permet de ne plus devoir entrer son code PIN et de dépasser le plafond réglementaire de 50 euros pour payer en sans contact », nous explique Pierrick Delolme, responsable du compte Crédit Agricole pour la société Giesecke+Devrient qui fabrique et personnalise les cartes de la banque verte. Dans le contexte de la pandémie, BNP Paribas met en avant l’argument hygiéniste. « La carte biométrique est donc une technologie rassurante à l'heure des gestes barrières et elle apporte encore plus de sérénité et de sécurité à nos clients », complète la communication de BNP Paribas. En revanche, cette technologie a un coût.
Combien ça coûte ?
D’après une enquête d’opinion menée en 2020 au Royaume-Uni, en France, en Allemagne, au Canada et en Australie, et initiée par l’entreprise suédoise Fingerprints spécialisée dans la biométrie digitale, la moitié des 2 000 sondés se disaient prêts à payer 9,5 dollars de plus par an pour une carte biométrique, soit environ 8 euros au cours actuel. Pour l’heure, les banques françaises s’orientent vers une tarification plus élevée. Chez BNP Paribas, l’option biométrie entraine un surcoût de 24 euros par an en plus de la cotisation habituelle de 134 euros de la Visa Premier. A priori, le Crédit Agricole devrait adopter une tarification proche, sachant que, même si l’organe central émet des préconisations de prix, les banques régionales peuvent proposer un tarif différent, à la hausse comme à la baisse.
Sinon, il reste le smartphone pour dépasser le plafond du sans contact…
La carte bancaire biométrique n’est pas la seule façon de contourner le plafond du sans contact de 50 euros par transaction. Les applications de paiement mobile, qui nécessitent d'approcher son smartphone du terminal de paiement, le permettent aussi et gratuitement. Comme dans le cas de la carte biométrique, Apple Pay utilise le capteur biométrique (Touch ID ou Face ID) de ses appareils pour identifier le client. Dans le cas de Paylib, compatible avec les téléphones Android, le code d’accès à l’application est demandé pour les paiements en magasin dépassant 50 euros. Samsung Pay, Google Pay, etc., bien d’autres applications de paiement avec smartphone existent. Cette alternative gratuite fait donc dire à certains observateurs du marché que la CB biométrique est une « innovation inutile », pour paraphraser le consultant-blogueur Patrice Bernard de C’est pas mon idée.
Mais, dans l’immédiat, le paiement via smartphone est encore marginal dans l’Hexagone. Si seulement 9% des Français ont déjà utilisé le paiement mobile, selon les données rapportées par Statista en mars 2021, ce moyen de règlement est bien plus courant dans d’autres pays d’Europe. 19% des Belges et 21% des Espagnols l’ont déjà expérimenté. Cette proportion grimpe à 31% en Pologne. « Le mobile commence à émerger, confirme Pierrick Delolme. Mais les clients ont l’habitude de la carte qui reste un bon format. Historiquement, il y a peu de moyens de paiement qui ont été définitivement remplacés par un autre. Le chèque, les billets de banque, on en produit encore. Le marché tend donc plus vers une multiplication qu’une unicité des moyens de paiement ».
Toutes les cartes bancaires peuvent-elles être biométriques ?
Oui mais non. Technologiquement, rien n’empêche les banques d’équiper leurs cartes classiques et à contrôle de solde de lecteur d’empreintes digitales. Toutefois, BNP Paribas et Crédit Agricole font le choix de ne proposer cette option que sur certaines cartes premium : la Visa Premier pour BNP Paribas, la Gold Mastercard et la World Elite Mastercard s’agissant de la banque verte. « Nous étudions actuellement la possibilité d’étendre la solution à d’autres types de cartes », indique BNP Paribas à la rédaction.
La banque met-elle la main sur vos empreintes ?
Non. « Les empreintes digitales sont stockées dans un élément sécurisé qui se trouve dans la carte bancaire. Elles n’en sortent jamais. Personne n’a accès aux empreintes », explique Pierrick Delolme. Il en va de même pour la carte de paiement biométrique de Thalès. « Une procédure d'enrôlement, simple mais pour autant rigoureuse, a été mise en place en agence pour que les données biométriques ne sortent jamais de la carte », soulignait en juillet par communiqué Jean-Marie Dragon, responsable des paiements et des cartes chez BNP Paribas.
Si BNP Paribas a fait le choix d’un enrôlement en agence, le Crédit Agricole va fournir, en même temps que la carte, un boîtier qui permet aux clients d’enregistrer leurs empreintes à distance. « Ils insèrent leur carte dans le boîtier et l’écran lui indique quelles sont les étapes à suivre. L’objectif est de présenter 10 fois son empreinte du pouce droit, une dernière fois pour valider que l’empreinte a bien été enregistrée. Puis le client fait la même chose avec le pouce gauche, explique Pierrick Delolme qui s’occupe de la carte biométrique du Crédit Agricole. C’est un choix technologique qu’a fait le Crédit Agricole, qui a décidé d’enregistrer deux empreintes pour des raisons pratiques. Car si pour une quelconque raison, l’utilisateur a une empreinte dégradée, il peut utiliser son autre pouce ». De même, le groupe aurait pu aussi passer par une application mobile pour enregistrer les empreintes sur la carte.
Le code secret, c’est vraiment fini ?
Pas tout à fait. La carte biométrique est aussi liée à un code à 4 chiffres qui permet de valider la transaction. « Le contact est une solution de repli lorsque le paiement par empreinte est refusé. Le client insère alors la carte dans le lecteur et entre son code PIN comme une transaction classique », explique Pierrick Delolme. Cela peut arriver en cas de dépassement du nombre autorisé d’opérations successives en sans contact – « un choix sécuritaire paramétrable par la banque », indique le responsable de Giesecke+Devrient –, de dysfonctionnement ou d’incompatibilité du terminal de paiement, ce qui est rare. « La carte est basée sur la même configuration que les transactions par mobile qui fonctionnent sur 90-95% des terminaux », assure Pierrick Delolme.
