Conformité EMV : Ce que vous devez savoir

Qu'est-ce que l'EMV ?

EMV® est une technologie développée et gérée par American Express, Discover, JCB, Mastercard, UnionPay et Visa. Il s'agit d'une norme mondiale pour les cartes de crédit utilisant des puces électroniques afin d'authentifier les transactions par carte à puce. Les puces EMV chiffrent les informations bancaires, ce qui les rend bien plus sécurisées que les anciennes cartes à piste magnétique. La technologie EMV a été créée principalement pour lutter contre la fraude à la carte de crédit.

Lorsqu'une fraude par contrefaçon ou par perte et vol survient, les titulaires de carte peuvent perdre confiance en leur produit de paiement, en leur banque et en le commerçant chez lequel la fraude a eu lieu. Dans la plupart des cas, l'émetteur devra clôturer le compte et risque ainsi de perdre des clients. Un commerçant peut perdre les revenus liés à l'achat frauduleux et potentiellement des transactions futures de la part du titulaire de carte.

Les cartes EMV sont des cartes à puce (également appelées cartes à circuit intégré ou cartes IC) car elles stockent leurs données sur des circuits intégrés. Elles intègrent également la technologie MagStripe classique afin de garantir la compatibilité ascendante.

Bien que certaines réticences puissent exister parmi les parties concernées quant à l'adoption de la technologie de paiement EMV (Home Depot et Walmart ont intenté des poursuites contre des émetteurs de cartes), les experts en sécurité estiment que la migration des commerçants constitue une étape essentielle dans la lutte contre la fraude qui survient généralement aux terminaux de paiement en magasin.

Cela revêt une importance capitale en raison de la progression constante de la fraude à la carte de crédit. Depuis octobre 2015, si un client utilise une carte à puce frauduleuse et que le commerçant ne dispose pas d'un lecteur de carte EMV, ce commerçant pourrait être tenu responsable de la fraude. C'est ce que l'on appelle le « transfert de responsabilité ». Comme nous le verrons plus loin, cette date a été repoussée à octobre 2020 pour les stations-service et les épiceries de proximité, en raison de leur situation particulière.

La migration EMV vers les cartes à puce a constitué et constitue encore un chantier d'envergure considérable. Premièrement, toutes les cartes à piste magnétique doivent être remplacées par des cartes à puce. On compte environ 1,2 milliard de cartes de paiement actives aux États-Unis, émises par les banques émettrices. Deuxièmement, l'ensemble des terminaux de point de vente (PDV) et des terminaux de paiement sont en cours de mise à niveau pour accepter les cartes à puce, un processus coûteux dont la facture totale est estimée entre 8 et 12 milliards de dollars.

Qu'est-ce que la conformité EMV ?

Comment savoir si vous êtes en conformité ? Auparavant, les émetteurs de cartes de crédit assumaient la responsabilité des fonds détournés lors d'une transaction frauduleuse. Désormais, la responsabilité en cas de fraude ou de litige de paiement incombe à la partie la moins conforme au nouveau système EMV. En d'autres termes, elle est transférée aux commerçants qui n'ont pas pleinement intégré la technologie EMV. Ainsi, si vous effectuez un glissement de carte alors qu'une insertion est requise, les émetteurs refuseront de vous rembourser. Et le simple fait d'accepter les cartes EMVne signifie pas que vous ne pouvez plus traiter les cartes à piste magnétique (la plupart des cartes à puce comportent également une piste magnétique au verso).

Si un client utilise une carte à piste magnétique sans puce et que la carte est glissée, le commerçant ne sera pas tenu responsable en cas de litige de paiement EMV. Il est toujours recommandé, à titre de bonne pratique commerciale, de vérifier la pièce d'identité du client au moment d'autoriser le paiement. Les clients de bonne foi ne devraient pas s'opposer à cette mesure de sécurité supplémentaire, qui les protège au même titre que le commerçant.

En revanche, si un client glisse une carte dotée d'une puce, le commerçant pourrait être tenu responsable d'un litige de paiement EMV. Il serait alors judicieux pour le commerçant de passer à un lecteur de cartes EMV : ainsi, si le client insère sa carte au lieu de la glisser, le commerçant ne pourra être tenu responsable d'un tel litige.

Le transfert de responsabilité ne s'applique pas lorsque les cartes sont utilisées dans le cadre d'une transaction « sans présentation de la carte », ni lorsque la fraude résulte d'une perte ou d'un vol de carte. Dans ce cas, les règles de responsabilité et de rétrofacturation restent identiques à celles en vigueur. Les commerçants qui réalisent la totalité de leurs ventes en ligne n'ont pas à se préoccuper du transfert de responsabilité.

La conformité EMV est-elle imposée par la loi ?

Non, pas réellement. Il appartient à chaque entreprise de décider si elle souhaite ou non effectuer la mise à niveau. Toutefois, même si le transfert de responsabilité EMV n'a pas force de loi, il est vivement conseillé de se prémunir contre tout risque de responsabilité lié à un litige de paiement EMV, dans votre intérêt et celui de votre entreprise.

La migration vers la technologie EMV présente un autre avantage, au-delà de la protection contre le transfert de responsabilité. Les lecteurs de cartes compatibles EMV peuvent également prendre en charge la technologie de communication en champ proche (NFC). Celle-ci permet aux clients d'approcher leur carte de débit ou de crédit à quelques centimètres du lecteur pour effectuer leur transaction. Le paiement « Tap and Go » est la toute dernière fonctionnalité proposée aux clients, qui apprécieront que vous leur offriez une expérience d'achat simplifiée.

Le secteur pétrolier : un cas particulier de conformité EMV

Le secteur pétrolier fait partie des industries qui bénéficieront d'un délai supplémentaire pour se conformer à la technologie EMV.

En 2013, dernière année mesurée par le désormais disparu MarketFacts du National Petroleum News, les États-Unis comptaient 152 995 stations-service au total. Les supérettes de proximité représentent environ 80 % des ventes de carburant aux États-Unis. Seule une petite fraction de ces points de vente appartient aux grandes compagnies pétrolières. Cela signifie que la majorité des stations sont détenues par des propriétaires indépendants, selon les données de la NACS, l'association du commerce de proximité et de la distribution de carburant.

Dans ce contexte, il n'est guère surprenant que les stations-service se trouvent à des stades très différents d'adoption de l'EMV. Une situation similaire s'est produite lorsque les grandes enseignes du commerce de détail ont adopté la technologie EMV, prenant ainsi de l'avance sur les petits commerçants. Ces derniers ont néanmoins dû se mettre à niveau pour rester compétitifs.

De nombreuses stations-service sont actuellement en cours de tests et d'obtention de certifications, tandis que d'autres préfèrent regrouper plusieurs mises à niveau en une seule opération. La durée de vie des pompes à carburant étant d'environ 15 ans, il est naturel de vouloir intégrer un maximum de nouvelles technologies en une seule intervention. Le coût de la transition des pompes à carburant américaines vers l'EMV est estimé à 7 milliards de dollars, un tiers des pompes existantes devant être remplacées.

Visa a reconnu que le secteur pétrolier présente des défis qui lui sont propres, et a donc fixé la date d'activation de la puce pour les distributeurs automatiques de carburant (DAC) deux ans après celle des commerces traditionnels. Les stations-service et les supérettes de proximité auront besoin de plus de temps pour passer à l'acceptation des cartes à puce, en raison de l'infrastructure complexe et des technologies spécialisées que requièrent les pompes à carburant. Par exemple, dans certains cas, les pompes plus anciennes doivent être remplacées avant de pouvoir y intégrer des lecteurs de puce, ce qui nécessite l'intervention de prestataires spécialisés et peut même impliquer de percer du béton ! Cinq ans après l'annonce par Visa du transfert de responsabilité, des difficultés persistent quant à l'approvisionnement en matériels et logiciels EMV conformes aux exigences réglementaires.

Visa a collaboré avec l'ensemble des acteurs de la chaîne de paiement. Il a été établi que les taux de fraude aux pompes à carburant sont relativement faibles, représentant seulement 1,3 % de la fraude au paiement totale aux États-Unis. C'est pourquoi Visa a décidé de reporter la date d'activation de la conformité EMV pour les DAC aux États-Unis du 1er octobre 2017 au 1er octobre 2020. En revanche, le transfert de responsabilité EMV applicable aux distributeurs automatiques de billets (DAB) n'a pas été modifié et est entré en vigueur comme prévu le 1er octobre 2017.

Les États-Unis accusent un certain retard par rapport au reste du monde, mais rattrapent rapidement leur retard dans la mise en œuvre de la technologie EMV. Les avantages de cette adoption sont indéniables.

ID TECH est un fournisseur de premier plan de périphériques de paiement, expert en lecture de piste magnétique (MagStripe), en contact EMV et en sans-contact EMV. Fondée en 1985 en Californie, la société a ouvert son siège régional pour l'Asie à Taïwan en 2016. Pour en savoir plus sur ses produits dédiés aux transactions de paiement mobile, rendez-vous sur Les solutions de paiement mobile d'ID TECH.