Le Terminal de Paiement Électronique (TPE)

Le Terminal de Paiement Électronique, communément appelé TPE (Point Of Sale terminal), est utilisé par tous presque chaque jour tout au long de l’année. Présent partout dans le monde par millions et sous différentes formes, il est devenu un moyen incontournable pour effectuer nos paiements de proximité. Il s’agit du fameux boîtier plastique qui permet l’acceptation de nos cartes bancaires et le traitement des transactions réalisées chez les commerçants. Sa fréquence d’utilisation et sa simplicité en font un objet presque transparent pour les clients. Ainsi, par habitude, nous y insérons notre carte bancaire et saisissons notre code confidentiel pour payer chez un commerçant. Comment fonctionne-t-il ? A qui est-il destiné ? Quels services offre-t-il ? Levons le voile sur ces zones d’ombres et éclairons cet objet du quotidien au travers une série d’articles.

Un TPE : définition et objectifs

Le TPE est un dispositif permettant l’acceptation d’un moyen de paiement en vue de la réalisation d’un paiement de proximité. Ce terminal est caractérisé par 3 fonctionnalités majeures :

  • l’échange d’information avec des cartes de paiement (lecture électronique ou magnétique)
  • la réalisation de divers contrôles (sécurité, validité, etc.)
  • la transmission des transactions vers l’acquéreur (autorisation, télécollecte)

Un unique TPE est en capacité de traiter les transactions quels que soient le réseau et la banque de la carte du porteur. En pratique, cela se traduit par l’installation de différentes applications sur le TPE et la mise en place de paramétrages spécifiques. Ainsi, l’acceptation de chaque réseau bancaire nécessite la présence sur le terminal de l’application correspondante (CB, MasterCard, Visa, Amex, JCB, CUP, etc.).

Physiquement, le TPE peut prendre différentes formes mais possède toujours les caractéristiques essentielles suivantes :

Le Terminal de Paiement Électronique (TPE)

  • un écran,
  • un clavier,
  • un dispositif de lecture des données d’une carte.

Laïus sur la notion de propriété

Il faut noter que le commerçant n’est pas systématiquement propriétaire du terminal de paiement qu’il exploite. En effet, il peut tout aussi bien être propriétaire que locataire ! Ce bien appartient alors soit à sa banque, soit à une société tierce. A cet effet, un contrat de location doit être négocié et signé entre les parties prenantes.

Nous reviendrons sur cette notion et ses implications dans un article spécifique.

Identification du TPE

Le TPE est identifié par un numéro spécifique appelé Identifiant du Terminal de Paiement (ITP) d’une longueur de 12 caractères et composé de la façon suivante :

  • Code constructeur (sur 3 caractères)
  • Numéro de version MPE (sur 3 caractères)
  • Type de matériel (sur 3 caractères)
  • Version du logiciel (sur 3 caractères)

Domaine d’application

Le domaine d’application du TPE est assez vaste et de nombreuses fonctionnalités sont envisagées pour les années à venir. A titre d’exemple, il est aujourd’hui possible de :

  • réaliser un paiement de proximité chez un commerçant
  • payer un commerçant à distance (VAD : vente à distance)
  • payer un bien en plusieurs fois
  • effectuer une pré-autorisation
  • échanger de l’argent contre des espèces (service cash)
  • échanger de l’argent contre des objets (service quasi-cash)
  • payer avec une carte prépayée

Principes de fonctionnement – le rôle central du TPE

Cinématique de paiement « on-line »

Prenons un cas des plus classiques aujourd’hui en France : le paiement de proximité avec demande d’autorisation chez un commerçant par un porteur d’une carte à puce CB. C’est ce que l’on appelle une transaction « on-line » car le TPE communique en temps réel avec la banque acquéreur (émission d’une demande d’autorisation et réception de la réponse).

  1. Le commerçant saisit le montant de la transaction sur son TPE et valide
  2. Le porteur insère sa carte bancaire dans le TPE du commerçant
  3. Le TPE effectue différents contrôles vis-à-vis de cette carte et invite le porteur à saisir son code
  4. Le porteur saisit son code confidentiel sur le terminal et valide
  5. Le TPE prépare et envoie une demande d’autorisation à la banque acquéreur (son unique interlocuteur qui aura la charge de contacter la banque du porteur). En parallèle, il informe porteur et commerçant qu’une demande d’autorisation est en cours
  6. Le TPE reçoit une réponse à la demande d’autorisation (dans notre cas, supposons-la positive) et en informe porteur et commerçant
  7. Le TPE finalise la transaction, informe que la carte doit être retirée
  8. Le TPE imprime un ticket preuve de la transaction pour le porteur, un autre pour le commerçant (contenant notamment le numéro de la transaction et parfois, selon les pays et réglementations, le numéro de la carte du porteur en clair) et historise électroniquement les informations relatives à cette transaction.
  9. En fin de journée, le TPE transmet l’ensemble de ces « preuves » à la banque acquéreur au cours d’une télécollecte afin d’effectuer la compensation.

NB : la cinématique de paiement, explicitée ici, se concentre volontairement sur le rôle joué par le TPE et suppose qu’aucune erreur n’intervient (cas passant).

Cinématique de paiement « off-line »

Un autre cas rencontré encore plus fréquemment est le paiement de proximité sans demande d’autorisation. Cette transaction est dite « off-line » car le TPE ne communique pas avec la banque acquéreur. Le processus d’acceptation de la transaction est ainsi géré de bout-en-bout localement et de conjointement par la carte et le terminal. La cinématique est quasi-équivalente moyennant l’absence des étapes n°5 et n°6.

Un acteur essentiel de la chaîne monétique

Le TPE est ainsi une pièce fondamentale et incontournable pour réaliser une transaction de proximité. Tout repose sur ce terminal qui est la porte d’entrée vers les systèmes de paiement. Il constitue ainsi une des briques du Front-Office (sujet sur lequel nous reviendrons dans un article dédié).

Les acteurs

Plusieurs acteurs physiques gravitent autour du terminal de paiement :

  • le commerçant qui le détient et dont il se sert pour récolter le fruit de son travail
  • le client (ici le porteur de la carte) qui l’utilise pour effectuer les paiements
  • la société de maintenance qui assure au commerçant un service après-vente et de dépannage

Suivant le contexte, la banque du commerçant peut également être présente en tant que propriétaire du terminal (ce n’est pas toujours le cas). Cependant, elle intervient systématiquement lors du paramétrage et de l’activation du terminal par le biais de la carte de domiciliation. Bien évidemment, elle intervient aussi, de façon automatique (pas en tant qu’acteur physique), pour jouer son rôle d’acquéreur des transactions (cf. paragraphe suivant).

NB : Les industriels sont délibérément omis de cette liste puisqu’ils n’interviennent pas lors de l’utilisation en production de leurs machines. Ils feront l’objet d’un paragraphe spécifique dans le prochain article sur le sujet.

Les interactions autour du TPE

Au cours de la réalisation d’une transaction, le TPE communique avec différents acteurs et serveurs. Le schéma ci-dessous résume les interactions possibles.

Les interactions autour du TPE
Les interactions autour du TPE

Cet article assez général a pour but de fournir une vision sur cette machine que nous utilisons tous. Aujourd’hui, l’usage que nous en faisons et les interactions que nous avons avec ce terminal évoluent peu à peu. En effet, le développement du paiement sans contact et l’introduction timide de la biométrie risque de modifier, voire bouleverser cet écosystème (cf. le cas récent des États-Unis qui en adoptant la norme EMV ont imposé aux commerçants et aux banques la mise à niveau massive de leur parc de TPE).

Les prochains articles sur les TPE aborderont les notions d’applications bancaires et de services (EDIT : article disponible ici), les enjeux liés à la sécurité et la partie hardware du terminal. Un article spécifique au marché des TPE est également en préparation.

0 commentaires à propos de “Le Terminal de Paiement Électronique (TPE)

  1. Bonjour,

    Concernant l’ITP, n’y aurait-il pas une inversion entre :

    – Type de matériel (sur 3 caractères)
    – Numéro de version MPE (sur 3 caractères)

    Cdt

      • bonjour Jérémy j’ai beau retourner mon TPE dans tous les sens je ne vois aucun numéro à 12 caractéres:
        voici ce que j’ai:
        serial: 15 caractères
        emei: 15 caractères
        et un dernier qui est de 9 caractères

        • Bonjour Aymar,
          C’est tout à fait normal ! Le numéro ITP permet l’identification du TPE d’un point de vue matériel et logiciel. La nature de l’identification est ainsi différente des serial number et autre emei que vous mentionnez.
          L’information est donc à trouver via le menu de configuration du terminal.
          Jérémy

          • Merci Jérémy pour la prompt réaction, je vais vérifier mon terminal dès que possible.

  2. Bonjour, merci pour cette excellente série d’articles. Au point 8 de la cinématique, il est mentionné que le ticket commerçant contient les données porteurs en clair. Ceci devrait être rarement le cas de nos jours, car même si il est possible de rendre ceci conforme au standard PCI DSS, cela nécessite de la part des marchands une complexité de gestion sécurisée de ces tickets alors que ces données sont parfaitement inutiles, on peut retrouver le porteur par le no de transaction sans avoir son numéro de carte.

    A ma connaissance en France, seul AmEx font encore les difficiles et demandent les données porteurs sur les tickets commerçants et seulement ceux en mode signature manuscrite. C’est en tout cas ce que nous avons réussi à obtenir sur le marché Français (aucun autre de nos points de vente dans le monde n’imprime un PAN sur un ticket, quel qu’il soit, depuis plusieurs années)

    Le GIE Cartes Bancaires était déjà bien en retard en adressant le problème des PAN entiers en demandant le masquage dans le bulletin No 13 (2013), mais en plus ont jugé utile de ne protéger que le PAN du ticket que le porteur va garder dans son portemonnaie pas très loin de sa carte… plutôt que les centaines ou milliers de tickets commerçants empilés dans les tiroirs des arrière-boutiques…

    Il y a encore beaucoup de progrès à faire pour diminuer les fraudes, donc 🙂

    • Bonjour Stéphane,
      Merci pour ce retour très instructif et toutes mes excuses pour cette réponse tardive.

      Le point que vous soulevez sur la gestion des tickets commerçant est effectivement très structurant et problématique vis-à-vis de la conformité à PCI DSS. C’est ainsi assez surprenant que le Bulletin 13 ne soit pas plus « incisif » sur ce sujet. Disons qu’une première étape a été franchie avec le nouveau masquage sur le ticket client (uniquement présence des 4 derniers chiffres en clair)… et comme vous le mentionner justement, ironiquement stocké avec la carte bancaire !

      NB : Pour clarifier l’article, je vais préciser le fait que, suivant les différents pays et réglementations en vigueur, le ticket commerçant ne contient pas nécessairement le numéro de carte bancaire.

      Jérémy

  3. bonjour Jeremy, j’avais une autre préocupation. suivant ta description
    Code constructeur (sur 3 caractères)
    Numéro de version MPE (sur 3 caractères)
    Type de matériel (sur 3 caractères)
    Version du logiciel (sur 3 caractères)

    j’aimerai savoir quel est le numéro qui va différentier 2 terminaux d’un meme constructeur exemple 2 ingénico EFT930G

    • On est dans le cadre logiciel et non hardware.
      En EMV (l’application carte bancaire) il est définit 2 paramètres:
      – le n° commerçant
      – le n° de terminal
      avec 2 terminaux autonomes vous aurez le même n° commerçant mais un terminal aura le n° de terminal positionné à 01 et le second à 02 par exemple.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*