Aller au contenu

Le Blog Pleo

Demandez une démo
Une représentation visuelle de l'infrastructure de paiement de Pleo.

L’avantage des cartes Pleo ? Il existe plusieurs façons de les utiliser. Vous bénéficiez aussi bien d’une carte physique que d’une carte virtuelle, que vous pouvez utiliser avec Apple Pay et Google Pay. Nos clients veulent quelque chose de pratique, nous le leur offrons.

Seulement, une carte pratique ne fait pas tout. Il faut également que les clients se sentent en sécurité. Et nous sommes fiers de pouvoir dire que c’est le cas pour au moins 99 % d’entre eux.

Alors, comment Pleo garantit-il la sécurité des paiements ? Pour le savoir, nous avons échangé avec Parth Parikh, directeur produit senior chez Pleo, qui gère la partie paiement du produit, et avons cherché à savoir ce qui se cachait derrière une transaction Pleo.

Que se passe-t-il quand j’effectue une dépense avec ma carte Pleo ?

Il existe généralement deux types de transactions par carte : les « transactions avec présentation de carte » et les « transactions sans présentation de carte ».

Prenons l’exemple d’un café réglé avec présentation de carte :

Plusieurs acteurs entrent en jeu, à commencer par le commerçant chez qui vous utilisez votre carte Pleo, puis l’acquéreur (SumUp par exemple), qui fournit le terminal de paiement. Les informations de la carte sont tout d’abord ingérées par le terminal lorsque vous présentez votre carte, puis envoyées au réseau (Mastercard, dans le cas de Pleo) par l’acquéreur. Toutes nos cartes dépendent en effet de ce réseau, qui identifie ensuite l’émetteur de la carte. Si vous êtes l’heureux propriétaire d’une carte Pleo, l’émetteur est Pleo lui-même. Enfin, le message envoyé par le réseau est reçu par l’émetteur de la carte, qui décide d’approuver ou non la dépense.

Cependant, le niveau de chiffrage du message de Mastercard est très complexe. Le format ISO 20022 est très spécifique, et la plupart des émetteurs sont incapables de le lire ; cela nécessiterait un investissement colossal en infrastructure. C’est pourquoi nous nous tournons vers Enfuce, qui simplifie le processus en traitant la transaction. Le gestionnaire de traitement de cartes ingère le message provenant de Mastercard, le simplifie et le renvoie à Pleo, qui peut ensuite lire la transaction et décider ou non de l’approuver. Ce procédé n’est pas inhabituel, et seules les grandes banques traitent elles-mêmes leurs cartes. Il est souvent plus simple de s’en remettre à l’expertise d’une autre entreprise.

Quelle est la différence entre les différents réseaux comme Mastercard et Visa ?

C’est en général l’émetteur qui choisit le réseau ; dans le cas de Pleo, il s’agit de Mastercard, avec qui l’entreprise a un contrat. Même si l’acquéreur envoie des signaux à tous les réseaux, il détecte celui choisi par l’émetteur.

Techniquement, les divers réseaux ne présentent aucune différence. C’est comme faire vos courses dans un magasin A ou un magasin B, le résultat ne change pas.

L’avantage de Mastercard est cependant d’être acceptée par plus de 30 millions de commerçants dans le monde, ce qui fait de Pleo la solution de dépenses idéale.

Le choix d’une carte de crédit ou d’une carte d’entreprise repose en grande partie sur son taux d’acceptation. Ceci étant dit, pour quelles raisons une carte risquerait-elle d’être refusée ?

Il en existe plusieurs :

Il est possible que l’acquéreur du commerçant ne fonctionne tout simplement pas avec certains réseaux. Ce n’est pas le commerçant qui choisit d’accepter ou non une carte, mais l’acquéreur utilisé.

Il se peut également, dans de très rares cas, que l’acquéreur fonctionne bien avec le réseau auquel appartient la carte, mais que les informations de la carte soient étrangères et qu’une vérification basée sur les risques soit donc déclenchée. Ce peut être le cas si vous utilisez par exemple une Mastercard coréenne à Aruba.

Enfin, il est possible que l’acquéreur accepte les informations de la carte et que le réseau les ingère, mais que la transaction ne corresponde pas du tout aux normes standard de l’émetteur, si celle-ci enfreint des paramètres configurés pour la transaction par exemple (limite de dépenses journalières, etc.).

Le moteur de risque de Pleo repose sur des règles de surveillance des transactions indiquant le niveau de fiabilité d’une transaction ou d’un commerçant en particulier. En cas de risque, la transaction est vérifiée et la carte est immédiatement gelée si besoin est. Si vous effectuez des dépenses dans un pays à risque avec votre Mastercard, il est possible que la transaction passe par le gestionnaire de traitement de cartes, mais que l’achat soit refusé par Pleo, car le pays dans lequel vous vous trouvez est sujet à des sanctions ou à un risque de blanchiment d’argent. Dans ce cas, la transaction sera tout simplement rejetée.

Ces règles peuvent être personnalisées, et sont également intuitives. En effet, le moteur retient les données déjà ingérées pour les utiliser lors de futures transactions. Par exemple, si vous utilisez souvent la carte chez un commerçant en particulier, le moteur comprend que la transaction est fiable.

À quel moment mon argent quitte-t-il réellement mon compte Pleo ?

La première phase, dite d’« autorisation de la carte », se termine lorsque Pleo, en tant qu’émetteur, approuve une transaction. Vient ensuite la phase du « règlement ».

Lors de la première phase, aucun mouvement d’argent n’est encore réalisé, l’émetteur autorise simplement la transaction. Le commerçant peut ensuite se rapprocher de Pleo pour récupérer le solde restant. L’étape finale du « règlement », qui survient généralement deux jours après la transaction, consiste à régler le commerçant en utilisant l’argent qui se trouve sur votre portefeuille Pleo.

Prenons un exemple : lorsque vous louez un véhicule, vous devez verser une caution. Cette caution est autorisée et bloquée sur votre carte, mais n’est en réalité jamais prélevée, à moins d’avoir endommagé le véhicule. C’est le même principe.

Vous avez la possibilité de contester un achat effectué avec votre carte Pleo même si la transaction a déjà été réglée, par exemple en cas de fraude ou si vous vous rendez compte qu’une dépense a été effectuée sans que vous en ayez connaissance ou sans votre autorisation. Vous pouvez ainsi faire une demande de remboursement. Cette démarche peut prendre plusieurs jours et doit être examinée par le commerçant. Entre les phases d’autorisation et de règlement, il a en effet la possibilité de stopper le transfert d’argent ou d’organiser un règlement partiel.

Nos clients doivent recharger leur portefeuille Pleo pour utiliser leur carte. Où l’argent est-il stocké exactement ?

L’argent ne nous parvient pas directement. 

Nous sommes associés à des banques fiables dotées d’un réseau de paiement mondial bien connecté, comme J.P. Morgan, Banking circle et Danske Bank.

Pour être plus précis, lorsque vous rechargez votre portefeuille, les fonds sont virés en premier lieu sur un compte sécurisé chez J.P. Morgan (ou Danske Bank pour nos clients basés au Danemark et en Suède). Dans les faits, personne, ni nous ni qui que ce soit d’autre, n’a accès directement à votre argent.

Si une transaction est réalisée et que Mastercard recherche les fonds nécessaires, Pleo prélève l’argent auprès de J.P. Morgan ou de la Danske Bank.

Pleo est donc l’émetteur des cartes utilisées par ses clients. Est-ce une pratique courante chez les fournisseurs de solutions de dépenses professionnelles ?

Certains de nos concurrents émettent également directement leurs propres cartes, d’autres ne font que les réguler. Ils ont cependant toujours la possibilité de surveiller les transactions et de définir des règles que l’émetteur devra suivre.

Qu’est-ce qui change avec un paiement par carte virtuelle ?

La seule différence entre une carte virtuelle et une carte physique est que les informations d’une carte virtuelle ne sont stockées sur aucun support physique. Vous pouvez effectuer une transaction avec présentation de carte dans les deux cas, car vous apposez sur un terminal soit votre carte physique, soit votre smartphone ou votre montre connectée, comme si vous utilisiez votre carte physique.

En tant qu’émetteur, il est important de savoir si une transaction s’effectue avec ou sans présentation de carte. Une transaction sans présentation de carte serait par exemple un achat en ligne effectué à l’aide des informations de votre carte physique ou de votre carte virtuelle.

Est-ce que cela signifie que les risques sont les mêmes pour les cartes physiques et les cartes virtuelles ?

Vous courez davantage de risques à effectuer un achat si vous le faites sans carte, quelle que soit la façon de présenter cette carte.

En ce qui concerne la sécurité des paiements, les cartes virtuelles et les cartes physiques se valent.

Au final, le fait que le commerçant et l’utilisateur de la carte ne se trouvent pas dans la même pièce rend les transactions en ligne ou sans présentation de carte plus risquées que les transactions hors ligne.

Puisqu’aucun terminal d’acquéreur physique n’est impliqué dans les paiements en ligne, comment une transaction en ligne est-elle traitée ?

Lors de transactions en ligne, les commerçants utilisent souvent un acquéreur tiers comme PayPal, qui nécessite de saisir les informations de votre carte. Les étapes suivantes sont sensiblement les mêmes que pour les paiements hors ligne : l’acquéreur envoie un message au réseau, qui en envoie également un au gestionnaire de traitement de cartes, puis l’émetteur autorise ou non le paiement.

Cependant, pour des raisons de sécurité, les émetteurs doivent également se conformer à l’étape d’authentification client forte, qui concerne uniquement les transactions sans présentation de carte. Si l’émetteur ne reconnaît pas un commerçant, vous recevez une notification sur votre téléphone vous demandant d’approuver la transaction.

Pour déterminer la fiabilité d’un commerçant, Pleo a conçu un moteur intelligent.

Précisons cependant qu’il existe deux entreprises Pleo : Pleo Financial Services et Pleo Technologies. Quel rôle jouent-elles dans les transactions ?

Enfuce et Pleo font partie de Pleo Financial Services, entité financière réglementée par la FSA au Danemark. Seules les entreprises financières enregistrées peuvent émettre des cartes. La technologie utilisée par le service financier peut toutefois être hébergée dans une entité séparée, car il peut l’acheter dans un but précis, par exemple déterminer la fiabilité d’un commerçant. Dans le cas de Pleo, Pleo Financial Services achète cette technologie auprès de Pleo Technologies, société technologique qui développe des logiciels. Notre appli, par exemple, est conçue par Pleo Technologies. Il s’agit de deux entreprises séparées.

Il est assez courant que les entreprises proposant une solution de dépenses offrent leur produit final via deux entités différentes.

Existe-t-il d’autres avantages à ce que Pleo émettent ses propres cartes grâce à Pleo Financial Services ?

Pleo Financial Services nous permet de faire appliquer nos propres réglementations en termes de conformité et de prévention de la fraude, et de maintenir une relation privilégiée avec le régulateur financier.

Le respect des réglementations ne dépend d’aucune autre institution, et les défaillances d’autres organismes en termes de gouvernance ne nous concernent pas.

Comment rassurer les clients et leur garantir que leur argent est en sécurité ?

Toutes les cartes Pleo sont sécurisées, notamment grâce à nos processus de détection et de protection contre la fraude. Les achats sont contrôlés par des algorithmes de détection des fraudes, et les cartes sont temporairement gelées en cas d’activité suspecte.

Vous pouvez nous faire confiance pour gérer vos paiements et sécuriser vos données : nous appliquons les normes les plus strictes et nos certifications nous permettent également de sécuriser vos transactions et les données associées :

Le certificat PSD2 vous assure une protection de toutes vos transactions, risquées ou non. Comme nous l’avons vu plus tôt, notre moteur de risque implique des exigences de base auxquelles nous pouvons ajouter d’autres règles. Les paris, par exemple, ne sont pas interdits par le régulateur, mais nous avons décidé de proscrire l’utilisation des cartes Pleo pour ce genre d’activité, par mesure de sécurité. L’authentification client forte permet ici également de sécuriser davantage tous les paiements ainsi que le processus d’authentification de l’utilisateur.

Le certificat PCI DSS gère la confidentialité et la sécurité de vos données. À chaque transaction avec présentation de carte, vos données sont tokénisées, ce qui signifie que même si quelqu’un y avait accès, il ne lui serait pas possible de les interpréter. Vos données restent totalement chiffrées et sont protégées par les plus hautes normes de sécurité bancaire.

La Protection responsabilité zéro franchise de Mastercard garantit la sécurité des clients de Pleo et de leurs transactions. En cas d’utilisation frauduleuse de votre carte, nous procéderons à un remboursement. 

Pleo est en totale conformité avec la réglementation RGPD découlant des exigences relatives à la Confidentialité des données et à la sécurité en Europe. Nous utiliserons les données des clients dans le strict cadre autorisé par la loi. Nous ne les partagerons avec aucune agence de marketing de site Web, et vous ne recevrez aucune newsletter ni quoi que ce soit d’autre sans l’avoir autorisé au préalable.

Nous puisons dans les meilleures technologies pour garantir que nos cartes ne soient associées à aucune activité criminelle.

Vous aimerez sûrement…