obOpen Banking Lab
GlossaireSTETBlogContact
Technique

EMV / NFC

EMV (puce) et NFC (sans contact)

EMV est le standard mondial des cartes à puce (1996, Europay-Mastercard-Visa) qui a éliminé la fraude par copie de piste magnétique. NFC est la couche radio sans contact (contactless) qui s'appuie sur EMV.

Voir aussi :CBVisa / MastercardTokenisation carte3D SecurePOS / TPE / mPOS / SoftPOSSCA

Définition

EMV est le standard mondial des cartes à puce dans le paiement, développé par EMVCo (consortium fondé en 1994 par Europay, Mastercard et Visa, rejoints depuis par Amex, JCB, Discover et UnionPay).

Il définit comment la puce d'une carte dialogue avec le terminal pour authentifier le porteur, vérifier le PIN et signer cryptographiquement la transaction. NFC (Near Field Communication) est la couche radio sans contact (13,56 MHz, portée < 4 cm) qui transporte ces mêmes messages EMV entre la carte (ou un téléphone) et le terminal — le « sans contact ».

EMV vs piste magnétique

Avant EMV, les paiements reposaient sur la piste magnétique : données en clair, copiables avec un simple lecteur (skimming), d'où l'explosion de la fraude par contrefaçon dans les années 1990. EMV a apporté :

  • Cryptogramme dynamique : à chaque transaction, la puce signe un message unique, impossible à rejouer.
  • Vérification du PIN (offline ou online) par cryptographie.
  • Authentification de la carte par le terminal (clé du réseau).
  • Liability shift : depuis 2015 dans l'EEE, la fraude sur une transaction non-EMV est portée par la partie qui n'avait pas déployé EMV.

Résultat : la fraude sur carte présente en France est tombée à 0,007 % des volumes (Observatoire BdF 2024), l'un des taux les plus bas au monde.

NFC : la couche sans contact

NFC est une technologie radio courte portée (ISO 14443, ISO/IEC 18092). Pour le paiement, le terminal alimente la puce sans contact, qui répond par un message EMV signé, traité comme une transaction EMV classique. NFC n'est donc que la couche radio : une carte NFC effectue toujours une transaction EMV.

Plafonds sans contact

Comme le sans contact se fait sans PIN, il est plafonné :

  • France : 50 € depuis mai 2020 (relevé pendant le Covid, vs 30 € avant).
  • Cumul SCA : au-delà de 150 € cumulés ou 5 transactions consécutives sans SCA, le terminal demande le PIN.
  • Apple Pay / Google Pay : pas de plafond, car la SCA est faite sur le téléphone (biométrie).
  • À l'international : 25 à 100 £ au UK, 50 à 200 € en Allemagne.

Apple Pay / Google Pay : NFC + tokenisation

Quand vous payez en NFC avec un wallet :

  1. Le wallet tokenise votre carte (DPAN — Device Primary Account Number).
  2. La SCA est faite localement (Face ID, Touch ID, code).
  3. Le téléphone émet un message EMV signé via NFC, avec un cryptogramme propre au wallet.
  4. Le terminal le traite comme un EMV NFC normal, sans jamais exposer le vrai PAN.
  5. Le réseau (Visa, MC, CB) détokenise côté émetteur.

Apple Pay est ainsi plus sûr qu'une carte physique NFC : pas d'exposition du PAN, SCA systématique, pas de plafond.

Tap to Pay et SoftPOS

Depuis 2022 en France, un commerçant peut accepter un paiement NFC sur son propre téléphone, sans terminal physique :

  • Stripe Tap to Pay, Adyen Tap to Pay, myPOS Glass, Worldline Tap on Mobile.
  • Idéal pour un livreur, un commerçant ambulant ou un agent, sans investir 200 à 400 € dans un TPE.
  • Repose sur EMV + NFC + certification PCI MPoC.

Ce qu'EMV et NFC ne sont pas

  • EMV n'est pas le sans contact : il désigne la puce et le protocole ; il existe des cartes EMV à insertion seule.
  • NFC n'est pas réservé au paiement : badges d'accès, transports (Navigo, Oyster), partage de fichiers…
  • EMV n'est pas un protocole complet : il ne couvre que la présentation au terminal ; routage et autorisation passent par les réseaux via ISO 8583.
  • NFC n'élimine pas toute fraude : une carte volée permet des paiements rapides sous 50 €, d'où les plafonds et compteurs SCA.

Dans l'écosystème PSD2

EMV + NFC forment la technologie d'acceptation physique. Pour la SCA, le PIN EMV vaut possession + connaissance (2 facteurs). Le NFC sans PIN repose sur l'exemption « low value » (≤ 50 €) avec compteurs cumulés. Apple Pay / Google Pay font la SCA sur le téléphone, ce qui la satisfait quel que soit le montant.

Exemples concrets

  • Cartes EMV en France : 100 % des cartes depuis 2010 sont à puce, et sans contact NFC depuis 2015. La piste magnétique subsiste en fallback pour les pays ayant migré plus tard (US, Asie).
  • Plafond NFC : 50 € depuis mai 2020 ; au-delà d'un cumul ~150 € sans SCA, le PIN est demandé.
  • Adoption : plus de 90 % des transactions de proximité sous 50 € sont en sans contact en 2025 (vs ~40 % en 2018), une accélération massive liée au Covid.
  • Apple Pay : pas de plafond, SCA systématique, forte pénétration chez les moins de 35 ans.
  • SoftPOS : Stripe Tap to Pay sur iPhone (lancé en France en 2024) transforme tout iPhone XS+ en terminal — idéal pour livreurs, traiteurs et food trucks.
  • Migration US : les États-Unis ont basculé tardivement en EMV (2015, carte présente seulement) et restent en retard sur le NFC face à l'Europe.
  • EMV 3DS : EMV ne couvrait que le présentiel ; EMV 3DS (3DS2) en étend les principes à l'e-commerce, sous l'égide d'EMVCo.
  • Limite future : la montée des paiements A2A (Pix, Wero) pose à terme la question de la place du couple carte EMV + NFC, sans remplacement à court terme.

Sources

Retour au glossaire