obOpen Banking Lab
GlossaireSTETBlogContact
Sécurité

Tokenisation carte

Tokenisation carte (DPAN, network tokens)

Remplacement du PAN (16 chiffres de la carte) par un token spécifique au marchand, au wallet ou au device. Limite l'exposition du numéro réel et augmente l'authorization rate.

Voir aussi :EMV / NFCVisa / MastercardCB3D SecurexPay (Apple Pay / Google Pay)PSP acquéreur

Définition

La tokenisation carte remplace le PAN (le numéro de carte à 16 chiffres) par un token : une chaîne équivalente mais différente, à usage restreint à un wallet, un device, un marchand ou un canal.

Le token n'a aucune valeur s'il est volé hors de son contexte. C'est l'une des briques de sécurité majeures du paiement carte moderne, poussée par les réseaux (Visa Token Service, Mastercard MDES) et adoptée partout : Apple Pay, Google Pay, Click to Pay, vaults PSP.

Les 3 types de tokens

DPAN (Device PAN)Merchant tokenPSP vault token
Émis parRéseauRéseauPSP acquéreur
Lié àUn deviceUn marchandUn compte PSP marchand
UsageApple Pay / Google PayClick to Pay, abonnementsTous les paiements via ce PSP
StandardEMVCoEMVCoPropriétaire

Les network tokens (DPAN + merchant tokens) sont standardisés EMVCo ; les vault tokens PSP sont propriétaires.

Pourquoi tokeniser

  • Sécurité : en cas de data breach marchand, les tokens volés sont inutilisables ailleurs ; le PAN réel n'est jamais stocké.
  • Authorization rate : +2 à +5 points avec les network tokens, car le réseau garantit au scoring émetteur la légitimité du token.
  • Card lifecycle : si la carte est renouvelée, le token reste valide (le réseau reroute en interne) — fini le churn d'abonnements sur cartes périmées.
  • PCI-DSS allégé : ne plus stocker de PAN réduit le périmètre d'audit.

Comment ça marche

  1. Le porteur saisit son PAN (ou ajoute la carte à un wallet).
  2. Le marchand ou le wallet demande un token au réseau (VTS pour Visa, MDES pour Mastercard).
  3. Le réseau génère un token unique, lié à un contexte précis.
  4. Le marchand ne stocke que le token.
  5. Au paiement, il transmet le token au réseau.
  6. Le réseau détokenise côté émetteur — le PAN n'est jamais exposé en dehors de l'émetteur et du réseau.
  7. L'émetteur autorise sur la base du token et du contexte.

Apple Pay / Google Pay

Le DPAN est le token le plus répandu : à l'enrôlement, votre carte devient un DPAN propre à votre iPhone ; chaque transaction envoie un cryptogramme dynamique + DPAN ; changer d'iPhone régénère un DPAN. L'émetteur sait que c'est Apple Pay et traite la SCA comme déjà validée — d'où un authorization rate plus élevé et un taux de fraude plus bas.

Click to Pay

Initiative conjointe Visa + Mastercard + Amex + Discover pour standardiser le checkout e-commerce via des merchant tokens : le porteur s'enrôle une fois, est reconnu par email/téléphone sur n'importe quel site Click to Pay, choisit sa carte et confirme — le marchand reçoit un token, pas le PAN. Adoption progressive en Europe depuis 2023, mais UX encore inégale faute de coordination rapide entre réseaux.

Ce que la tokenisation n'est pas

  • Pas du chiffrement : un token n'est pas un PAN chiffré (déchiffrable), mais un identifiant indépendant mappé côté réseau.
  • Pas une carte virtuelle : une carte virtuelle a son propre PAN ; un token est un alias du PAN principal.
  • Pas la fin du PCI-DSS : le marchand qui manipule un PAN à la saisie reste partiellement dans le scope.
  • Pas universelle : tous les marchands ne supportent pas encore la tokenisation network ; les vaults PSP (Stripe, Adyen) la généralisent en backend.

Dans l'écosystème PSD2

La tokenisation network s'intègre nativement dans 3DS2 : le marchand transmet le token, et l'ACS applique un scoring souvent plus généreux en frictionless vu la sécurité accrue. C'est l'un des moteurs de la baisse continue de la fraude carte en EEE.

Exemples concrets

  • Apple Pay / Google Pay : DPAN systématique sur 100 % des transactions, reconnu par tous les émetteurs.
  • Click to Pay : déploiement progressif depuis 2022, fortes adoptions chez certains grands marchands, encore modéré en France.
  • Vault Stripe : le token pm_xxx stocke les cartes des clients et exécute les abonnements ; Stripe gère la tokenisation network en coulisses.
  • Abonnement Spotify : à la réémission d'une carte, le network token est mis à jour automatiquement, sans coupure de paiement.
  • Authorization rate : +2 à +5 points avec les network tokens, soit +1 à +3 % de CA sur les abonnements.
  • PCI-DSS : ne stocker que des tokens permet de viser le SAQ-A (le plus léger), contre SAQ-D pour qui stocke des PAN.
  • Limite : la couverture des network tokens n'est pas uniforme entre réseaux ; CB déploie progressivement son support EMVCo.

Sources

Retour au glossaire