Qu'est-ce qu'une passerelle de paiement ? Définition et fonctionnement
Une passerelle de paiement est le composant central de tout achat en ligne — pourtant, son fonctionnement reste souvent mal compris. Ce guide explique clairement ce qu'est une passerelle de paiement, comment elle fonctionne, qui sont les acteurs impliqués et en quoi elle diffère d'un PSP ou d'un acquéreur.
Définition : qu'est-ce qu'une passerelle de paiement ?
Une passerelle de paiement (en anglais payment gateway) est un service technologique qui permet à un commerçant d'accepter des paiements par carte bancaire ou par tout autre moyen de paiement électronique. Elle joue le rôle d'intermédiaire entre le site e-commerce (ou le terminal de vente) et les réseaux bancaires.
Concrètement, la passerelle capture les données de paiement saisies par le client, les chiffre, les transmet à la banque acquéreuse du commerçant, puis reçoit la réponse d'autorisation (accord ou refus) et la retourne au site marchand — le tout en quelques secondes.
La passerelle de paiement est en quelque sorte le « lecteur de carte » du commerce en ligne : elle fait le lien entre le client, le commerçant et les banques.
Comment fonctionne une passerelle de paiement ?
Une transaction par carte en ligne suit un processus précis en plusieurs étapes :
1. Saisie des données de paiement
Le client entre ses informations de carte (numéro, date d'expiration, cryptogramme) sur le formulaire de paiement. Ce formulaire est hébergé directement par la passerelle ou intégré via un SDK JavaScript, afin que les données ne transitent jamais par les serveurs du commerçant.
2. Chiffrement et transmission
La passerelle chiffre les données en TLS (Transport Layer Security) et les envoie au PSP (Payment Service Provider) ou directement à la banque acquéreuse du commerçant.
3. Demande d'autorisation
L'acquéreur transmet la demande d'autorisation au réseau de carte (Visa, Mastercard, CB…), qui la fait suivre à la banque émettrice du client (la banque qui a émis la carte).
4. Réponse d'autorisation
La banque émettrice vérifie le solde, les limites et la validité de la carte, puis renvoie une réponse : autorisation accordée ou refusée. Cette réponse remonte la chaîne jusqu'à la passerelle.
5. Confirmation au commerçant
La passerelle transmet le résultat au site du commerçant (via une API ou une redirection). Si le paiement est accepté, la commande est validée et la page de confirmation s'affiche pour le client.
6. Capture et règlement
L'autorisation gèle les fonds sur le compte du client. La capture (ou remise en banque) déclenche le virement effectif des fonds vers le compte du commerçant, généralement dans un délai de 24 à 72 heures selon les contrats.
Les acteurs de l'écosystème de paiement
Comprendre la passerelle de paiement nécessite de distinguer les différents intervenants :
| Acteur | Rôle | Exemples |
|---|---|---|
| Commerçant | Vend des biens ou services et accepte les paiements | Boutique e-commerce, SaaS, marketplace |
| Client / porteur de carte | Initie la transaction avec sa carte bancaire | Toute personne effectuant un achat |
| Passerelle de paiement | Capture, chiffre et transmet les données de paiement | Stripe, Adyen, Mollie, Lyra, Payplug |
| PSP | Fournit passerelle + acquiring + services associés | Stripe, Adyen, Worldline, PayPal |
| Acquéreur | Banque du commerçant, contractualise et règle les fonds | BNP Paribas, Crédit Agricole, Worldline |
| Réseau de carte | Achemine les autorisations entre acquéreur et émetteur | Visa, Mastercard, Carte Bancaire (CB) |
| Émetteur | Banque du client, émet la carte et autorise (ou non) le paiement | N'importe quelle banque de détail |
Passerelle de paiement vs PSP : quelle différence ?
La confusion entre ces deux notions est très fréquente. Voici la distinction essentielle :
- La passerelle de paiement est un composant technique : elle gère le flux de données entre le commerçant et les réseaux bancaires.
- Le PSP (Payment Service Provider) est un fournisseur de service qui propose, en plus de la passerelle, l'acquiring (contrat de traitement des cartes), la gestion des risques et des fraudes, le reporting, les remboursements et parfois la conversion de devises.
En pratique, la plupart des commerçants souscrivent directement à un PSP comme Stripe ou Adyen, qui inclut sa passerelle. Les très grandes entreprises peuvent en revanche avoir leur propre acquéreur et utiliser une passerelle indépendante pour plus de flexibilité.
Les types de passerelles de paiement
Passerelle hébergée (redirect)
Le client est redirigé vers une page de paiement hébergée par le PSP pour saisir ses données. Simple à intégrer, aucune responsabilité PCI-DSS pour le commerçant. Exemple : PayPal Standard.
Passerelle intégrée (hosted fields / SDK)
Le formulaire de paiement s'affiche sur le site du commerçant mais les champs sont des iframes sécurisées hébergées par le PSP. Meilleure expérience utilisateur, responsabilité PCI-DSS limitée. Exemple : Stripe.js, Adyen Web Components.
Passerelle API directe (server-to-server)
Les données de carte transitent par les serveurs du commerçant avant d'être envoyées à la passerelle via une API. Contrôle total sur l'expérience, mais certification PCI-DSS niveau 1 obligatoire. Réservée aux grandes entreprises.
Sécurité : comment une passerelle protège-t-elle les données ?
La sécurité est au cœur du fonctionnement d'une passerelle. Plusieurs mécanismes entrent en jeu :
- Chiffrement TLS : toutes les données transitent en HTTPS avec un chiffrement fort.
- Tokenisation : le numéro de carte réel est remplacé par un jeton (token) sans valeur pour les fraudeurs.
- 3DS2 (Authentification forte) : protocole d'authentification multifacteur exigé par la directive DSP2 en Europe.
- Certification PCI-DSS : toute passerelle doit respecter le standard de sécurité des données de carte bancaire.
- Détection de fraude : analyse comportementale et scoring en temps réel pour bloquer les transactions suspectes.
Comment choisir sa passerelle de paiement ?
Le choix dépend de plusieurs critères clés : le volume de transactions, les moyens de paiement à accepter (cartes, virements, wallets…), les marchés ciblés, les capacités techniques de l'équipe et bien sûr le coût total.
Notre comparatif des meilleures passerelles de paiement détaille les 10 principales solutions du marché avec leurs forces, faiblesses et tarifs.
Questions fréquentes
Quelle est la différence entre une passerelle de paiement et un PSP ?
La passerelle est le composant technique qui transmet les données. Le PSP est l'entreprise qui fournit l'ensemble du service : passerelle, acquéreur, gestion des risques et reporting. Un PSP inclut presque toujours sa propre passerelle.
Une passerelle de paiement est-elle obligatoire pour vendre en ligne ?
Oui. Pour accepter des paiements par carte en ligne, vous devez disposer d'une passerelle de paiement, qu'elle soit fournie par un PSP (Stripe, Adyen, Mollie…) ou soit une solution indépendante connectée à votre acquéreur.
Combien coûte une passerelle de paiement ?
Les PSP comme Stripe facturent une commission par transaction (1,4% + 0,25€ pour les cartes européennes en carte-présente). Les grandes entreprises négocient des tarifs interchange++ directement avec leur acquéreur, souvent bien moins chers à partir d'un certain volume. Voir notre guide sur les frais de passerelle.
La passerelle de paiement est-elle sécurisée ?
Oui, à condition de choisir une solution certifiée PCI-DSS. Les passerelles utilisent le chiffrement TLS, la tokenisation et l'authentification forte (3DS2) pour sécuriser chaque transaction.
📚 Pour aller plus loin :