MOTO en agence: sécuriser les paiements par téléphone
Prendre une réservation par téléphone reste un rituel quotidien pour de nombreuses petites agences de voyages. Pourtant, derrière un simple « numéro de carte, date d’expiration, cryptogramme », se cache l’une des opérations de paiement les plus risquées : le MOTO (Mail Order / Telephone Order). Sans une méthode rigoureuse, les coûts de rétrofacturations, de non-conformité PCI DSS et d’amendes DSP2 peuvent vite dépasser la marge réalisée sur le dossier.
1. MOTO : rappel et enjeux pour les agences de voyages
Le paiement MOTO désigne toute transaction par carte où le porteur n’est pas présent physiquement et où les données sont communiquées par téléphone ou courrier. Dans le tourisme, il concerne principalement :
- Les acomptes de dernière minute pour bloquer un vol long-courrier.
- Les soldes réglés depuis l’étranger quand le lien de paiement est inaccessible.
- Les modifications ou upsells (bagages, excursion) ajoutés au dossier existant.
Selon le baromètre 2025 de la Banque de France, le taux de fraude sur les paiements carte CNP (Card-Not-Present) atteint 0,174 %, soit 6 fois plus que pour les transactions en point de vente. Les agences qui pratiquent encore le MOTO sans protection adaptée s’exposent donc :
| Risque | Impact financier estimé | Source |
|---|---|---|
| Rétrofacturation (chargeback) | 15 € de frais + montant du billet | FBF 2024 |
| Amende non-conformité PCI DSS | 5 000 € à 50 000 € / mois | Visa Merchant Guidelines |
| Taux de fraude > 0,3 % | Surfacturation acquéreur ou fermeture MID | Observatoire OSMP |
2. Cadre réglementaire : PCI DSS, DSP2 et exemptions SCA
- PCI DSS v4.0 exige que les données sensibles ne transitent jamais en clair ni ne soient stockées dans des environnements bureautiques (e-mail, Excel, bloc-notes).
- DSP2 et l’authentification forte (SCA) rendent théoriquement obligatoire la double authentification. Toutefois, le MOTO bénéficie d’une exemption « MO.TO » : la SCA peut être déléguée à l’acquéreur si l’agence respecte des règles strictes de preuve (horodatage, journal d’appel, scoring, justificatif de consentement).
- RGPD impose d’informer le client sur la finalité et la durée de conservation des données carte, même lors d’un appel.
Bon à savoir : la simple conservation d’un numéro de carte noté sur papier avant de le saisir dans un terminal virtuel élargit votre périmètre PCI et déclenche un SAQ D complet, le plus contraignant.
Pour approfondir, consultez notre article « La réglementation DSP2 expliquée aux agences de voyages ».
3. Points de vulnérabilité d’un flux MOTO
- Canal vocal : usurpation d’identité, appels VoIP anonymes.
- Saisie manuelle : erreurs de frappe (10 % des rejets d’autorisation).
- Absence de preuve : difficile de démontrer le consentement si le client conteste.
- Stockage temporaire : prises de notes, post-it, CRM non chiffré.
- Rapprochement tardif : les anomalies ne sont détectées qu’en fin de mois.
4. Méthode en 5 étapes pour sécuriser les paiements par téléphone
4.1 Vérifier l’identité du porteur
- Demander l’adresse e-mail de réservation et comparer l’empreinte IP du dossier OTA.
- Poser deux questions de contrôle liées au voyage (date de départ, nom du premier passager) pour limiter le phishing.
- Utiliser un script « KYC vocal » et consigner les réponses dans le CRM.
4.2 Utiliser un terminal virtuel certifié PCI
Un terminal de paiement virtuel (VPOS) hébergé chez un PSP certifié PCI DSS niveau 1 permet :
- La saisie directe des données par l’agent dans une fenêtre HTTPS.
- La tokenisation instantanée ; seul le token est renvoyé dans le back-office.
- Le stockage hors système : aucun numéro PAN n’est enregistré chez l’agence.
4.3 Appliquer le « double appel » d’autorisation
Lorsque le montant excède 1 000 €, réalisez :
- Une pré-autorisation pour bloquer la ligne de crédit.
- Une capture après émission du e-ticket ou du voucher.
Cette pratique réduit de 28 % le taux de rétrofacturation sur le segment aérien (étude Elia Pay, Q1 2025, 32 agences).
4.4 Journaliser et réconcilier en temps réel
Connectez votre VPOS à un IBAN virtuel dédié par dossier. Les mouvements banque ↔ dossier sont rapprochés automatiquement, fournissant une preuve d’encaissement à la minute près et simplifiant la production des justificatifs PCI.
4.5 Suivre les KPI et ajuster le scoring
- Taux d’autorisations refusées (> 5 % = alerte).
- Ratio chargebacks / volume (< 0,3 %).
- Délai autorisation → capture (< 24 h).
Un reporting hebdomadaire, comme décrit dans notre guide « Les 12 KPI financiers à suivre absolument », permet de réagir avant la sanction de l’acquéreur.
5. Technologies clés qui réduisent le risque
| Technologie | Principe | Bénéfice pour MOTO |
|---|---|---|
| SCA déléguée « Secure Corporate Travel » | Le PSP certifie l’environnement B2B tourisme | 98 % d’autorisations sans challenge 3-DS |
| Tokenisation réseau | Substitution du PAN par un token acceptée par Visa/MC | Périmètre PCI réduit de 90 % |
| Scoring comportemental IA | Analyse device, voix, historique | Blocage proactif des fraudes volumétriques |
| Cartes virtuelles fournisseurs | Paiement B2B sans exposer les NPA | Évite la revente de numéros dans la chaîne |
| IBAN virtuel par dossier | Encaissement et remboursement tracés | Rapprochement en temps réel |
6. Comment Elia Pay renforce votre dispositif MOTO
Elia Pay a développé une plateforme tout-en-un pensée pour les agences de voyages :
- Terminal virtuel certifié PCI DSS & DSP2 : saisie sécurisée, tokenisation réseau et archivage des preuves audio (option VoIP intégrée).
- Moteur anti-fraude dédié tourisme : règles MCC, détection des numéros « temp » ou cartes prépayées, corrélation dossier / pays de départ.
- IBAN français par dossier : rapprochement automatique dès le règlement, export comptable (Cegid, Gestour, Sage) en un clic. Voir notre « Tutoriel : intégrer un IBAN français à votre logiciel comptabilité ».
- Cartes virtuelles multi-devise pour régler compagnies et DMC sans réutiliser la carte client, limitant les risques de fuite.
- Cashback jusqu’à 1 % sur les cartes virtuelles, permettant de compenser les éventuels frais de rétrofacturation.
Témoignage : l’agence Azur World Travel a abaissé son taux de chargebacks de 0,42 % à 0,11 % en trois mois après avoir migré ses flux MOTO vers Elia Pay (source : étude de cas).
7. Check-list opérationnelle « Appel carte » à remettre à vos conseillers
| Étape | Action | Outil / Preuve |
|---|---|---|
| 1 | Vérifier l’identité du client (deux questions dossier) | Script CRM |
| 2 | Lancer l’enregistrement VoIP (optionnalité RGPD) | Soft-phone |
| 3 | Ouvrir le terminal virtuel sécurisé | Elia Pay VPOS |
| 4 | Saisir le PAN, date, CVC, montant | Masque HTTPS |
| 5 | Valider la pré-autorisation | Token, log VPOS |
| 6 | Renseigner le champ « token » dans le dossier | Back-office |
| 7 | Envoyer le reçu par e-mail + CGV | Modèle transactionnel |
| 8 | Capturer la transaction après émission billet | VPOS |
| 9 | Vérifier le rapprochement sur l’IBAN dossier | Dashboard Elia |
| 10 | Archiver l’appel et le reçu 13 mois | Cloud chiffré |
Copiez-collez ce tableau dans votre manuel qualité et adaptez-le à vos processus internes.
8. Conclusion : transformez un canal risqué en avantage concurrentiel
Le MOTO n’est pas appelé à disparaître ; une part significative des voyageurs privilégiera toujours le téléphone pour finaliser un dossier complexe ou régler un solde urgent. En appliquant une démarche structurée – terminal virtuel, IBAN par dossier, tokenisation, contrôle KPI – vous pouvez réduire la fraude, accélérer la réconciliation et même générer du cashback sur vos achats fournisseurs.
Vous souhaitez auditer gratuitement votre flux MOTO ou tester notre terminal virtuel sécurisé ? Réservez une démo Elia Pay et découvrez comment une plateforme spécialisée tourisme peut protéger vos marges tout en offrant une expérience client fluide.
À propos de l'auteur