J'écris exceptionnellement deux billets aujourd'hui parce que j'ai vraiment besoin de râler, là.
J'ai commandé quelque chose en ligne (il se peut que ce soient des lunettes) auprès d'un site marchand (il se peut que ce soit Polette) qui insiste pour utiliser PayPal pour la paiement par carte bancaire. Je n'en reviens pas à quel point ce site de merde (je parle de PayPal, là, pas du site qui y fait appel) rend tout tellement plus compliqué.
N'ayant pas envie que n'importe qui puisse payer n'importe quoi n'importe comment avec, je ne saisis pas mon vrai numéro de carte bancaire sur Internet. Jamais. J'utilise des numéros jetables, chacun valable pour un montant prédéfini. En l'occurrence, ce service m'est fourni par Fortuneo, et c'est la raison pour laquelle j'ai ouvert un compte chez eux. (Avant j'utilisais le service analogue de LCL, ma banque « normale », mais ils ont arrêté. Je ne comprends d'ailleurs pas pourquoi, vu que c'est la seule façon raisonnable d'avoir un minimum de sécurité pour les paiements en ligne, et tout le monde devrait utiliser des numéros jetables pour tous les paiements en ligne.)
Quand je veux payer quelque chose en ligne, donc, la procédure est la suivante : je passe la commande sur le site marchand, qui me redirige généralement vers le site d'une banque (quand ce n'est pas cette sale merde de PayPal, justement), où on me demande mon numéro de carte bancaire pour payer N euros ; je me connecte alors, avec un onglet séparé du navigateur, sur le site de Fortuneo, je rentre mes identifiants Fortuneo, je demande à générer un numéro de carte bancaire valable uniquement pour N euros et pour une certaine durée que je choisis, il y a éventuellement une authentification supplémentaire par SMS (raisonnable) avant de générer la carte virtuelle, je recopie ce numéro (ainsi que la date de validité et le code à trois chiffres) sur la page qui me la demandait, il y a éventuellement une autre vérification par SMS (ou simplement de date de naissance lorsque le montant est faible) qui passe par une frame spécifique (3-D Secure), et la commande est acceptée. C'est raisonnablement commode (grâce au copier-coller du numéro) et passablement sûr. Si un site marchand se fait pirater, il ne s'y trouvera que des numéros de carte bancaire valables pour des petits montants, pour une durée courte, et déjà essentiellement vidés de leur crédit. Le seul petit inconvénient ce sont les sites, comme Amazon, qui insistent pour retenir tous les numéros de carte utilisés (ils ne proposent pas une case à cocher pour ne pas les retenir), et sur lesquels j'ai donc des dizaines et des dizaines de numéros jetables expirés (parfois je suis motivé et je fais du ménage).
D'autres petits problèmes peuvent se poser : soit avec les gens qui insistent pour voir la carte utilisée pour le paiement pour retirer un achat, mais ça ça se règle en montrant l'image de la carte virtuelle sur le site Fortuneo, les gens sont contents avec ça ; soit avec les locations, où je ne sais pas forcément exactement combien je vais payer, et dans ce cas je prends une carte à durée moyenne et valable pour un montant qui correspond à un peu plus que ce que je pense dépenser sur cette période : par exemple, mon compte Vélib [location de vélos à Paris] ou Share Now [location de voitures, autrefois Car2Go] sont associés à des cartes jetables valables quelques mois et pour une somme un peu importante mais pas délirante non plus.
Ça c'est quand ça se passe bien, i.e., quand PayPal ne vient pas foutre sa merde dans l'histoire.
En principe, avec PayPal ça devrait se passer de la même manière : le site marchand me redirige vers PayPal pour le paiement, je rentre un numéro de carte bancaire jetable dessus, je clique sur payer, je suis redirigé vers le site marchand, et tout le monde est content.
En pratique, c'est la merde. PayPal veut absolument vous persuader d'ouvrir un compte chez eux. Alors j'ai a priori trois options :
- utiliser un compte PayPal que j'ai créé il y a longtemps, m'y connecter et saisir le numéro de carte bancaire jetable,
- refuser de l'utiliser, entrer mon numéro de carte bancaire et faire comme avec un paiement non-PayPal comme je l'évoque ci-dessus,
- créer un nouveau compte PayPal spécifiquement pour la transaction.
L'option 1 pose plusieurs problèmes. PayPal limite le nombre de cartes de paiement qu'on peut associer à un compte : si je me connecte à ce compte à chaque paiement en ligne et que j'essaie d'y ajouter une nouvelle carte, il jette en me disant qu'il y a déjà trop de cartes ; je peux en effacer une, mais ce n'est pas du tout commode à faire dans la session qui est déjà ouverte pour un paiement. Il faut plutôt penser à effacer les cartes préventivement, mais ça rend la chose beaucoup plus pénible. En plus de ça, comme l'adresse mail associée à mon compte PayPal n'est pas la même que celle utilisée sur le site marchand (forcément), je risque d'avoir un problème de fuite de l'une vers l'autre. De toute façon, cette façon de faire m'est maintenant fermée parce que quelqu'un a décidé qu'il fallait une double authentification pour accéder au compte PayPal, or ils n'avaient comme numéro de contact que ma vieille ligne téléphonique fixe qui n'est plus valable depuis que j'ai déménagé, donc si j'essaie de me connecter à ce compte, ils me disent qu'ils m'appellent au <numéro plus valable> pour que je saisisse un code, et évidemment l'appel échoue. Super. Je ne sais pas si je peux récupérer l'accès à ce compte, mais je n'ai pas vraiment envie de faire des efforts vu qu'il n'y a rien dessus à part mes coordonnées et des numéros de cartes jetables périmées. (Mais la morale c'est aussi qu'avec ces systèmes de double authentification, on emmerde les gens qui ont, justement, fait attention à ce qu'il n'y ait rien d'important sur leur compte.)
L'option 2 est cassée, et je soupçonne fortement PayPal de l'avoir
fait un peu exprès. Je rentre mes coordonnées et le numéro de carte
bancaire jetable, normalement PayPal devrait m'ouvrir une frame
3-D Secure pour accepter le paiement, mais à la place j'ai un message
d'erreur inexploitable : Pour effectuer cet achat, utilisez un
autre mode de paiement ou vérifiez ce compte auprès de l'émetteur de
la carte avant de réessayer.
C'est peut-être un problème de
JavaScript (leur code pour s'interfacer avec 3-D Secure serait moisi ;
j'ai essayé avec Firefox puis Chrome sans plus de succès), peut-être
un problème côté bancaire (bon courage pour récupérer la cause de
l'erreur !), peut-être que PayPal veut m'envoyer un SMS
eux-mêmes et que le numéro de mobile ne passe pas (je ne sais jamais
s'il faut écrire +33699999999 ou 0699999999 ou quoi), peut-être qu'ils
détectent que quelque chose est déjà associé à un compte chez eux et
refusent à cause de ça, toujours est-il que ça échoue et que je ne
sais pas pourquoi. Et je pense qu'ils ne sont pas très motivés pour
faire fonctionner du code qui permet justement un truc qu'ils n'aiment
pas, c'est-à-dire de payer sans compte chez eux.
Reste donc l'option 3 : créer un compte PayPal spécifique pour le site marchand, avec l'adresse mail utilisée sur le site marchand. Mais quel emmerdement ! Il faut générer un mot de passe, puis recevoir un SMS de confirmation pour ouvrir le compte, plus un mail de confirmation, plus un SMS de confirmation pour le paiement (en plus de celui utilisé pour créer le numéro de carte jetable et de celui exigé par 3-D Secure pour utiliser ce numéro : donc quatre SMS pour un seul paiement au lieu de deux normalement). Et cela signifie recevoir encore plein de spams de PayPal (si chaque message de PayPal me disant qu'ils changent leurs conditions générales d'utilisation est multiplié par autant de comptes que j'aurai dû créer à raison d'un par site marchand, ça fait vraiment beaucoup).
Du coup, j'ai supprimé mon compte immédiatement après l'avoir créé. Ce qui, à la réflexion, était sans doute idiot, parce que si je dois demander un remboursement quelconque au site marchand, ça passera certainement par cette grosse merde de PayPal, qui ne saura pas me rembourser vu que j'aurai effacé le compte. Alors que normalement (quand PayPal ne vient pas foutre sa merde) ils remboursent simplement, via la banque servant d'intermédiaire, vers le numéro de carte jetable ayant servi et tout marche très bien.
Ajoutons à ça que le site de PayPal est juste cassé de plein de manières. Il me parle aléatoirement en français ou en anglais selon une logique qui m'échappe. J'ai régulièrement des animations d'attente qui ne finissent pas (par exemple j'ai eu ça pour la réception du SMS de confirmation de paiement, probablement parce que je n'avais pas confirmé l'adresse mail du compte et qu'ils n'avaient pas prévu ce cas). Quand j'ai demandé à créer un compte (en cherchant à suivre l'option 3 après avoir échoué avec 1 et 2) ils n'ont pas mémorisé le numéro de carte que j'avais déjà saisi en même temps que mes coordonnées ; et quand ils me l'ont redemandé, le format des champs à remplir était subtilement et gratuitement différent. On se perd régulièrement entre les pages de paiement, d'authentification, de gestion du compte… La flèche de retour en arrière du navigateur ne marche pas comme on s'y attend. Bref, c'est programmé avec les pieds.
(Et cela n'aide pas que le site marchand, à chaque nouvel essai, avait complètement perdu ma commande et que je devais tout ressaisir. Pour une fois, créer un compte de leur côté était vraiment une bonne idée !)
Je ne comprends décidément pas pourquoi ce service a tellement de succès. Pour le client que je suis c'est une plaie, je crois comprendre que leurs tarifs auprès des sites marchands sont prohibitifs, je ne saisis vraiment pas qui gagne à passer par PayPal.
(Bon, à part ça, la bonne façon de faire les paiements en ligne, ça devrait être : le site marchand me demande de payer N euros et me donne un numéro de compte C, je vais sur le site de ma banque, quelle qu'elle soit, je m'authentifie auprès d'elle, je demande de préparer et préautoriser une transaction de N euros par virement vers le compte C, elle me donne un numéro d'identifiant de transaction de 256 bits, je recopie cet identifiant sur le site marchand, et ils le transmettent à leur banque, et la transaction a lieu par virement. Ce serait facile pour tout le monde et beaucoup plus sûr. Le système des cartes jetables est une approximation décente de ce mécanisme, mais ce qui est certain c'est que PayPal est le pire possible.)