Anglais
Allemand
Espagnol
Français
Turc
Retour aux guides
Les types de passerelles de paiement : hébergée, API, auto-hébergée et crypto
Les passerelles de paiement se répartissent en quatre familles d'architecture, chacune avec un arbitrage différent entre effort d'intégration, contrôle du tunnel, périmètre PCI DSS v4.0.1 et taux de conversion. Les passerelles crypto constituent une cinquième catégorie qui échappe entièrement à la taxonomie carte.
Ce guide compare les cinq types côte à côte, avec des cas d'usage concrets pour les marchands français, les implications en matière de PCI DSS et un cadre de décision final pour choisir la bonne architecture. Les rails CB, Visa, Mastercard, SEPA et SCT Inst sont pris comme référence.
Stimulez votre activité en acceptant les paiements en crypto-monnaie
Pourquoi le type de passerelle est structurant
Le type de passerelle retenu fixe trois choses que vous garderez plusieurs années :
- Le contrôle sur le tunnel de paiement. Branding, typographie, ordre des champs, messages d'erreur, tunnel de conversion.
- Le périmètre PCI DSS que vous absorbez. De presque nul (SAQ-A) à un audit complet (SAQ-D). L'écart se chiffre en dizaines de milliers d'euros et en mois d'ingénierie par an.
- La vitesse de livraison et la maintenance. Une intégration hébergée prend des heures ; une intégration API complète prend des semaines ; une auto-hébergée, des mois. Tous trois sont légitimes ; choisir sans connaître l'arbitrage est l'erreur.
Quatre familles traditionnelles existent pour les cartes : hébergée, auto-hébergée, API/intégrée et intégration bancaire locale. La passerelle crypto constitue une cinquième famille, structurellement différente : pas de carte, pas de PCI.
Passerelle hébergée
Une passerelle hébergée redirige l'acheteur depuis votre site vers une page de paiement hébergée par le PSP, puis le ramène une fois la transaction terminée. Worldline, Payzen, Mollie et Stripe Checkout fonctionnent en mode hébergé.
Avantages
- Intégration la plus rapide : en ligne en quelques heures.
- Périmètre PCI DSS minimal (SAQ-A). Le PSP gère tout.
- 3DS2, SCA DSP2 et wallets Apple Pay / Google Pay maintenus par le prestataire.
- Choix par défaut pour TPE, PME non techniques et projets pilotes.
Limites
- La redirection pénalise la conversion mobile de 2 à 8 %.
- Contrôle UX et branding limités.
- Certains PSP atténuent le problème avec des iframes ou widgets drop-in.
Cible idéale : TPE/PME, équipes lean, marchands peu techniques, pilotes et toute activité où l'UX paiement n'est pas un facteur de différenciation.
Passerelle auto-hébergée
Une passerelle auto-hébergée garde l'acheteur sur votre site, mais le formulaire est à votre charge. Les données carte transitent par votre serveur avant d'être envoyées au gestionnaire. Rare en 2026 sur un greenfield français.
Avantages
- Contrôle total de l'UI. Le tunnel ressemble pleinement à votre produit.
- Aucune redirection, aucune iframe : meilleure conversion possible.
Limites
- Périmètre PCI maximal (SAQ-D). Les données carte touchent vos serveurs.
- Typiquement 50 000 à 200 000 EUR par an de coût de conformité.
- Grande surface d'attaque pour skimmers Magecart.
Cible idéale : grands comptes avec équipes conformité dédiées et programme PCI existant. Les passerelles API modernes avec champs hébergés obtiennent 95 % du bénéfice UX pour 5 % du coût de conformité.
Passerelle API / intégrée (le choix par défaut moderne)
Une passerelle API s'appuie sur des SDK côté client (champs hébergés, composants drop-in, iframes tokenisant) pour collecter la carte directement vers la passerelle, sans jamais toucher votre infrastructure. Stripe Elements, Adyen Drop-in et Lyra/Payzen Smartform fonctionnent ainsi.
Avantages
- Contrôle UX total + périmètre PCI minimal (SAQ-A). Le meilleur des deux mondes.
- SDK mobiles natifs, Apple Pay / Google Pay, 3DS2, tokenisation d'emblée.
- DX moderne : webhooks, idempotence, parité sandbox.
Limites
- Charge d'ingénierie supérieure à l'hébergée (semaines, pas heures).
- Exige une discipline frontend/SDK pour préserver le SAQ-A.
Cible idéale : référence pour l'e-commerce moderne, les SaaS, les marketplaces, toute entreprise qui veut un tunnel natif sans audit PCI. 80 % des nouvelles intégrations en 2026 relèvent de cette catégorie.
Intégration bancaire locale et rails européens
Une intégration bancaire locale relie la passerelle à la banque de l'acheteur, le plus souvent pour des paiements compte à compte (A2A), open banking ou schémas locaux. En France et dans la zone euro : SEPA virement, SEPA instantané (SCT Inst), prélèvement SEPA, et sur les marchés voisins iDEAL (NL), Bizum (ES), BLIK (PL).
Avantages
- Frais très bas (0,1 à 0,5 % forfaitaire).
- Règlement instantané sur la plupart des schémas (SCT Inst, iDEAL).
- Pas de droit de rétrofacturation sur la plupart des rails A2A.
- Indispensable hors zone carte majoritaire.
Limites
- Géographique : chaque pays est une intégration distincte.
- Protection consommateur variable selon le schéma.
- UX très hétérogène d'un pays à l'autre.
Cible idéale : marchands européens à volume, ou toute entreprise où gagner 2 à 3 points sur les frais est matériel.
Passerelle crypto (la cinquième famille)
Une passerelle de paiement crypto sort totalement de la taxonomie carte. Pas de PAN, pas de PCI, pas d'interchange, pas d'acquéreur, pas de compte marchand. Le portefeuille de l'acheteur signe la transaction ; la blockchain règle.
Avantages
- Frais forfaitaires sous 1 % contre 2,9 %+ carte.
- Aucune rétrofacturation.
- Règlement transfrontalier quasi instantané.
- Secteurs à risque acceptés.
- Rails stablecoin qui neutralisent la volatilité.
Limites
- L'acheteur doit détenir un portefeuille crypto.
- Les équipes ops doivent comprendre confirmations, reorg et sortie fiat.
- Cadre réglementaire MiCA pleinement applicable, PSAN encore en transition jusqu'au 1er juillet 2026.
Comme les passerelles API, les passerelles crypto existent en version hébergée (page QR code en redirection) et API (widget embarqué ou création d'invoice programmatique). Même choix architectural, rails différents.
Cible idéale : toute activité où les frais, les rétrofacturations ou la portée mondiale pèsent. De plus en plus une option par défaut à côté des cartes, non un remplacement.
Les cinq types en un coup d'œil
| Type | Effort d'intégration | Contrôle UX | Périmètre PCI | Frais typiques | Cible |
|---|---|---|---|---|---|
| Hébergée | Heures | Faible | SAQ-A (le plus léger) | 1,4 % CB / 2,9 % intra-UE | TPE/PME, pilotes |
| Auto-hébergée | Semaines + audit | Total | SAQ-D (le plus lourd) | 2,5 à 3,5 % | Grands comptes avec programme PCI |
| API / intégrée | 1 à 4 semaines | Total | SAQ-A | 2,5 à 2,9 % | Choix par défaut moderne |
| Bancaire locale (SEPA, SCT Inst) | Semaines par pays | Moyen | Aucun (non-carte) | 0,1 à 0,5 % forfaitaire | Expansion géographique |
| Crypto | Jours à 2 semaines | Total (hébergée ou API) | Aucun | 0,4 à 1 % forfaitaire | Risque, global, marges fines |
Cadre de décision
Cinq questions pour trancher rapidement :
- Avez-vous un programme PCI et un budget conformité ? Sinon, éliminez l'auto-hébergée.
- Besoin d'une UX native ? Si oui, prenez API/intégrée. Sinon, l'hébergée est plus rapide et moins chère.
- Vos acheteurs sont-ils dans des pays à forts rails locaux non-carte ? Ajoutez une intégration bancaire locale (SEPA, SCT Inst, iDEAL).
- Les frais, les rétrofacturations ou la portée mondiale vous posent problème ? Ajoutez une passerelle crypto en second tunnel. Fiat et crypto sont complémentaires, pas substituts.
- Êtes-vous dans un secteur à risque ? Mettez la crypto en tête. Les acquéreurs carte refuseront ; les passerelles crypto accepteront.
Les meilleurs stacks français ressemblent à : passerelle API pour CB + Apple/Google Pay, intégration bancaire locale pour SEPA/SCT Inst, passerelle crypto à côté. Un checkout, plusieurs rails, le plus court chemin pour chaque acheteur.
Stimulez votre activité en acceptant les paiements en crypto-monnaie
Commencer
Questions fréquemment posées
Quatre traditionnels : hébergée (redirection PSP), auto-hébergée (formulaire sur votre site, données carte via votre serveur), API/intégrée (formulaire sur votre site, données carte transmises directement via SDK), intégration bancaire locale (SEPA, SCT Inst, iDEAL). Une cinquième famille moderne : la passerelle crypto, hors taxonomie carte.
Une passerelle hébergée redirige l'acheteur vers une page hébergée par le PSP. Une passerelle API garde l'acheteur sur votre site avec un tunnel natif, les données carte allant directement du client vers la passerelle via SDK, sans passer par votre serveur. L'API apporte le contrôle UX complet au périmètre PCI minimal, d'où son statut de choix par défaut moderne.
L'hébergée et l'API/intégrée qualifient toutes deux pour SAQ-A, le plus léger. L'auto-hébergée exige un SAQ-D. Les passerelles crypto n'ont aucun périmètre PCI.
Rarement. Réservée aux grands comptes avec équipes PCI dédiées. Les API modernes (Stripe Elements, Adyen Drop-in, Lyra/Payzen) obtiennent une UX équivalente au tarif d'un SAQ-A.
Oui. SEPA virement et SEPA instantané (SCT Inst) sont des rails A2A européens : frais bas, règlement rapide, peu ou pas de rétrofacturation. Ils complètent la CB chez la plupart des marchands français.
Fonctionnellement oui, structurellement distinct. Elles font la même chose (capture, autorisation, règlement) mais sur blockchain, donc modèle de frais et conformité entièrement différents. MiCA pleinement applicable depuis le 30/12/2024.
Oui, et la plupart des marchands matures le font. Stack typique : API carte + wallets, SEPA/SCT Inst pour A2A, passerelle crypto pour le monde ou le risque. Un orchestrateur de paiement route selon règles.
Une passerelle API/intégrée d'un PSP réputé (Stripe FR, Adyen, Lyra/Payzen). UX native, SAQ-A, itérations rapides, large couverture moyens de paiement. Ajoutez la crypto tôt si votre secteur est à risque ou vos marges ne tolèrent pas 3 % de frais carte.
