Le 10 juin 2026 restera une date clé dans l'histoire du commerce en ligne. Visa a officiellement intégré son réseau de paiement directement dans ChatGPT, transformant l'assistant conversationnel en véritable agent d'achat capable d'initier et de finaliser des transactions pour le compte de ses utilisateurs. Fini le temps où l'IA se contentait de suggérer des produits : elle peut désormais sortir la carte bleue.
Cette annonce marque un saut qualitatif par rapport aux tentatives précédentes. Là où les premiers essais d'OpenAI avec Instant Checkout avaient tourné court, Visa apporte l'infrastructure de confiance qui manquait. Le réseau gère aujourd'hui des milliards de transactions chaque année dans le monde entier. L'enjeu ? Permettre à des agents artificiels de participer activement à l'économie, comme le résume Jack Forestell, chief product and strategy officer de Visa : « As AI agents become active participants in the economy, Visa's focus is to ensure transactions are trusted, secure and seamless. »
Comment fonctionne un paiement quand l'humain n'est pas derrière le clavier ?
Le défi technique est de taille. Les réseaux de cartes ont été conçus autour d'une hypothèse simple : un humain vérifié est présent au moment du paiement. Il tape son numéro, valide avec un code reçu par SMS, ou pose son doigt sur le lecteur d'empreintes. Quand l'acheteur est un algorithme, toute l'architecture doit être repensée.
Le mécanisme est simple en apparence. L'utilisateur lie sa carte Visa à son compte ChatGPT. Une fois l'autorisation donnée, l'agent IA peut rechercher des produits, comparer les prix et passer commande sans que l'humain ait à toucher un clavier à chaque étape. OpenAI fournit la couche agentique — la capacité de raisonner, de planifier et d'exécuter — tandis que Visa assure l'autorisation, la tokenisation et la surveillance des fraudes.
Concrètement, un prompt du type « trouve-moi un billet d'avion pour Barcelone le 15 juillet à moins de 150 euros et achète-le » déclenche une chaîne d'actions : l'agent interroge les comparateurs, sélectionne l'offre, initie le paiement via le réseau Visa, et confirme l'achat. L'utilisateur reçoit une notification, mais n'a pas besoin d'être présent au moment de la transaction.
Ce qui change fondamentalement, c'est la nature de l'interaction. Jusqu'à présent, les assistants vocaux ou chatbots pouvaient vous rediriger vers un site marchand. Vous deviez ensuite sortir votre carte et taper le code. Désormais, l'agent est lui-même le portefeuille. Il ne s'agit plus d'un gadget : c'est une carte bleue opérationnelle logée dans un grand modèle de langage.
Tokenisation et identifiants numériques : pourquoi votre numéro de carte ne voyage plus dans l'agent
Visa a anticipé ce problème dès 2025 avec le programme Visa Intelligent Commerce, dévoilé lors du Global Product Drop de mai. L'idée directrice est simple : l'IA ne doit jamais avoir accès au vrai numéro de carte. À la place, un jeton numérique unique est généré pour chaque session d'achat. Ce jeton est lié à l'agent spécifique, au montant autorisé, et à la durée de validité. Si un pirate intercepte le jeton, il ne peut pas l'utiliser ailleurs.
La tokenisation n'est pas une nouveauté en soi — Apple Pay et Google Pay l'utilisent depuis des années. Mais dans le contexte agentique, elle prend une dimension supplémentaire. Le token n'est pas seulement un substitut du numéro de carte : il embarque des métadonnées sur ce que l'agent a le droit de faire.
Visa Intelligent Commerce, lancé en mai 2025 avec des partenaires comme Anthropic, IBM, Microsoft, Mistral AI, OpenAI et Samsung, repose sur trois innovations clés. La première est justement cette tokenisation avancée : chaque interaction de paiement génère un identifiant numérique unique qui ne peut être réutilisé. La deuxième est la personnalisation via les données de dépenses — avec le consentement explicite de l'utilisateur, l'agent peut apprendre vos habitudes d'achat pour mieux anticiper vos besoins. La troisième, et peut-être la plus importante, est la capacité pour l'utilisateur de fixer des conditions d'achat précises.
Jack Forestell résumait l'approche lors du lancement : « Chacun fixe ses propres limites, et Visa s'occupe du reste. » Derrière cette formule se cache un changement profond : le contrôle n'est plus exercé au moment de la transaction, mais en amont, lors de la configuration de l'agent.
Plafonds, catégories et autorisation : le mode d'emploi du porte‑monnaie automatique
L'utilisateur dispose de plusieurs leviers pour encadrer son agent. Le premier est le plafond de dépenses : « pas plus de 50 euros par jour », « maximum 200 euros par mois ». Le deuxième est la catégorie marchande : l'agent peut être autorisé à dépenser sur des sites de livraison de repas, mais pas sur des plateformes de jeux ou des applis de rencontre. Le troisième est le seuil d'alerte : toute dépense au-delà de 20 euros nécessite une confirmation explicite par notification push.
Ces contrôles sont rendus possibles par le programme Visa Agentic Ready, lancé le 17 mars 2026 à Londres avec 21 banques partenaires européennes. Barclays, HSBC UK, Santander, Revolut, Commerzbank, Nexi Group, Raiffeisen, DZ Bank figurent parmi les premières à tester ces mécanismes dans des environnements de production contrôlés. Le programme permet aux banques de valider la robustesse des tokens, l'efficacité des contrôles de dépenses, et la gestion des litiges avant un déploiement grand public.
Cette vidéo illustre le processus de création de cartes virtuelles, un concept qui préfigure les mécanismes de tokenisation utilisés par Visa pour les paiements agentiques.
Les fantômes d'Instant Checkout : pourquoi la première tentative d'OpenAI avait échoué
Pour comprendre l'ampleur de l'annonce, il faut revenir quelques mois en arrière. Fin 2025, OpenAI avait lancé Instant Checkout, un système propriétaire développé avec Stripe. L'idée était séduisante : permettre aux utilisateurs de ChatGPT d'acheter directement depuis la conversation, sans quitter l'interface.
Le résultat fut un échec retentissant. Instant Checkout imposait des frais de 4 % aux marchands, un coût bien supérieur aux commissions standards des réseaux de cartes (autour de 1,5 à 2,5 %). Les commerçants ont boudé le système. Pire, l'infrastructure propriétaire était truffée de bugs : des doublons de commandes, des échecs de paiement aléatoires, une incapacité à gérer les remboursements complexes. OpenAI a retiré le service en mars 2026, après seulement quatre mois d'existence.
Frais prohibitifs et bugs en cascade : les raisons d'un flop
Le taux de commission de 4 % était le principal obstacle. Dans le commerce en ligne, les marges sont souvent serrées, autour de 10 à 20 % pour les produits physiques. Ajouter 4 % de frais de transaction rendait l'opération non viable pour la plupart des marchands, sauf à répercuter le coût sur le consommateur. Les petits commerçants, ceux qui auraient le plus bénéficié d'un assistant d'achat automatisé, ont été les premiers à refuser d'intégrer le système.
Les bugs techniques ont achevé de ruiner la crédibilité d'Instant Checkout. Des commandes passées en double, des paiements refusés sans raison apparente, des remboursements qui mettaient des semaines à aboutir. Pour un système censé simplifier la vie des utilisateurs, c'était l'inverse de l'effet recherché. OpenAI, entreprise de logiciel avant tout, a sous-estimé la complexité de l'infrastructure de paiement.
Ce que Visa apporte de nouveau : réseau existant, frais standards, couverture mondiale
La nouvelle version avec Visa corrige ces défauts structurels. D'abord, les frais sont ceux du réseau Visa standard : pas de surcoût pour le marchand, ce qui élimine le principal frein à l'adoption. Ensuite, le système fonctionne chez tous les commerçants acceptant Visa dans le monde — pas une liste fermée de partenaires sélectionnés. Un utilisateur peut demander à son agent d'acheter sur n'importe quel site compatible, du petit artisan Etsy au géant Amazon. La différence avec Instant Checkout, c'est que Visa apporte son réseau existant plutôt que de tenter d'en construire un nouveau.
L'infrastructure de confiance de Visa est un autre atout majeur. Le réseau traite des milliards de transactions chaque année et dispose de systèmes de détection des fraudes rodés depuis des décennies. OpenAI, malgré sa maîtrise de l'IA, ne pouvait pas reproduire cette expérience du jour au lendemain. La leçon est claire : dans le paiement agentique, la technologie d'IA n'est que la moitié de l'équation. L'autre moitié, c'est l'infrastructure financière.
Mastercard, PayPal, Stripe : la guerre des réseaux pour devenir le banquier des robots
Visa n'est pas seul sur ce créneau. La course pour équiper les agents IA d'une capacité de paiement a commencé bien avant l'annonce du 10 juin 2026. Mastercard, PayPal, Stripe et d'autres acteurs se disputent ce qui pourrait devenir le prochain standard du commerce en ligne.
L'enjeu économique est colossal. Les agents IA ont déjà influencé 262 milliards de dollars de ventes aux États-Unis pendant la saison des fêtes 2025, selon les données de Salesforce. En France, 34 % des consommateurs se disent prêts à acheter directement via un assistant IA. Le marché du paiement agentique pourrait représenter plusieurs centaines de milliards d'euros d'ici 2030.
Mastercard Agent Pay et le test grandeur nature de Santander en mars 2026
Mastercard n'a pas attendu Visa pour agir. En mars 2026, Santander España a réalisé la première transaction agentique de bout en bout en Europe en utilisant Mastercard Agent Pay. Le scénario était simple mais symbolique : un agent IA a acheté un livre en utilisant une carte Visa émise par Santander, mais via le système Mastercard Agent Pay. La transaction a été entièrement tokenisée, autorisée et réglée sans intervention humaine.
L'alliance entre Mastercard et PayPal renforce encore la position du réseau concurrent. Mastercard Agent Pay intègre désormais le wallet PayPal, permettant aux agents d'utiliser le solde PayPal comme source de financement. PayPal avait déjà intégré ChatGPT et Perplexity au quatrième trimestre 2025, préparant le terrain pour cette évolution.
Mastercard Agent Pay, annoncé en avril 2025, repose sur des tokens sécurisés similaires à ceux de Visa. La différence réside dans l'approche : Mastercard mise sur des partenariats avec les fintechs et les wallets digitaux, tandis que Visa s'appuie sur son réseau de banques traditionnelles. Les deux stratégies ont leurs avantages, mais la bataille ne fait que commencer.
Visa Intelligent Commerce Connect : le hub qui veut gérer tous les agents (et toutes les cartes)
Face à la concurrence, Visa a riposté le 9 avril 2026 avec le lancement de Visa Intelligent Commerce Connect (ICC). Présenté comme une « passerelle vers le commerce agentique », ICC est une intégration unique qui gère l'initiation du paiement, la tokenisation, l'authentification et les contrôles de dépenses.
Le coup de génie d'ICC ? Il fonctionne aussi avec les API Mastercard et American Express. Visa ne cherche pas à enfermer les développeurs dans son écosystème : il veut devenir l'intermédiaire universel du paiement agentique, celui par lequel toutes les transactions transitent, quelle que soit la carte utilisée au départ.
ICC supporte quatre protocoles agents : le Trusted Agent Protocol, Machine Payments, l'Agentic Commerce Protocol et l'Universal Commerce Protocol. En clair, peu importe le langage que parle votre agent IA — que ce soit celui d'OpenAI, d'Anthropic, de Google ou d'un petit développeur indépendant — ICC peut traduire la demande en ordre de paiement. Le système est actuellement en phase pilote avec AWS et d'autres grands acteurs du cloud.
Pour les développeurs, la promesse est séduisante : une seule intégration au lieu de jongler entre plusieurs API. Pour Visa, c'est une manière de verrouiller sa position en devenant le standard de facto du paiement agentique. Un pari risqué, mais cohérent avec l'histoire du réseau.
Ce que votre IA pourrait acheter à votre place (et pourquoi vous devriez avoir peur)
Les cas d'usage concrets sont nombreux, et ils parlent directement à un public jeune. Imaginez : vous sortez d'une soirée, il est 3 heures du matin, vous êtes fatigué. Vous sortez votre téléphone, tapez « Uber pour rentrer chez moi », et l'agent commande la course, paie avec votre carte liée, et vous envoie la confirmation. Vous n'avez même pas besoin de déverrouiller l'appli.
Ou encore : votre groupe préféré annonce une tournée. Vous dictez à votre assistant « trouve les meilleures places pour le concert de Phoenix à l'Accor Arena, dans la limite de 80 euros, et achète-les ». Pendant que vous êtes en cours ou au travail, l'agent surveille la mise en vente, achète les billets, et les ajoute à votre wallet Apple ou Google. Plus besoin de stresser devant le compteur de disponibilité.
Ces scénarios, pour séduisants qu'ils soient, cachent une réalité plus complexe. La friction disparaît, mais avec elle, le temps de réflexion qui sépare l'impulsion de l'achat. Quand tout devient automatique, la frontière entre « je veux » et « j'achète » s'efface.
Uber, places de concert et abonnements Netflix : le rêve du scroll automatisé
Les applications pratiques ne manquent pas. La gestion des abonnements est un cas d'école : votre agent peut surveiller les périodes d'essai gratuit, résilier avant la facturation, ou au contraire souscrire un nouvel abonnement Netflix si vous lui demandez. Les tâches répétitives — commander les courses de la semaine, recharger votre pass Navigo, payer votre facture d'électricité — deviennent des prompts uniques.
Des plateformes comme Shopify anticipent déjà cette évolution. Dans un article récent, Shopify décrivait un futur où les agents d'achat IA mettraient fin au scroll interminable et au panier abandonné. L'idée : au lieu de passer des heures à comparer des produits, vous décrivez votre besoin à l'agent, qui fait le travail de recherche et d'achat à votre place. Le sujet est traité en détail ici.
Mais cette commodité a un prix. Les mêmes mécanismes qui rendent l'achat fluide le rendent aussi plus impulsif. Les géants du e-commerce le savent : chaque clic de moins entre l'envie et l'achat augmente le taux de conversion. Avec un agent qui paie automatiquement, le taux de conversion potentiel approche les 100 %.
Achats impulsifs, l'absence de friction et le cauchemar des applis de rencontre
Le risque est particulièrement élevé pour les jeunes adultes, souvent moins expérimentés en matière de gestion budgétaire. Un agent IA autorisé à dépenser sur des applis de rencontre ou des jeux mobiles peut vider un Livret A en quelques heures. Les microtransactions, ces petits achats de 1 à 5 euros qui passent inaperçus, deviennent particulièrement dangereuses quand elles sont automatisées.
Prenons un scénario concret : vous autorisez votre agent à gérer vos achats sur une appli de rencontre populaire. L'agent, programmé pour maximiser vos matchs, pourrait interpréter votre demande de manière trop littérale et multiplier les « boosts » payants. Sans plafond strict, la note peut vite atteindre plusieurs centaines d'euros.
Une étude académique de Cambridge publiée en 2026 par des chercheurs de HEC Paris alerte sur l'absence de cadre pour les transactions initiées et complétées par des agents sans intervention humaine directe. Les auteurs distinguent les systèmes automatisés traditionnels — qui suivent des règles fixes — des agents IA capables d'adaptation et de raisonnement contextuel. Cette différence, selon eux, rend les modèles réglementaires existants obsolètes.
Votre IA commande une console à 500 € sans vous prévenir : qui rembourse ?
La question de la responsabilité est le point le plus sensible du paiement agentique. Si votre agent achète une PlayStation 5 sans votre consentement explicite, qui paie ? Le commerçant ? La banque ? Visa ? Vous ?
Jack Forestell, interrogé par News4JAX, a tenté de rassurer : les règles essentielles de gestion des litiges restent les mêmes. « Did the consumer really intend to make the purchase and did the merchant process it the correct way? » Mais il a admis que des scénarios intermédiaires complexes allaient émerger. Que se passe-t-il si l'utilisateur a donné un mandat vague, comme « trouve-moi une bonne affaire » ? L'intention était là, mais pas le consentement sur le montant exact.
La double peine de l'absence de SCA : comment un paiement agentique contourne la loi européenne
Le problème réglementaire numéro un concerne l'authentification forte du client (SCA), imposée par la directive DSP2 en Europe. Depuis 2021, tout paiement en ligne supérieur à 30 euros doit être validé par deux facteurs d'authentification distincts : quelque chose que vous savez (un mot de passe), quelque chose que vous possédez (un téléphone), quelque chose que vous êtes (une empreinte digitale).
Un agent IA ne peut pas recevoir un SMS, valider une empreinte ou faire un scan facial en direct. Il ne possède pas de téléphone, pas de doigt, pas de visage. Le paiement agentique opère donc dans une zone grise réglementaire : techniquement, il ne respecte pas la SCA, mais la Commission européenne n'a pas encore tranché sur la validité des transactions initiées par des algorithmes.
Si une fraude survient — un agent détourné par un pirate qui modifie le mandat de dépense — qui supporte le coût ? Le consommateur peut arguer qu'il n'a pas validé la transaction. La banque peut répondre que l'authentification était conforme au mandat donné. Le commerçant, lui, a livré le bien en échange d'un paiement apparemment valide. Les tribunaux européens risquent de se retrouver submergés de litiges inédits.
Les garde‑fous de Visa : preuve d'intention, mandat signé et historique des transactions
Pour anticiper ces problèmes, Visa a mis en place plusieurs mécanismes. Le premier est la preuve d'intention : chaque transaction est accompagnée d'un enregistrement cryptographique signé qui lie le prompt de l'utilisateur à l'ordre de paiement. Si vous avez tapé « achète-moi un jeu à moins de 30 euros », l'agent ne peut pas dépenser 300 euros, même si le mandat est vague.
Le deuxième est le mandat de dépense strictement borné. L'utilisateur définit à l'avance les limites, et l'agent ne peut pas les dépasser. Si le mandat est « pas plus de 50 euros par jour », toute tentative de dépense supérieure est bloquée, même si l'agent estime que c'est une bonne affaire.
Le troisième est l'historique audité. Toutes les actions de l'agent sont enregistrées dans un registre infalsifiable. En cas de litige, on peut remonter la chaîne : quel prompt a été donné, quelle interprétation l'agent en a faite, quelle transaction en a résulté. Ces trois primitives — credential cryptographique, mandat borné, enregistrement audité — constituent, selon l'article d'Internet Pros, le socle sur lequel l'industrie converge.
DSP2, RGPD et AI Act : pourquoi le vieux droit européen met des bâtons dans les roues de l'agent IA
Le cadre réglementaire européen, conçu pour un monde où les humains sont les seuls à effectuer des paiements, se trouve aujourd'hui dépassé par la technologie. Aucun texte — ni la DSP2, ni le RGPD, ni l'AI Act — n'a été rédigé en pensant aux agents autonomes capables de dépenser de l'argent.
Les chercheurs de HEC Paris, dans leur étude publiée par Cambridge, le disent sans détour : aucune juridiction au monde n'a adopté de régulations spécifiques au commerce agentique. L'EU AI Act, pourtant le texte le plus avancé sur la régulation de l'intelligence artificielle, a été rédigé avant l'émergence de cette technologie. Il ne contient aucune disposition sur les agents de paiement autonomes.
Authentification forte, AI Act : pourquoi aucun texte européen n'a été conçu pour les paiements agentiques
Le problème de la SCA sous PSD2 est le plus immédiat. La directive exige une double authentification pour toute transaction en ligne, mais cette exigence est techniquement impossible à satisfaire pour un algorithme. Les banques et les réseaux de cartes ont développé des solutions de contournement — tokens pré-authentifiés, sessions de confiance — mais ces solutions n'ont pas de base légale claire.
L'AI Act, de son côté, classe les systèmes d'IA en catégories de risque. Un agent de paiement pourrait être considéré comme une application à haut risque, ce qui imposerait des obligations de transparence, de traçabilité et de contrôle humain. Mais le texte ne précise pas comment appliquer ces obligations à un système qui agit de manière autonome dans le domaine financier.
Le RGPD ajoute une couche de complexité supplémentaire. Pour personnaliser les recommandations d'achat, l'agent a besoin d'accéder à l'historique des transactions de l'utilisateur. Ce partage de données avec un système d'IA soulève des questions sur le consentement, la finalité du traitement et le droit à l'oubli. Les autorités de protection des données n'ont pas encore publié de lignes directrices sur ce sujet.
Aucune banque française dans le programme Visa Agentic Ready : le retard qui protège ?
Un détail frappe dans l'annonce du programme Visa Agentic Ready : les 21 banques partenaires sont britanniques (Barclays, HSBC), allemandes (Commerzbank, DZ Bank), italiennes (Nexi), néerlandaises (Rabobank), suisses (Raiffeisen), espagnoles (Santander). Aucune banque française n'a rejoint le programme lors de son lancement en mars 2026.
Ce retard peut s'interpréter de deux manières. D'un côté, il reflète la prudence des banques françaises face à un cadre réglementaire incertain. En attendant que le législateur européen clarifie les règles — notamment sur la SCA et la responsabilité — les établissements hexagonaux préfèrent observer plutôt que d'exposer leurs clients à des risques juridiques. Cette approche conservatrice protège les consommateurs français des dérives potentielles du paiement agentique.
De l'autre côté, ce retard expose les banques françaises à une concurrence accrue des néobanques comme Revolut et N26, qui testent déjà ces fonctionnalités. Si les clients français se tournent vers des établissements étrangers pour bénéficier des assistants d'achat IA, les banques traditionnelles risquent de perdre des parts de marché significatives. Le dilemme est classique : innover trop vite expose à des risques réglementaires, innover trop tard expose à des risques concurrentiels.
Conclusion : l'assistant idéal ou le voleur idéal, le choix vous appartient
Le paiement agentique n'est ni un gadget marketing ni une dystopie technologique. C'est un outil puissant, qui promet de libérer du temps et de l'énergie mentale en automatisant les corvées d'achat du quotidien. Mais c'est aussi un outil qui exige un niveau de maturité numérique et financière que les institutions — banques, régulateurs, plateformes — n'ont pas encore rattrapé.
Le paradoxe est frappant : d'un côté, la commodité est immense. Plus besoin de passer des heures à comparer les prix, à remplir des formulaires de commande, à taper des numéros de carte. L'agent fait tout cela en quelques secondes. De l'autre côté, le risque est tout aussi immense. La disparition de la friction abaisse les barrières psychologiques qui nous protègent des achats impulsifs. L'absence de cadre réglementaire clair expose les consommateurs à des litiges complexes. Et la concentration des données de paiement entre les mains de quelques acteurs pose des questions de vie privée et de sécurité.
Avant d'activer cette fonction sur votre compte, trois questions méritent réflexion. D'abord, quels plafonds fixer ? Un montant trop bas rend l'agent inutile ; un montant trop haut expose à des dépenses incontrôlées. Ensuite, faut-il valider chaque achat ou donner un blanc-seing ? La validation systématique préserve le contrôle mais tue la promesse de commodité. Enfin, que se passe-t-il si l'agent fait une erreur ou est détourné ? La réponse à cette question dépend de votre banque, de votre pays, et du niveau de protection que vous avez configuré.
Le premier réflexe à avoir est simple : ne jamais déléguer ce qu'on ne comprend pas. Les agents IA de paiement sont des outils puissants, mais ce sont aussi des boîtes noires dont le fonctionnement échappe encore à beaucoup d'utilisateurs. Prenez le temps de configurer vos limites, de tester le système avec des petits montants, et de lire les conditions générales de votre banque. Le paiement agentique est l'avenir du commerce en ligne, mais cet avenir ne sera confortable que si vous en maîtrisez les commandes.
La guerre entre Visa, Mastercard, PayPal et Stripe pour devenir le banquier des robots ne fait que commencer. Les prochains mois seront décisifs pour savoir quel standard s'impose et quelles protections sont mises en place. En attendant, une règle d'or : votre agent IA peut dépenser votre argent, mais c'est vous qui devez décider combien, où et quand.
