Encaisser un paiement par carte au téléphone avec un agent vocal IA : ce que PCI DSS autorise vraiment

« Mon agent vocal IA peut-il prendre une carte au téléphone ? » est la question qui sépare les déploiements légers (RDV) des déploiements lourds (e-commerce, hôtellerie, services). La réponse n'est pas binaire. Oui pour le déclencher ; non pour entendre les chiffres. Voici les 3 architectures qui restent dans PCI DSS — et celle qui marche pour votre business.

Pourquoi l'agent ne doit JAMAIS entendre les 16 chiffres#

Si le numéro de carte transite par votre serveur (transcription, enregistrement, log), vous tombez sous PCI DSS niveau 1 — audits annuels à 30 000 €+, infrastructure isolée, conformité brutale. Aucune PME ne veut ça. Solution : tout déclenchement de paiement, mais aucune capture du numéro côté agent.

Architecture 1 — payment link SMS post-appel#

L'agent confirme le montant, dit « je vous envoie le lien de paiement par SMS, vous payez et je vous confirme la commande dans 30 secondes ». Génère un lien Stripe/Mollie/Adyen one-shot par webhook, le SMS s'envoie en 2 s, le client paie sur son téléphone. Taux de conversion : 75-85 %. Avantage : zéro PCI DSS sur l'agent, capture immédiate. Le plus utilisé.

Architecture 2 — transfert vers IVR DTMF sécurisé#

L'agent dit « je vous transfère sur le système de paiement sécurisé, tapez les 16 chiffres puis la date d'expiration ». L'appel bascule vers un IVR PCI-certifié (Sycurio, PCI Pal, CallVU) qui capture les tonalités DTMF SANS jamais les transmettre à l'agent ni les enregistrer. À la fin, retour vers l'agent qui ne reçoit que « paiement OK » ou « échec ». Compatible avec les seniors qui n'utilisent pas SMS.

Architecture 3 — paiement préalable via formulaire web#

Pour les services où le RDV se prend avant le paiement (consultation médicale, masseur, esthéticienne), l'agent envoie un lien de confirmation/pré-paiement par email pendant l'appel. Le client paie sur son ordinateur dans les 5 minutes. Réduit fortement les no-shows (paiement = engagement). Sweet spot pour les paniers > 80 €.

Ce qu'il ne faut PAS faire#

• Demander à l'agent de répéter le numéro de carte « pour confirmer » — viole PCI DSS instantanément.
• Couper l'enregistrement pendant la saisie — la transcription tourne quand même côté STT. Audit catastrophe.
• Promettre « envoi du reçu par SMS » avec le numéro CB dedans — interdiction absolue.
• Demander le CVV même si vous avez le PAN sécurisé ailleurs — CVV ne se stocke pas, point.

Le coût comparé#

• Stripe Checkout link via SMS : 1,4 % + 0,25 € par transaction. Aucun setup.
• IVR PCI-certifié : 200-500 €/mois + 0,10 € par appel routé. Justifié à > 1000 paiements/mois.
• Self-hosted PCI : 30 000 €/an minimum. Réservé aux ETI.

La décision en 1 question#

Vos clients utilisent-ils SMS quotidiennement ? Oui = Architecture 1 (lien SMS). Non (clients âgés, B2B avec téléphones partagés) = Architecture 2 (IVR DTMF). Vente différée > 80 € = Architecture 3 (paiement web). Premier mois VocazAI gratuit pour orchestrer celle qui vous convient.