LCA
Le Commerce Agentique
Décrypter le commerce des agents IA
← Tous les articles
Marché9 juin 2026· 7 min de lecture

Visa TAP vs Mastercard Agent Pay : la guerre des standards

Octobre 2025 : les deux géants du paiement publient leur protocole. Comparaison technique et stratégique des deux approches.

R
Rédaction LCA
Rédaction LCA — édité par ACF®

Octobre 2025 restera comme le mois où les deux plus grands réseaux de paiement de la planète ont décidé, à quelques jours d'intervalle, de poser leurs cartes sur la table du commerce agentique. Le 14 octobre, Visa dévoile le Trusted Agent Protocol (TAP). Quelques jours plus tard, Mastercard officialise Agent Pay. Deux protocoles, deux philosophies, deux paris sur l'avenir d'un marché que personne ne sait encore dimensionner avec précision, mais que tout le monde sent stratégique.

La symétrie de calendrier n'est pas un hasard. Avec environ 12 trilliards de dollars de volume annuel pour Visa et 9 trilliards pour Mastercard, les deux réseaux pèsent l'essentiel du paiement carte mondial. Laisser un acteur tiers — Stripe et OpenAI avec ACP, Anthropic avec MCP — définir seul les règles du jeu agentique reviendrait à céder la couche d'orchestration la plus rentable de la prochaine décennie. La bataille des standards a commencé.

Visa TAP : la cryptographie comme socle de confiance

Trusted Agent Protocol s'inscrit dans une tradition très visa-centrique : avant de discuter d'expérience utilisateur, on sécurise les rails. Le protocole repose sur deux briques techniques solides et déjà éprouvées. D'abord, la signature cryptographique Ed25519, devenue le standard de facto pour les signatures rapides et à clé courte. Ensuite, RFC 9421 — HTTP Message Signatures — la spécification IETF publiée en 2024 qui standardise la signature de requêtes HTTP de bout en bout.

Concrètement, chaque agent d'IA souhaitant initier une transaction via TAP doit posséder une paire de clés enregistrée dans un registre opéré par Visa. Chaque appel API est signé, horodaté, et vérifiable par le marchand sans appel réseau supplémentaire. L'enjeu est explicite dans la communication corporate de Visa : empêcher l'usurpation d'identité d'agent et garantir au commerçant qu'il parle bien à un système autorisé, pas à un scraper malveillant déguisé.

Stratégie
En misant sur RFC 9421 et Ed25519, Visa choisit délibérément des standards ouverts plutôt qu'un protocole propriétaire. Le pari : devenir l'autorité de certification des agents, sans verrouiller la couche technique. C'est la stratégie HTTPS appliquée au commerce agentique.

Mastercard Agent Pay : l'utilisateur reprend la main

Mastercard part d'une intuition différente, presque opposée dans la priorisation. Pour Agent Pay, la question centrale n'est pas « comment je prouve qu'un agent est légitime », mais « comment je rassure un porteur de carte que son agent ne va pas dépenser n'importe comment ». Le protocole intègre nativement des contrôles consommateur : plafonds de dépense par transaction et par période, catégories de marchands autorisées, listes blanches de commerçants, possibilité de révocation immédiate.

L'architecture place le portefeuille de règles utilisateur au cœur du flux d'autorisation. Avant même que le marchand voie passer la transaction, l'agent doit produire une preuve que l'opération respecte les contraintes fixées par le titulaire de carte. Cette approche s'inscrit dans la doctrine Mastercard d'une carte « intelligente » dont les paramètres voyagent avec le paiement, doctrine déjà observable dans les produits Click to Pay et l'open banking.

Tableau comparatif : deux philosophies, une même cible

Posture protocolaire

TAP se positionne comme un protocole d'authentification d'agent : son périmètre est la couche identité et intégrité du message. Agent Pay se positionne comme un protocole de mandat consommateur : son périmètre couvre les règles de dépense et la révocabilité. Ce ne sont pas les mêmes couches de la pile, et c'est précisément ce qui rend la comparaison vertigineuse pour les marchands.

Briques cryptographiques

Côté Visa, la cryptographie est explicite et publique : Ed25519 + RFC 9421 + registre de clés Visa. Côté Mastercard, la documentation publique d'Agent Pay reste plus discrète sur la couche signature, mettant en avant les contrôles fonctionnels plutôt que la primitive cryptographique. Cette asymétrie de communication n'est pas anodine : Visa parle aux architectes, Mastercard parle aux directions produit et aux régulateurs consommateurs.

Modèle de gouvernance

TAP centralise le registre des agents autorisés autour de Visa. Agent Pay centralise le portefeuille de règles autour de Mastercard et de l'émetteur de la carte. Dans les deux cas, le réseau historique récupère la position d'orchestrateur — exactement la position que Stripe + OpenAI tentent d'occuper avec ACP, et qu'Anthropic prépare en amont avec MCP.

Stratégies divergentes : sécurité vs confiance

La divergence n'est pas accidentelle, elle reflète l'ADN commercial des deux marques. Visa a historiquement été perçu comme le réseau de la fiabilité technique et de la fraude maîtrisée. Pousser TAP comme un protocole cryptographique propre prolonge ce positionnement : Visa vend de la confiance aux marchands. Mastercard, ces dernières années, a investi massivement sur l'expérience porteur — Mastercard Identity Check, Click to Pay, contrôles parentaux. Agent Pay prolonge ce positionnement : Mastercard vend de la confiance aux consommateurs.

Ces deux récits ne sont pas substituables. Un commerçant qui intègre TAP gagne une garantie technique sur la légitimité de l'agent. Un commerçant qui intègre Agent Pay gagne une garantie business sur le fait que le porteur a autorisé ce type d'achat. Dans un monde idéal, un marchand voudrait les deux. Dans le monde réel, intégrer deux protocoles concurrents coûte cher.

Adoption marchande : qui choisit quoi et pourquoi

Les premières signatures d'octobre et novembre 2025 dessinent une géographie d'adoption assez lisible. Les grands marchands digitaux à forte exposition fraude — marketplaces, voyage en ligne, biens numériques — penchent vers TAP, dont la promesse anti-usurpation parle directement à leurs équipes risque. Les marchands à forte exposition réglementaire B2C — retail premium, abonnements, services financiers grand public — explorent Agent Pay, dont l'argument « le consommateur garde la main » désamorce des angles morts de conformité.

Les acquéreurs européens, eux, observent avec une attention particulière. Le règlement DORA est entré en application, l'AI Act voit son enforcement haut-risque programmé pour le 2 décembre 2027, et les contrôles ACPR sur la délégation d'autorité algorithmique se précisent. Un protocole qui n'exhibe pas de piste d'audit cryptographique claire posera un problème de conformité avant fin 2027. Un protocole qui n'exhibe pas de contrôle consommateur exécutable posera un problème de protection client.

À retenir
TAP et Agent Pay ne sont pas substituables : ils répondent à deux exigences réglementaires distinctes (intégrité technique et mandat consommateur). Les marchands qui font un choix exclusif en 2026 prennent le risque d'être non-conformes sur l'autre dimension dès 2027.

Risque de fragmentation : MCP, ACP, ACF® et la question de l'unification

La multiplication des protocoles agentiques en l'espace de douze mois — MCP publié par Anthropic le 25 novembre 2024, ACP par Stripe et OpenAI courant 2025, puis TAP et Agent Pay en octobre 2025 — fait peser un risque réel de fragmentation. Un marchand de taille moyenne ne peut pas raisonnablement intégrer cinq protocoles différents pour servir cinq agents différents. Soit un acteur impose son standard de facto, soit une couche d'abstraction émerge.

C'est précisément la promesse du Agentic Commerce Framework® (ACF®), standard européen, qui propose une couche de gouvernance agnostique au protocole de paiement sous-jacent. Le modèle ACF® introduit la notion de Designated Delegated Agent Officer (DDAO), responsable nommé de la délégation d'autorité algorithmique, capable de superviser indifféremment un agent transactant via TAP, Agent Pay ou ACP. Cette logique de méta-standard, comparable à ce que les normes ISO ont fait pour les systèmes de management qualité, pourrait constituer la voie de sortie de la fragmentation que les marchands redoutent.

Quand deux réseaux historiques publient à dix jours d'intervalle deux protocoles non-interopérables, l'enjeu n'est plus la technique. C'est la gouvernance.
Lecture éditoriale, juin 2026

2026-2027 : convergence ou enfermement

Les douze à dix-huit prochains mois seront décisifs. Trois scénarios se dessinent. Premier scénario : convergence technique, où Visa et Mastercard ouvrent suffisamment leurs protocoles pour qu'une couche commune émerge — peu probable historiquement, les deux réseaux ayant rarement coopéré sur les couches stratégiques. Deuxième scénario : domination de marché, où l'un des deux protocoles capte rapidement plus de 70 % des intégrations marchandes et impose son standard de facto — possible si l'un des deux remporte un partenariat structurant avec OpenAI, Anthropic ou Google. Troisième scénario : émergence d'une couche méta, portée soit par les régulateurs (européens en tête), soit par un consortium type ACF®, qui rend le choix du protocole sous-jacent indifférent pour le marchand.

Pour les directions paiement, l'arbitrage de 2026 ne doit pas être « TAP ou Agent Pay », mais « comment je m'organise pour ne pas dépendre du choix que je ferai ». Construire une couche d'abstraction interne, formaliser une gouvernance de délégation d'agent agnostique au protocole, et garder la capacité de switcher : voilà ce qui distinguera, fin 2027, les marchands souverains des marchands captifs.

Tags
VisaMastercardTAPAgent PayPaiementStandards
Newsletter

Recevez Le Brief A-commerce chaque lundi

L'essentiel de la semaine en 5 minutes : protocoles, études, décisions réglementaires.

S'abonner gratuitement →