L’annonce d’Apple Pay l’an dernier était un premier signe d'une tendance forte : le paiement sur mobile devient désormais une priorité pour tous. Un point que nous avons pu constater notamment à l'occasion du dernier MWC de Barcelone, car ces technologies ne se retrouvent plus dans les recoins les plus sombres du salon, entre opérateurs et fabricants de cartes à puce.
Apple l’a fait en 2014, Samsung le lance en 2015 : à l'occasion du coup d’envoi de ses multiples annonces du Mobile World Congress, le constructeur coréen a ajouté une solution de paiement à ses smartphones haut de gamme, les S6 et S6 Edge. Samsung Pay, a été pensé pour contrer l’Apple Pay de son rival. Simple volonté de copie ? Pas uniquement. Mais une chose est sûre, désormais, le paiement est au cœur des préoccupations et l'on ne pouvait que le constater à l'occasion de ce salon européen qui se déroulait début mars.
Oubliez les écrans toujours plus grands, toujours plus incurvés. Oubliez les voitures connectées, les montres et autres gadgets (enfin pas trop tout de même). Le cœur du business se fait directement via le porte-monnaie. Ce n’est pas pour rien que, d’une année sur l’autre, les stands de Visa et de MasterCard se sont mis à prendre de plus en plus de place. L’annonce de Samsung n’est que la cerise sur le gâteau d'une tendance qui chamboule le marché.
Ce dernier a d'ailleurs été suivi par Google, mais de manière assez opportune. En effet, le géant de la recherche ne devrait réellement présenter sa solution Google Pay que lors de la conférence I/O qui se tiendra fin mai. Il faut dire que la manne financière est énorme, et que chacun veut sa part du gâteau. Il faut donc agir vite, car ici comme ailleurs « Winner takes all ».
Apple Pay et Samsung Pay : une MST qui fait toute la différence
Mais dans la pratique, en quoi consiste Samsung Pay ? À l'instar d'Apple Pay, et comme la solution que présentait déjà l’an dernier Samsung avec PayPal, ce système permet de payer en utilisant son smartphone et de s’identifier avec son empreinte digitale. Il sera disponible à partir de fin juin aux États-Unis et en Corée du Sud. Comme pour Apple Pay, l’utilisateur doit scanner sa carte et une trace de celle-ci est stockée sous la forme d’un token au sein de l'appareil. Comme pour Apple Pay, l’utilisateur peut ensuite payer via NFC.
Mais à la différence d’Apple, Samsung a ajouté une technologie à sa solution, connue sous l'acronyme MST (Magnetic Secure Technology). Issue de son rachat de LoopPay en février, elle fait office de mode de communication alternatif pour les terminaux de paiement n’utilisant que les pistes magnétiques. En Europe, cela présente peu d’intérêt, mais aux États-Unis où les cartes à puce sont l'exception et n’en finissent plus de commencer leurs déploiements, cela autorise les téléphones de Samsung à être compatible avec presque tous les terminaux de paiement déjà en place.
Tokenisation et HCE au cœur des discussions
Et avec deux annonces coup sur coup des deux grands opérateurs du secteur que sont Visa et MasterCard concernant la tokenisation et le HCE (Host Card Emulation) juste avant le salon, cela ne pouvait que remettre le sujet sur le tapis. Du coup, tous les acteurs de la chaîne de paiement veulent se mettre à la tokenisation. Y compris Gemalto et les autres fabricants de cartes à puce qui tiennent à se vendre auprès des banques comme un tiers de confiance pour la tokenisation.
Ce qu’ils proposent ? Rien de moins que de générer les tokens stockés dans les différents appareils, de l'iPhone d'Apple aux S6 de Samsung, en passant par n’importe quel autre smartphone sous Android ou BlackBerry OS pour le paiement par HCE. Mais aussi pour les sites appelés à stocker des informations de paiement. En pratique, ces tokens sont des DAN (Device Account Numbers) qui ressemblent aux PAN (Personal Account Numbers, les numéros en doré ou argenté sur votre carte bancaire) et les remplacent dans les différentes bases de données censées stocker ces informations. Seule la société émettant ces DAN peut faire le lien entre eux, la carte bancaire originale et son propriétaire.
En pratique, si Gemalto assure que certaines banques françaises sont intéressées pour lui confier cette tâche, selon nos sources c’est une autre histoire. Quatre banques françaises (BNP Paribas, BPCE, la Banque Postale et la Société Générale) vont lancer un pilote HCE exploitant la tokenisation fournie par Atos Worldline pour Visa. Et les autres pourraient prendre exemple sur la banque espagnole BBVA et gérer cette partie en interne.
Certains acteurs passent à la pratique, reste à convaincre
Maintenant que les offres de tokenisation se mettent en place, les offres de paiement HCE commencent à arriver. Elles sont en pilote partout en Europe, sauf en Espagne ou elle existe déjà dans la pratique. Depuis octobre dernier, la BBVA a intégré le paiement HCE dans son application de banque mobile, et en faisait fièrement la démonstration sur le stand de Visa. Outre la possibilité de payer par NFC avec la carte de leur choix, les clients peuvent ainsi disposer d'une version numérique des tickets de caisse visibles par date ou genre d’achats ou par géolocalisation de la boutique. Ils peuvent aussi après coup, demander à payer un achat important en plusieurs fois. L’application indique instantanément le montant des mensualités, le taux d’intérêt et le montant final de l’achat.
En revanche, BBVA ne dit pas combien de clients ont téléchargé cette application. De plus, si le service HCE proposé par la banque est pour l’instant gratuit, ce ne sera pas forcément le cas en France où le paiement NFC via mobile est facturé aux alentours de 15 euros par an pour la plupart des banques le facturant.
Reste qu'il faudra encore convaincre commerçant et utilisateurs. Car si le paiement sans contact commence doucement à entrer dans les mœurs, il reste tout de même contesté concernant sa sécurité. Et surtout, il apparaît souvent comme plus simple qu'un paiement via un smartphone qui peut ne plus avoir de batterie, planter ou ne pas capter. PayPal, qui expérimente depuis six mois une solution dans des restaurants à Nancy, en sait sans doute quelque chose (nous y reviendrons).
Miser sur le transfert d’argent pour les pays en développement
Mais le paiement mobile n’est pas qu’une affaire de clients riches dans des pays suffisamment développés pour que tous les citoyens disposent déjà d'une carte bancaire. Il a y a aussi un marché et de l’argent à se faire dans les pays en développement, notamment pour ce qui est du transfert d’argent de personne à personne (voir notre précédente analyse), surtout s’il est transfrontalier !
Orange, qui est particulièrement bien implanté en Afrique avec Orange Money, a profité du salon de Barcelone pour évoquer Afrimarket. Via cette plate-forme, une personne peut envoyer de l’argent à ses proches au Bénin, en Côte d’Ivoire, au Sénégal ou au Togo, et il peut en prédéfinir l’usage (achat de nourriture ou de médicament, paiement des factures, remboursement d’un prêt immobilier, etc.). Ce qui évite que l’argent envoyé ne soit détourné à l’arrivée.
MasterCard propose de son côté HomeSend, une offre pour transfert de l’argent sur un compte bancaire, sur une carte MasterCard prépayée, sur un porte-monnaie mobile stocké dans le téléphone du destinataire, ou directement via un distributeur de billets. Dans ce dernier cas, le destinataire doit alors entrer un code à six chiffres approprié.
Android au cœur des terminaux de paiement
Et pour les usages locaux, pourquoi ne pas proposer un terminal à bas coût ? C’est le but de Famoco avec son terminal NFC sous Android vendu à 100 dollars. Sauf que si celui-ci fonctionne très bien pour des expérimentations (comme Bebapay, la version kenyane du Google Wallet qui vient de fermer ses portes) ou dans des environnements clos comme des festivals de musique ; pour le paiement classique, Visa et MasterCard freinent des quatre fers avec des craintes pour la sécurisation du système d’exploitation.
Voisins de stands, Famoco et Uhuru, une société spécialisée dans la sécurisation d’Android pour les usages professionnels, ont profité du salon pour s’allier et proposer d’ici quelques semaines, une version sécurisée du terminal conforme aux standards EMVCo. Elle sera donc utilisable par n’importe quel commerçant.
