Paiement mobile : le nouveau dada des banques ?

Prise de photos, consultation des courriels ou interaction sur les réseaux sociaux... Depuis l’arrivée de la 3G, les consommateurs sont passés maîtres dans l’utilisation tous azimuts de leurs terminaux de poche. Dès lors, pourquoi ne pas les convaincre d’utiliser aussi ces derniers pour régler leurs achats ? C’est en tout cas le pari tenté par les banques libanaises qui comptent capitaliser sur la forte pénétration de ces appareils. « 60 % des quatre millions de téléphones portables au Liban sont des “smartphones” », avance Maya Margie, directrice marketing à la BLC Bank. En quelques années, plus d’une quinzaine d’établissements se sont lancés dans cette course au paiement mobile à travers quatre applications : hormis un partenariat en la matière tenté en 2011 par la Bank Audi avec la start-up Pin-Pay (voir p. 46), la Fransabank a été la première à ouvrir les hostilités en 2013 avec son application Simba. La Bank Audi avec Tap2pay (2013), la BLC Bank avec Hey (2014), puis une douzaine d’autres établissements réunis sur l’application CMO lancée en 2015 par la Card Service Company, lui ont ensuite emboîté le pas. Chacune avec une stratégie, des options et une technologie spécifique (voir pages 42-44). Même les établissements bancaires qui ne se sont pas encore lancés dans l’aventure restent à l’affût, à l’image de la Banque libano-française (BLF).
Un frémissement motivé en grande partie par l’engouement des opérateurs de téléphonie mobile, des gérants de plates-formes d’applications ou des institutions financières de tous les continents. Le dernier rapport du cabinet Deloitte sur les tendances des nouvelles technologies de l’information et de la communication (NTIC) prévoit ainsi qu’au cours de l’année 2015, « environ 10 % des 600 millions de “smartphones” dans le monde seront utilisés pour régler des achats en magasin au moins une fois par mois, ce qui représente une augmentation de plus de 1 000 % par rapport à 2014 ». Malgré un certain retard accumulé en la matière, les perspectives commencent à être tout aussi alléchantes au niveau de la zone Mena : la GSM Association (GSMA), qui regroupe 850 opérateurs de téléphonie mobile dans le monde, prévoit 4,7 millions d’utilisateurs de solutions de paiement mobile pour 2015.

Concept polymorphe

Au sens strict, le paiement mobile englobe principalement les paiements sans contact permettant d’effectuer des achats de proximité avec un terminal de poche ou bien le paiement à distance, qui comprend principalement les virements de comptes à comptes à travers une application. Ces procédés se basent principalement sur les technologies de radio-identification à haute fréquence, parmi lesquelles la norme dite de communication en champ proche (plus connue sous son sigle anglophone NFC) s’est imposée comme un standard mondial en la matière. Elle permet une interaction sans fil et à courte portée entre un appareil mobile compatible – ou muni d’un périphérique adapté – et un terminal de paiement dédié.
Les données relatives à la carte de paiement peuvent être stockées sur la carte sim du téléphone, un périphérique dédié, ou être stockées en ligne, comme dans le cas de la technologie “Host Card Emulation” (HCE) qui repose sur la représentation virtuelle d’une carte à puce à l’aide d’un logiciel. Côté cryptage, plusieurs procédés peuvent également être utilisés ou combinés. Le processus de “Tokenization”, intégré à l’essentiel des applications de paiement mobile, permet par exemple de substituer les données sensibles d’un compte bancaire par des données temporaires ne contenant pas ses coordonnées réelles. Autre dispositif en vogue, l’édition d’un mot de passe spécifique par opération. Par ailleurs, « l’ensemble des applications autorisant ce type de transaction sont soumises aux contrôles des régulateurs et normes de sécurité EMV et PCI-DSS imposées par les géants de la carte bancaire (NDLR : voir encadré) », avance Philippe el-Hajj, responsable de la banque de détail de la Fransabank. Reste que même avec ces critères, la sécurité de la technologie NFC a déjà été compromise à travers le monde par des études scientifiques ou des pirates (voir Le Commerce du Levant n° 5650)…
« Tous les contrats de partenariat comportent un chapitre sur la rétrofacturation qui précise à chaque fois les limites des responsabilités de chaque acteur dans la chaîne. En cas de litige, le client est en droit de se retourner contre sa banque. Cette dernière pourra ensuite, si le cas le justifie, poursuivre le fournisseur de son infrastructure monétique », précise néanmoins Ramzi Sabboury, le directeur de Visa au Liban.

Marché local immature

Le marché libanais est-il mûr pour intégrer cette innovation alors que « 90 % des transactions au Liban se font encore en cash », comme le rappelle Ramzi Sabboury ? Pour les banques libanaises l’enjeu est de concurrencer l’argent liquide en réalisant des petites transactions : 50 dollars maximum pour le paiement sans contact et jusqu’à 300 dollars en moyenne pour le paiement à distance en fonction des établissements. La principale difficulté dans cette optique concerne d’abord la création d’un réseau de marchands suffisamment étendu. Il faudra ensuite convaincre les usagers de s’équiper massivement afin d’intégrer ce nouveau moyen de paiement de façon durable. Le fiasco de la plate-forme mobile Kwixo lancé sur le marché français en 2011 par le Crédit agricole et abandonné trois ans plus tard illustre combien il est difficile de bouleverser les habitudes des usagers.
Du coup, toutes les banques ne débordent pas d’enthousiasme à l’idée d’investir immédiatement dans le développement d’un système dont les retombées ne sont pas garanties à court terme : « Le retour sur investissement ne se ferait qu’à partir de 10 % de nos clients titulaires de cartes bancaires, en admettant que ces derniers utilisent le paiement mobile dans des propositions similaires, c’est-à-dire 20 à 30 fois par mois. Mais nous nous positionnerons sur ce marché quand le moment sera venu », indique par exemple Ronald Zirka, directeur du marketing et du retail de la BLF. Pour l’heure, les banques qui se sont déjà lancées ne se fixent d’ailleurs pas d’objectif en termes de volumes de transactions. « Il est surtout important de partir en avance pour se positionner en leader sur le long terme », prône Randa Bdeir, directrice des solutions de paiements électroniques du groupe Bank Audi.
Autre difficulté, la majeure partie des opérations reste limitée au territoire national. « Il n’y a pas encore de standards internationaux permettant d’ouvrir le paiement mobile vers l’étranger », explique le directeur général adjoint de CSC Group, Mazen Raham. Une situation qui pourrait vite évoluer avec l’introduction prochaine de la technologie HCE au Liban. Présentée par Visa à un panel de banques libanaises en février 2014, son infrastructure de stockage sur un “cloud” sécurisé permet d’envisager un développement international. « Trois à quatre banques libanaises (NDLR : dont la Byblos Bank) envisagent d’adopter ce système d’ici à fin 2015 », révèle Ramzi Sabboury.

La régulation du paiement mobile par la Banque du Liban Toutes les banques qui souhaitent se lancer dans le paiement mobile doivent au préalable adresser une demande à la Banque du Liban (BDL). Cette étape marque le point de départ d’une période d’observation de trois à six mois au cours de laquelle les fonctionnaires de la BDL vont tester la sécurité opérationnelle de l’établissement. La BDL se base en outre sur les standards EMV/PCI DSS utilisés comme référence par les géants de la carte bancaire, mais peut aussi imposer des mesures de sécurité supplémentaires comme l’application d’un plafond inférieur à celui initialement prévu pour les transactions, la validation des transactions par un code pin ou des alertes par SMS. Par ailleurs, la circulaire 69 de la BDL, qui régit l’ensemble des opérations financières réalisées par voie électronique par des institutions financières, impose aux banques de limiter le circuit d’une opération de paiement mobile à l’institution financière qui la pilote et le client qui l’émet. « L’une des priorités de la BDL est d’empêcher l’argent de sortir du circuit. Cela explique que cette dernière impose que toutes les transactions réalisées à travers une application mobile soient instantanées », développe Mazen Raham, de CSC Group.