12   POINT BANQUE MAI 2015

technologies bancairesbriefing

BNP Paribas, le groupe BPCE, la Banque Postale, Société Gé-nérale, Visa Europe France et Worldline expérimentent une solution reposant sur la tech-nologie Host Card Emulation (HCE) pour réaliser des paie-ments mobile sans contact. La nouvelle solution de paiement permet de payer avec son mo-bile Android (version 4.4 ou ultérieures) chez tous les com-merçants qui acceptent le paie-ment sans contact, soit près

de 400 000 points de vente en France (+ 75 % en un an selon le Groupement Cartes Ban-caires). Cette solution repose sur l’utilisation d’un alias de numéro de carte adossé à une carte Visa traditionnelle, ce qui permet de pouvoir e�ectuer des paiements aux points de vente sans jamais véhiculer les données de la carte physique. Ce service est une extension de la carte Visa o�rant les mêmes garanties et assurances. Pour

Paiement mobile : HCE et cloud au cœur des tests

Consultant spécialisé dans les sujets liés au paiement mobile, Jean-Luc Pellegrinelli du cabinet JLPi Consulting, membre de l’EESTEL (Association des experts européens en systèmes de transactions électroniques) nous livre son analyse sur les potentialités de la technologie Host

Card Emulation (HCE) et l’évolution du paiement mobile sans contact en 2015-2016.

L’actualité du marché des paiements a notamment été marquée récemment par l’émergence de la nouvelle technologie HCE. Quelle est sa spécificité ?Le paiement mobile HCE peut être défini de trois façons différentes. D’une part, il s’agit de l’émulation d’une carte de paiement dans un dispositif Near Field Communication (NFC), l’avantage étant qu’avec cette technologie, la dépendance vis-à-vis d’un secure element physique n’est plus imposée. D’autre part, il s’agit d’un service intégré au système exploitation Android 4.4 (et versions ultérieures) qui permet à des applications logicielles installées dans le mobile d’interagir avec l’interface NFC. Enfin, HCE

permet de conserver la chaîne de valeur existante pour la banque et de simplifier le parcours client qui n’a dès lors pour seul interlocuteur que la banque. Cette technologie autorise également les services additionnels de type titres restaurants. De quoi justifier la volonté de tendre vers un standard (cloud et android).

Comment expliquez-vous l’intérêt actuel des banques sur HCE ?Lorsque la technologie HCE a été intégrée dans le système d’exploitation de Google en novembre 2013, les banques ont regardé cela de près. Mais le réel déclencheur a été le Mobile World Congress de Barcelone de 2014 où Visa Inc. et MasterCard ont annoncé qu’ils allaient supporter cette technologie, annonce suivie de très près par la publication de la spécification de

l’organisation EMVCo sur la tokenisation en mars 2014. Cela s’ajoute à un contexte particulier: en dépit d’être techniquement fiable, le SIM centric, avec le secure element au cœur de l’écosystème, impliquait des coûts importants liés à la conjugaison de plusieurs facteurs : les telcos étaient propriétaires de la carte, l’architecture du système imposait la mise en place d’un gestionnaire du cycle de vie de l’application (le TSM) et enfin une complexification du processus d’enrôlement pour le client, confronté à plusieurs interlocuteurs pour un même service. Le HCE simplifie ce process d’enrôlement en même temps qu’il le sécurise: la vérification de l’identité du porteur est réalisée par exemple via OTP-SMS et s’ajoute à une analyse de l’empreinte du téléphone sur lequel le service est

payer ses achats, l’utilisateur n’a plus qu’à allumer son mo-bile, le poser sur le terminal de paiement sans contact et saisir son code secret dédié à l’utilisation de ce service pour les achats d’un montant supé-rieur à 20 €. L’historique de ses transactions est disponible dans son application mobile. Cette solution permet égale-ment à l’utilisateur de paramé-trer les di�érents niveaux de sécurité souhaités pour payer

en toute con"ance, comme par exemple la saisie systéma-tique de son code secret à cinq chi�res, quel que soit le mon-tant de la transaction, même inférieure à 20 €, le blocage du paiement si le téléphone n’est pas déverrouillé ou encore le blocage du paiement si l’appli-cation de paiement mobile n’est pas ouverte. De plus, en cas de perte ou de vol du téléphone, l’application de paiement mo-bile peut être immédiatement bloquée à distance sans pour autant empêcher l’utilisation la carte Visa adossée au ser-vice. « Avec cette expérimen-tation dans deux banques pilotes du groupe BPCE (Bred

Jean-Luc Pellegrinelli

MAI 2015 POINT BANQUE   13

technologies bancaires briefing

Banque Populaire et Caisse d’Epargne Alsace), nous pro-posons à certains clients test, titulaires de cartes Visa, la valeur d’usage de la technolo-gie HCE : simplicité de mise en œuvre et d’utilisation, associée à un haut niveau de sécurité. Cette technologie innovante va contribuer de manière très concrète à l’essor du paie-ment mobile sans contact en France  » précise Fabrice Denèle, directeur des moyens de paiement du groupe BPCE. La solution basée sur le pro-gramme «  Visa Cloud-Based Payments  » développée par Visa et Worldline, utilise la « tokenisation » avec des don-

nées de paiement à usage limi-té permettant d’utiliser l’appli-cation de paiement mobile aux points de vente sans véhiculer les informations de la carte réelle. L’ensemble des infor-mations est contrôlé en temps réel lors du traitement de la transaction, ce qui assure ainsi un haut niveau de sécurité.  Cette technologie permet éga-lement d’enregistrer une ou plusieurs cartes de paiement sur son mobile et de conserver l’historique des transactions e�ectuées. Le choix de la carte se fait, soit au moment de la transaction, soit en choisissant une carte par défaut. « Chez Visa Europe, le mobile est au

cœur de notre activité et nous investissons chaque année 200 millions d’euros pour innover en permanence aux côtés des banques. Avec la technologie Visa Cloud Based Payment, inédite en France, Visa Europe con"rme sa position de leader des solutions de paiement et fournit toutes les garanties né-cessaires en termes de sécurité aux consommateurs » a&rme Gérard Nébouy, executive di-rector de Visa Europe France. La Bred, Caisse d’Epargne Alsace et Natixis Intertitres, établissements du groupe BPCE, testent également une solution reposant sur un wal-let permettant, en exclusivité,

le règlement de son déjeuner via les titres-restaurant déma-térialisés Apetiz. Dès l’applica-tion téléchargée sur un smart-phone Android compatible NFC et activée avec les infor-mations communiquées par la banque, l’utilisateur peut choisir la carte Visa de son établissement bancaire et/ou sa carte Apetiz approvisionnée dans son wallet pour réaliser le paiement sans contact. Le paiement mobile sans contact est d’ores et déjà possible chez tous les commerçants équipés de TPE sans contact et auprès de tous les a&liés au titre res-taurant. JC

installé. Le cloud a ainsi forcé les banques à trouver des solutions encore plus sécurisées dans un contexte de désintermédiation. Avec le HCE, les banques peuvent faire converger différents services et adapter la sécurité au type d’usage réalisé grâce à un système de scoring adapté.

Comment HCE va-t-il impacter la bataille technologique sur le sans contact entre NFC, QR Code… ?Pour le moment, les acteurs considèrent que la technologie HCE et le NFC sont liés. Il est vrai qu’elle a été développée pour permettre de communiquer avec le lecteur NFC. Et la bataille est d’autant plus intense que HCE autorise la convergence entre différents types de paiement sur le support mobile, ce qui paraît intéressant dans un contexte caractérisé par l’émergence de wallets. Si l’on se projette un cran plus loin, il est fort à parier que la technologie HCE, associée à la tokenisation, va faciliter la

convergence entre paiement de proximité et paiement à distance. Bien que la solution soit techniquement complexe à mettre en place, ce sera sans aucun doute un vecteur de simplification à la fois pour les acteurs et les clients finaux.

BPCE teste actuellement une solution reposant sur la convergence entre paiement et titres restaurant dématérialisés. Quels autres types de convergence pourrait-on selon vous voir apparaître sur le paiement mobile ?La convergence entre paiement et titres restaurants constitue une véritable innovation ! Ainsi, Natixis Intertitres, distributeur de la carte plastique Apetiz, peut désormais mettre à disposition du client final – et non de l’entreprise – un service de règlement par mobile via des titres restaurant Apetiz. D’autres services pourront à l’avenir cohabiter avec le paiement comme par exemple les cartes cadeaux et pourquoi pas d’autres moyens de

paiement « non carte », comme les virements SEPA puisque le cloud permet d’héberger différents types de paiement. A cela pourra s’ajouter le paiement du transport, facilité grâce au fait que la tokenisation autorise la contextualisation de la sécurité en fonction de l’usage grâce à un système de scoring basé sur des jetons dédiés.

Quelles sont vos prévisions sur l’évolution du paiement mobile sans contact en 2015-2016 ? L’arrivée d’Apple aura-t-elle selon vous un impact réel sur le marché ?Apple ne bénéficie pour l’instant que d’une aura au niveau de l’ergonomie du client et de la facilité de l’enrôlement. Ainsi, Apple Pay a réveillé un engouement de la population et des médias pour le paiement mobile, tout comme Samsung Pay d’ailleurs en ce début d’année 2015. Les banques doivent désormais travailler sur la généralisation de l’offre de paiement mobile pour tous leurs clients, y compris ceux équipés d’iPhones ou de

Windows Phones. Si pour le système d’exploitation Windows 10, Microsoft a annoncé en mars dernier le support de la technologie HCE, l’intégration d’Apple Pay pour les détenteurs d’iPhones doit maintenant être une priorité pour les banques. Mais ce ne sera pas chose facile en Europe, notamment pour des problèmes de modèle économique - les premières initiatives qui devraient arriver via le Royaume-Uni seront à surveiller de près -. A noter que même aux Etats-Unis, Apple a du souci à se faire, certains acteurs, à l’image des retailers regroupés au sein de la co entreprise Merchant Customer Exchange refusent la solution Apple Pay et veulent proposer le mobile wallet CurrentC. Les années 2015-2016 seront décisives sur ce sujet. A cela s’ajoutera un renforcement de la concurrence sur le wallet avec la volonté de créer des solutions ouvertes et de faire cohabiter différentes offres.

PROPOS RECUEILLIS PAR ANDRÉA TOUCINHO