Batailles en cours et à venir autour des données de paiement

Rédigé par Antoine Courmont

 - 

25 juin 2020


Le secteur des moyens de paiement connaît d’importantes recompositions au travers desquelles la maîtrise des données de paiement est centrale. Si les services apportent des fonctionnalités aux consommateurs, ils soulèvent des enjeux en termes de protection des données personnelles.

cashless moyens de paiement cnil linc

Les recompositions dans le secteur du paiement électronique sont majeures. Le développement du e-commerce a contribué à renouveler les solutions de paiement sur Internet. De nouveaux acteurs sont apparus, tels que Paypal et sa solution de portefeuille électronique, qui a transformé les usages. Le secteur de la Fintech, soutenu par les pouvoirs publics et encouragé par les évolutions règlementaires (DSP2), est en pleine expansion, proposant des solutions de paiement en ligne et en physique, notamment via le sans contact. Les solutions de paiement sans contact proposées par WeChat Pay, Alipay ou ApplePay connaissent un succès fulgurant. Enfin, les cryptomonnaies, symbolisées par Bitcoin et l’initiative Libra, portée par Facebook et un consortium de partenaires, soulèvent de nombreuses interrogations. Ces recompositions dans le secteur du paiement électronique apportent de nouvelles fonctionnalités qui répondent aux attentes des utilisateurs (simplicité d’usage, délais raccourcis, baisse du montant des commissions, des frais bancaires et des coûts de transaction, etc.) et contribuent à davantage de fluidité dans le marché. Elles soulèvent également des enjeux en termes de sécurité, de transparence des transactions, et de protection des données. La maîtrise des données de paiement est l’objet des batailles en cours et à venir. Panorama des principales recompositions du secteur.

 

L’optimisation des infrastructures de paiement existantes

Complexe, le secteur du paiement se structure autour de grandes catégories d’acteurs : les banques, les prestataires de services de paiement (PSP), les acteurs du virement et des e-wallets, les fournisseurs de solutions de paiement sur mobile, les e-commerçants et les solutions de cashback. Exceptés les quelques entreprises développant des monnaies distribuées sur le modèle du bitcoin, que nous n’évoquerons pas dans cet article, ces acteurs des Fintech s’appuient sur l’infrastructure de paiement existante où ils opèrent des optimisations visant à réduire les délais ou les frais de transaction, ou proposent de nouveaux services basés sur l’analyse des données de transaction.

Ecosysteme Moyens Paiement.jpg

Illustration : cartographie de l’écosystème des moyens de paiement – Etude Wavestone-CNIL – Décembre 2019

 
 

Les systèmes de paiement sur mobile se sont développés sur la base de l’infrastructure de la carte bancaire, qui reste omniprésente dans ce système. Les wallets (Apple Pay, Google Pay) s’appuient sur la carte bancaire. Celle-ci est enregistrée dans le téléphone, et, l’application de paiement (Google Pay, Apple Pay) est utilisée pour régler les achats au lieu de la carte bancaire physique. La suite du traitement du flux financier est identique à celui de la carte bancaire. Cette stratégie a permis l’association aisée des banques, puisqu’aucun acteur n’est a priori concurrencé dans ce schéma, même si les partenariats signés avec Apple sont coûteux pour les banques qui perdent une partie de la commission prélevée chez le commerçant. Deux stratégies différentes sont à distinguer toutefois entre les fabricants de téléphones (Samsung, Apple) et les fournisseurs de services (Google Pay). Le modèle économique des premiers repose sur une commission prise sur chaque transaction (d’un montant variable selon les accords négociés entre les banques et Apple ou Samsung), ainsi que sur l’augmentation des ventes de smartphones grâce à l’enrichissement des fonctionnalités. A l’inverse, le modèle des seconds repose sur la collecte et la valorisation de données. Par ces services de paiement, ils cherchent à occuper une place stratégique au cœur de la chaîne des données de paiement et ainsi à enrichir leur capital en données sur chaque individu. Ces services connaissent un essor croissant même si les volumes de transaction restent modestes comparés aux opérations par carte bancaire.

Si aujourd’hui, la carte bancaire reste omniprésente dans les systèmes de paiement en France, cela pourrait évoluer dans les prochaines années. La directive DSP2 doit faciliter les virements bancaires instantanés, nationaux ou internationaux, ce qui pourrait mener à une marginalisation des fournisseurs de solution de paiement tels que Visa ou Mastercard. L’acquisition récente par Visa, pour 5,3 milliards de dollars, de Plaid, une start-up proposant une API qui permet à toutes sortes d'applications de se connecter aux comptes bancaires de leurs utilisateurs, vise à anticiper cette rupture éventuelle. Cet achat, en dehors de son cœur de métier historique, témoigne de la volonté de Visa de maintenir sa position au cœur de la chaîne des données de paiement. Visa et Mastercard diversifient également leurs activités dans la gestion urbaine et ambitionnent d’intégrer les technologies issues du monde du paiement à d’autres écosystèmes pour créer de la fluidité dans un parcours client. Visa entend faire de la ville un système intégré autour de la carte bancaire, en particulier dans le secteur de la mobilité. Le paiement des transports par carte et mobile a été mis en place à Londres pour les JO de 2012, et il existe depuis 2018 à Dijon. En partenariat avec le groupe BPCE, l’entreprise souhaiterait généraliser ce système d’open payment pour les JO de 2024. De son côté, outre l’intégration des systèmes urbains par la carte bancaire pour une plus grande fluidité, Mastercard analyse les données de transaction pour fournir aux pouvoirs locaux des études sur l’activité économique ou la mobilité sur leur territoire.

L’autre optimisation des infrastructures de paiement se situe dans les transferts d’argents entre particuliers ou professionnels, en France ou à l’international. Ces startups s’appuient également sur le schéma de carte bancaire, en ajoutant une étape dans le processus du virement. Paypal, leader mondial dans le marché de virements entre particuliers, fonctionne sur le principe d’un e-wallet pour les particuliers. Le système des virements interbancaires (SEPA) est remplacé par le PSP de Lydia. La fintech TransferWise, dont les frais sont inférieurs à 2%, a gagné 10% des parts du marché des transferts d’argent à l’international, concurrençant les acteurs installés comme WesternUnion.

 

La consolidation des acteurs du secteur : une concentration des données par quelques acteurs

La seconde tendance est une consolidation des acteurs du secteur des moyens de paiement. Les prestataires de services de paiement sont les intermédiaires qui permettent et fluidifient le transfert d’information entre marchands et clients, en ligne ou hors ligne, via les différents canaux de paiement. Les acteurs principaux de ce marché sont aujourd’hui en phase de consolidation, avec le rachat d’Ingenico par Worldline pour 7,8 milliards d’euros. Ingenico est le leader mondial dans le marché des terminaux de paiement, secteur en perte de vitesse, et un acteur important du marché des paiements électroniques. Worldline est le principal prestataire de paiement sécurisé en ligne. L’objectif de ce rachat est d’avoir une taille critique nécessaire aux investissements liés aux nouvelles règlementations et développer des services à valeur ajoutée en maîtrisant tous les outils de la chaîne du paiement. La stratégie est similaire pour leurs concurrents. Les américains FIS, et Global Payments ont en 2019 acquis respectivement le britannique Worldplay, First Data et TSYS. Ces mouvements semblent indispensables dans cette industrie, qui s’est internationalisée, où les volumes sont cruciaux, et qui voit émerger des dizaines d’acteurs aux offres compétitives, comme l’américain Stripe (créé en 2006) ou le néerlandais Adyen (créé en 2011, dont le niveau de valorisation actuel talonne celui de la Société Générale), devenus en quelques années des acteurs de premier ordre dans le paiement sur Internet. Le développement du paiement électronique, outre des économies d’échelles impossibles à réaliser avec le commerce physique, offre également une opportunité de connaissance précise sur les habitudes des consommateurs. Cette lucrative analyse de données soulève de sérieuses questions de protection des données et de conformité au RGPD à l’heure de la consolidation de ces acteurs.

Ces consolidations sont stratégiques pour faire face aux ambitions d’intégration verticale des plateformes de l’économie numérique. Comme l’indique Julien Maldonato, associé chez Deloitte : « La véritable valeur de l’activité des paiements, c’est la donnée. Ils permettent de comprendre encore mieux les comportements des consommateurs. Les Google de demain devront maîtriser la donnée de paiement. Soit les GAFA remporteront le match et renforceront leur puissance, soit de nouveaux acteurs, comme Adyen ou Stripe, deviendront les nouveaux géants. » La seconde dynamique de concentration se joue en effet autour des acteurs de l’économie numérique, et en particulier, des plateformes de e-commerce. L’exemple de l’entreprise chinoise Alibaba témoigne de ces recompositions. Son service de paiement Alipay est utilisé par plus d’un milliard d’utilisateurs (dont deux à cinq millions d’utilisateurs en France). Il propose une solution de paiement mobile, de virements, de services fiduciaires et des services aux particuliers (réservation de billets d’avion, gestion de fortune, livraison des commandes, etc.). Surtout, le système est complètement intégré à la plateforme de e-commerce. Alibaba peut ainsi avoir une connaissance intégrale des transactions effectuées par chaque commerçant et chaque client. Amazon poursuit une stratégie similaire. Le bouton Amazon Pay est mis à disposition de tout site commerçant classique, ce qui lui permet de se positionner comme un acteur central au-delà de la place de marché de sa plateforme. L’entreprise commercialise également sa technologie de paiement instantané JustWalkOut mise en œuvre dans ses magasins physiques.

Pour contrer ces phénomènes d’intégration et conserver un lien direct avec leurs clients, certains acteurs de la grande distribution proposent leurs propres services de paiement électronique. L’application de paiement de Starbucks a jusqu’en 2019 compté plus d’utilisateurs qu’Apple Pay. En France, Système U a par exemple lancé en février 2019 U Paiement, une application de portefeuille électronique, qui intègre un système de paiement par QR Code et un programme de fidélité (cagnotte, dématérialisation des tickets, envoi de promotions). Carrefour, la FNAC, Casino offrent des services similaires sur leurs applications, tandis que certaines enseignes ont mutualisé ce service en s’appuyant sur l’application Lyf Pay. La sécurité de ces applications est un enjeu central. Elle n’atteint pas toujours le niveau de sécurité des banques. Starbucks App a été piraté à deux reprises, et, dans les deux cas, les pirates pouvaient accéder aux données des cartes de crédit et transférer de l’argent depuis les comptes bancaires des utilisateurs. En outre, les applications des retailers ont souvent accès un grand nombre de données sur leurs utilisateurs (transaction, appareil, localisation) qu’ils peuvent commercialiser à des tiers, comme le fait Starbucks. Dans ces deux cas se pose la question de la conformité au RGPD de ces solutions, la sécurité des données étant l’un des grands principes de la protection des données, tout comme le contrôle sur qui peut accéder ou non à quelles données. L’accès aux données par le retailer ne peut se faire sans une base légale et la plupart du temps sans le consentement des utilisateurs, avec des enjeux liés notamment à la transparence et à l’information des individus.

 

Des services complémentaires basés sur l’analyse des données de transaction

La troisième tendance est le développement de services complémentaires aux moyens de paiement à destination des clients (cartes de fidélité, tickets dématérialisés, services de banque mobile) ou des professionnels (gestion de la fraude, analyse des données clients, gestion des programmes de fidélité). Les infrastructures de paiement sont en effet une mine d’informations personnelles sur les individus et leurs comportements, comme résumé dans le tableau suivant.

 

Types de données

Exemples

Données d'identification de payeur (personnelles)

Nom, Prénom, Adresse, Téléphone, Date de naissance, Adresse email, Login, Mot de passe, Token, Devices (Caractéristiques du système d’exploitation, du navigateur ou des appareils)

Données d'identification de payeur (de transaction)

Coordonnées Carte Bancaire, IBAN de Payeur

Données d'identification de payée (personnelles)

Nom du Marchand, Adresse du Machand, N° de Siren

Données d'identification de payée (de transaction)

IBAN de Marchand, Code de Catégorie de Marchand

Données de transaction

Date et heure de transaction, Montant, Devise, Moyen de paiement, Modalité de paiement (carte présente, carte non présente)

Données du détail des biens achetés

Détail du panier, Historique d'achat

Données d’authentification biométrique

Empreinte digitale, Reconnaissance faciale, Reconnaissance de l’iris

Données de localisation

Traces de géolocalisation, Traces de navigation, Parcours de navigation dans le site web

Données d’informations personnelles supplémentaires

Opinions politiques, religieuses, origines raciales ou ethniques

 

Si tous les acteurs de la chaîne de paiement n’ont pas accès à toutes ces informations, les moyens de paiement électroniques sont ainsi souvent un point d’entrée pour repenser la connaissance et la relation avec les clients. La donnée de paiement est souvent perçue comme le nouvel or noir du secteur bancaire, source potentielle de création de valeur pour les acteurs traditionnels ou les nouveaux entrants du secteur.

Parmi ces services, beaucoup se basent sur l’analyse des données de transaction. Celles-ci ont toujours été utilisées par les banques pour réaliser des analyses de risque et de détection de la fraude. Elles sont aujourd’hui considérées comme un moyen de diversifier ses sources de revenus par les acteurs traditionnels du paiement. Avec Advisors, Mastercard renforce ses liens avec les émetteurs et les commerçants en leur proposant par exemple des rapports de marché et des analyses clients ou l’optimisation du calcul du risque de crédit. La branche services de paiement du Crédit Agricole propose à ses caisses régionales des analyses de données visant à optimiser leurs ventes en proposant des montées en gamme. Ils les utilisent aussi pour améliorer la détection de fraude pour leurs besoins et ceux de leurs clients commerçants. PayPal propose des offres de prêt aux entreprises en se basant sur les données de transaction pour déterminer la croissance de l’entreprise et sa solvabilité.

L’analyse des données à des fins de détection de la fraude évolue également. Alors qu’elle se basait essentiellement sur les données métier liées à la transaction réalisée, ces solutions intègrent dorénavant des informations sur le contexte de la transaction (localisation, empreinte du device ou du navigateur) ou des données de biométrie comportementales (mesures des interactions d’un individu avec le device utilisé pour la transaction : données de dynamique de frappe au clavier, des mouvements de la souris, etc.). Dans ce dernier cas, les solutions mesurent les écarts relatifs aux paramètres collectés pour évaluer si l’utilisateur qui réalise la transaction est bien l’utilisateur légitime.
Les données de transaction sont désormais convoitées par des acteurs tiers à des fins de programme de fidélisation, publicitaire, de segmentation des clients, d’évaluation des risques voire de système de crédit social. Les entreprises spécialisées dans le cashback, le remboursement d’une partie d’un achat par carte bancaire, offrent des services de management des programmes de fidélisation aux banques ou aux commerçants. Plebicom négocie des offres avec les différents types de marchands et gagne un pourcentage de commission si les clients accèdent aux produites/services des marchands via les recommandations de Plebicom. Pour cela, l’entreprise récupère les données clients et les utilisent pour faire la promotion des offres des marchands partenaires. Il redistribue par la suite des commissions reçues par les marchands au client final. La carte bancaire devient alors la carte de fidélité. Les banques développent également ces solutions de cashback, à l’instar de la Société Générale, la LCL ou BNP Paribas, pour tout achat via carte bancaire dans des enseignes partenaires, tout en refusant aujourd’hui la personnalisation des offres. Si les conditions d’utilisation de ces moyens de paiement offrent aux acteurs bancaires des possibilités de développement de nouveaux services, ils restent aujourd’hui relativement prudents quant à l’exploitation des données de leurs clients. Elles craignent de nuire à leur image, alors qu’elles sont considérées comme des acteurs de confiance pour collecter et gérer des données personnelles. Selon le rapport « Données personnelles et confiance : évolution des perceptions et des usages post-RGPD » de la chaire Valeurs et Politiques des informations personnelles, les données bancaires sont citées en premier (97%) comme ce qui est considéré comme des données personnelles par les personnes interrogées. En outre, les banques (93%) se placent juste derrière l’Etat (94%) comme acteur de confiance pour collecter et gérer des données personnelles.

Ces services basés sur l’exploitation des données de paiement sont majoritairement réalisés par des acteurs tiers, de tailles diverses, spécialisés sur un type d’analyse (identification de la fraude, cashback, etc.). Cette complexité de l’écosystème du paiement et des services associés multiplie le nombre d’acteurs intervenant dans la chaîne. L’augmentation des transferts de données soulève des risques supplémentaires du point de vue de la protection des données.

 

Des données moins fiables et précises qu’elles en ont l’air

Par ailleurs, le traitement et l’exploitation des données de transaction restent complexes et difficilement automatisables, du fait des approximations des informations contenues dans ces données. Le MCC (Merchant Category Code), qui affecte un commerçant à un secteur d’activité, ne décrit qu’approximativement la nature de la transaction. Par exemple, les stations-services proposent tout à la fois du carburant et des produits alimentaires ; un institut de beauté peut proposer des soins ou de la vente de produits. En outre, un nom de société ou une date de transaction erronés peuvent être indiqués sur le relevé : le terminal de paiement d’un commerce est enregistré au nom de la société et non celui du commerce ; la date indiquée sur le relevé est celle de la télécollecte des informations enregistrées par le TPE et non la date réelle de l’achat. Enfin, les informations de localisation sont souvent celles du siège social de la société plutôt que celles du magasin dans lequel a eu lieu la transaction.

 

Quelle place pour les banques commerciales dans cet écosystème de la donnée ?

Les mutations dans l’écosystème des moyens de paiement interrogent sur la place des banques commerciales qui aujourd’hui gèrent le risque et font l’interface entre avec les consommateurs. Selon l’enquête du cabinet Deloitte sur « Les Français et les nouveaux services financiers, 10% des Français se déclarent clients d’une banque mobile (Ma French Bank, Orange Bank, Revolut ou N26), et 64% d’entre eux l’utilisent comme compte principal (+16 points en un an). Les banques traditionnelles restent pour l’instant privilégiées pour des opérations complexes telles que la demande d’un crédit. Mais cette situation pourrait évoluer avec l’arrivée des acteurs de l’économie numérique dans le secteur des services financiers. Si leur point d’entrée est aujourd’hui le paiement (Google Pay, Amazon Pay, Apple Pay), à plus long terme, leur souhait est de proposer d’autres services financiers. Pour des questions règlementaires très contraignantes, ils s’associent à des acteurs bancaires traditionnels, auxquels ils laissent la gestion des infrastructures sous-jacentes. Amazon, Apple et Google se sont associés respectivement à JP Morgan, Goldman Sachs et Citigroup pour lancer des cartes de crédit et envisager la création de compte courant. Ces activités bancaires sont des opportunités pour collecter des informations complémentaires sur les individus, à partir desquelles ces entreprises de l’économie numérique seront demain en capacité de calculer des scores de risque et proposer des produits plus complexes tels que des crédits. Les prêts à la consommation sont une nouvelle source de revenus pour les acteurs de la tech. Ils visent en particulier les exclus du système bancaire, dans un contexte où les banques accordent plus difficilement des crédits depuis la crise de 2008 (25 millions de personnes aux US sont exclus du système bancaire). Amazon propose déjà des services financiers à destination des commerçants de sa plateforme, tout comme Stripe et Paypal qui proposent des prêts aux petits commerçants. En octobre 2019, Uber a lancé Uber Money, une branche dédiée aux services financiers (ses concurrents asiatiques Didi Chuxing et Grab proposent des services financiers équivalents). Son programme de prêts bancaires, dédiés à ses chauffeurs, est un moyen pour l’entreprise de les contraindre à travailler pour l’application : les remboursements sont en effet retenus des revenus réalisés par les chauffeurs sur Uber. En Chine, Alibaba et Tencent sont perçus par certains analystes comme les acteurs de demain du secteur bancaire. S’ils se concentrent aujourd’hui sur les moyens de paiement, ils sont des acteurs centraux du système de scoring social chinois, dispositif qui pourrait être utilisé demain pour déterminer la capacité d’emprunts des individus.
Ces initiatives prospèrent aux US, où le marché du crédit à la consommation est très élevé. Les plateformes entendent s’appuyer pour certaines sur des métriques alternatives pour accorder ces crédits, tels que les traces d’usage des smartphones. La technologie repose toutefois largement sur une boîte noire pour déterminer qui peut recevoir ou non un prêt. Apple, qui a lancé à l’automne 2019 sa « Apple Card » permettant d’obtenir des lignes de crédit, l’a appris à ses dépens. L’entreprise a rapidement été accusée de discrimination genrée lorsqu’un des plus gros influenceurs de la tech, David Heinemeier Hansson, a découvert que sa femme bénéficie de 20 fois moins de crédit que lui-même. Or, l’entreprise affirme que le genre n’est pas pris en compte dans le calcul des scores de crédit. Personne ne semble donc capable d’expliquer les origines de ce biais algorithmique… Depuis, l’entreprise a mis à jour sa politique de confidentialité afin d’élargir le champ de la collecte de données en vue d’offrir des crédits aux personnes qui étaient automatiquement rejetés avec l’ancienne version.

 



antoine courmont
Article rédigé par Antoine Courmont, Chargé d’études prospectives