La COVID-19 catalyseur du paiement numérique, l’identité numérique catalyseur de confiance.

La révolution du numérique est devenue irréversible, y compris pour le paiement.

La crise pandémique a rendu le numérique indispensable, autant pour poursuivre nos échanges dans le contexte professionnel ou pour maintenir le lien avec nos proches que dans nos parcours de paiement.

Outre l’augmentation du volume des transactions de paiement de proximité en sans contact (en France de 18% en 2019 à 30 % en juillet 2020), les achats en ligne, à l’origine promus comme une facilité de service pour le consommateur, sont devenus un prérequis pour satisfaire nombre de nos besoins essentiels (alimentaires, culturels, d’équipements liés au télétravail, etc.…), tout en participant au maintien de certaines activités commerciales mises en péril.

La sécurisation de ces parcours de paiement à distance (qui doit être renforcée d’ici la fin de l’année par l’authentification forte, comme prescrite par la DSP2) devient d’autant plus un enjeu quelle contribuera également à sécuriser l’accès au compte et éviter la fraude au virement. En effet, les attaques des fraudeurs couplant attaques de phishing, pour récupérer login/mot de passe, et piratage du numéro de mobile (par SIM swapping) pour recevoir le SMS OTP, deviennent monnaie courante. Ainsi une personne, même avertie, peut voir vider son compte très rapidement. En mode instantané, la fraude au virement devient encore plus cruelle. La Grande Bretagne enregistre ainsi, sur la même tendance que 2019, plus de 200 millions de livres sterling de fraude durant le 1er semestre 2020, en paiement « push» instantané, prémices du Request to Pay.

Cette révolution irréversible vers le parcours numérique et les services instantanés concerne également la contractualisation de services bancaires, qui doit s’assurer de conformités règlementaires liées au numérique (preuve du consentement pour RGPD, valeur probante de la signature de l’acte contractuel) tout en assurant une conformité sectorielle (AMLD pour l’ouverture de compte). Ce cadre est d’autant plus justifié, vu la progression des fraudes et attaques à l’ouverture ou à l’usurpation de compte constatée cette année : Selon le dernier rapport d’Experian, 57 % des entreprises déplorent en 2020 une augmentation des pertes dues à la fraude par rapport à l’année précédente, alors qu’elles n’étaient que 55 % en 2018 et 51 % en 2017.

Cet enjeu de sécurisation de l’identification à distance doit être associé à celui du parcours utilisateur. Le parcours 100 % numérique fluide et sécurisé pour ouvrir un nouveau service de paiement, auquel aspirent les générations Y et Z, a fait de nouveaux adeptes, y compris par absolue nécessité lors de la première période de confinement où même les services postaux ont été fortement perturbés. Toutefois, le taux d’abandon à l’ouverture de compte (proche de 60 % selon la dernière étude de Signicat) s’accroit, en particulier, en raison de la crainte de capture de données. Dans ce contexte, l’harmonisation européenne du cadre législatif AMLD et la définition de pratiques communes pour l’identification à distance deviennent urgentes. La révision en 2021 de la directive AMLD, potentiellement en règlement, pourrait aboutir à la définition d’exigences communes. En attendant, l’ANSSI vient de lancer en France une consultation publique pour un nouveau référentiel d’identification à distance. Ce référentiel pourrait-il servir de base à la future règlementation européenne en la matière ?

La confiance, ciment de la stratégie européenne du numérique et des paiements.

2021 sera pour l’Europe une année charnière pour prendre en main son destin numérique et organiser de nouvelles règles pour favoriser l’économie dans un marché unique européen, à la fois protecteur des personnes, des entreprises et de la souveraineté européenne. L’Europe maintient son principe d’ouverture et de respect de la libre concurrence, mais en assurant un marché équitable et de confiance face à la convoitise ou à l’emprise de certaines BigTech américaines et/ou asiatiques.
L’annonce du Digital Services Act et Digital Market Act fait suite à l’annonce d’un projet de règlement d’acte de gouvernance sur les données. Ce « new deal » européen permettrait de rendre effective la portabilité des données instituée par le RGPD en créant un modèle alternatif à celui des BigTech en instituant le rôle de prestataire de services de partage de données. Cet intermédiaire de confiance serait alors l’aidant, l’ange gardien et le conseiller numérique de la personne physique ou morale, pour gérer sa vie numérique. La banque, acteur de confiance dans le monde physique pourrait prendre ce rôle de nouveau tiers de confiance dans le numérique pour proposer de nouveaux services de paiement personnalisés, en particulier dans la vision ouverte de l’Open-Banking.

Ces annonces de règlementation trans-sectorielles sont complémentaires de la stratégie européenne des paiements dévoilée au début de l’automne : la confiance est le ciment de l’appropriation par le consommateur de moyens de paiement numériques interopérables, sécurisés et instantanés. Pour construire ces parcours numériques dans une relation de confiance, l’identité numérique s’inscrit comme clé de voûte de la stratégie européenne des paiements.

Ainsi, la révision en 2021 du règlement eIDAS, dont le volet identification électronique était, jusqu’à présent, limité au cas d’usage du secteur public, va être déterminante pour faciliter l’usage de l’identité numérique dans le secteur privé. L’ouverture au secteur privé concerne aussi bien l’usage de moyens d’identification électroniques notifiés par les Etats pour des parcours numériques de services privés, que la création de nouveaux services privés exclusivement dédiés à l’authentification forte (potentiellement dérivés d’un moyen d’identification électronique déjà qualifié) ou à l’identification en ligne, par exemple pour l’ouverture de compte bancaire. Les modèles d’identification pourraient s’ouvrir à une gestion en conformité avec les principes de minimisation du RGPD, par attributs, credentials ou attestations.

La direction générale de la stabilité financière, des services financiers et de l’union des marchés des capitaux en Europe (FISMA) vient d’attribuer à deux experts européens, Ronny Khan et Stéphane Mouy, une mission de 6 mois pour approfondir le champ des possibles de solutions d’identité numériques interopérables, en lien avec eIDAS, et utilisables par les secteurs financiers pour permettre la portabilité du KYC (c’est-à-dire la portabilité des identités numériques de personnes déjà enrôlées par une banque), et cela tout en se conformant aux exigences RGPD et AMLD. Leur rapport devra proposer une roadmap opérationnelle et intégrer la vision de « KYC custodians/utilities », prestataires spécialisés de services de partage de données de confiance.

L’identité numérique, est-elle aussi la clé de voûte des nouvelles architectures de paiement européennes ?

L’European Paiement Council vient de publier sa première version de rulebook pour un scheme SEPA-Request-to-Pay, restreinte à une interopérabilité à un modèle 4 coins. L’identification du payeur est proposée par un IBAN, un alias ou un proxy ; et l’identification du bénéficiaire du paiement par son nom et son IBAN. Des solutions d’identité numériques innovantes, à la fois conformes au RGPD et adaptées au cas d’usage RTP anonyme, à la valeur probante et à la lutte contre la fraude, pourraient être étudiées pour permettre l’interopérabilité avec des nouveaux modèles et/ou pour accéder à de nouvelles fonctionnalités (facturation électronique, paiement des taxes, etc.…). Quant à l’authentification forte, la délégation d’authentification serait envisageable via l’intégration dans les messages RtoP d’autres données et/ou métadonnées additionnelles pertinentes.

EPI comme l’Euro digital pour le retail pourraient également bénéficier d’une vision identité numérique intégrée apportant une expérience utilisateur fluide avec un parcours de bout en bout numérique : de l’identification à distance pour l’enrôlement, à l’authentification forte pour la transaction de paiement. Cependant ce parcours conforme aux différentes règlementations sectorielles devra satisfaire le besoin de confiance avec une approche security and privacy by design.

Et l’autre futur ? Des acteurs commencent à imaginer de nouvelles architectures de paiement décentralisées, basées sur des transactions blockchain (DLT) (Qonto, Nuggets, Fastpay de Facebook), qui pourraient être associées à des identités numériques Self Sovereign IDentity (SSID). L’avenir verra-t-il, in fine, des transactions avec smart contract entre un DID, un identifiant décentralisé sous forme d’une adresse URL, un payeur et un autre DID, celui bénéficiaire du paiement.