Chez EPI Company, nous croyons fermement que la transformation digitale, notamment via une stratégie d’identité numérique robuste, est un levier essentiel pour faciliter les paiements et renforcer la confiance dans l’écosystème. Je suis ravie de partager avec vous notre approche qui conjugue innovation, sécurité et expérience utilisateur pour répondre aux enjeux actuels et futurs du marché.
Comme l’a mentionné Stéphane Mouy dans sa présentation, les banques occupent une place centrale autour de l’identité numérique.
D’abord pour l’identification du client lors de son onboarding du client, puisqu’elle sont soumises à un certain nombre de réglementations, notamment autour du KYC (la connaissance du client) et de la lutte contre le blanchiment d’argent et le financement du terrorisme (LCB-FT).
Ensuite, pour ce qui touche aux paiements, puisque les banques émettent des instruments de paiement et sont soumises à la DSP2 sur l’authentification des paiements, et aussi pour lutter contre la fraude et s’assurer que c’est réellement le détenteur du compte qui est en train de faire ce paiement. Donc les banques sont vraiment « au milieu », entre les paiements et l’identité.
Une opportunité immédiate : accélérer l’enrôlement (onboarding) du client
L’identité numérique et le wallet d’identité numérique vont accélérer les processus d’onboarding, avec une identité numérique sécurisée (et aussi cross-border) qui permettra de gagner en temps, en efficacité et en argent.
Trois challenges
Un parcours client sans friction
La DSP2 a été mise en place depuis 2019. L’écosystème a souffert de cette migration, du fait de son impact sur le taux de succès et les abandons de paniers. La situation est maintenant stabilisée, avec de bonnes expériences utilisateurs, l’utilisation de la biométrie, des exemptions. Si demain on utilise les wallets d’identité numérique pour authentifier les paiements en prenant l’exemple de France Identité, et si cela doit être fait au niveau « haut », avec un tap de la carte d’identité physique pour valider les paiements, ça ne marchera pas, on perdra en expérience utilisateur. Il va déjà falloir que les wallets d’identité numérique officiels puissent prendre en compte les paiements, parce que ce n’est pas naturel (ce n’est pas sur la version actuelle qu’ils vont pouvoir authentifier les paiements) : il y a un certain nombre de choses à mettre en place comme les attestations d’authentification à émettre dans le wallet, le contexte à afficher. Mais il faut surtout être sûr qu’on conserve une bonne expérience utilisateur sur cette validation des paiements et prendre garde à ne pas subir, avec la DSP3 et le RSP et les standards de l’Autorité Bancaire Européenne (EBA), une nouvelle période de déploiement et d’impact fort telle qu’on l’a eue avec le déploiement de la DSP2.
Valoriser l’infrastructure existante
Il est essentiel de réutiliser les rails de paiements existants. Je ne vais pas revenir sur le débat sur l’euro numérique, mais utiliser les wallets pour valider les paiements ou initier des paiements. L’objectif n’est pas de recréer un autre système de paiement ou un autre scheme de paiement, mais de réutiliser les infrastructures existantes qui fonctionnent déjà, et ne pas réinventer la roue.
Assurer une concurrence équitable entre wallets
Pour assurer une concurrence équitable entre les wallets, il faut que les acteurs américains appliquent bien l’authentification avec les wallets sur les paiements, sur le login, et respectent toutes les mesures de sécurité, et surtout de privacy, des données des utilisateurs par rapport à l’identité numérique. C’est un point sur lequel nous serons très vigilants, et c’est une position assez unanime du secteur bancaire.
Hervé Sitruk
Claire, confirmes-tu qu’aux Etats-Unis, tous les acteurs du paiement (Visa, Mastercard…) ont lancé une série de réflexions autour des identités numériques ? Il n’y a pas que Google…
Claire Deprez
Oui. J’ajoute qu’il y eu hier une annonce d’Apple : ils travaillent déjà sur des identités numériques émises par le gouvernement, donc les travaux en cours avec les permis de conduire dans les différents États. Mais ils ont annoncé travailler aussi sur une sorte d’identité numérique émise par Google ou par Apple. C’est un partenariat basé sur la lecture des cartes d’identité ou des passeports par eux-mêmes. Et ils émettent eux-mêmes leur propre identité numérique, mais comme celle-ci n’est pas émise par le gouvernement ou par une source officielle, elle n’a pas la même valeur légale qu’un passeport physique. Mais leur objectif est bien de devenir le wallet préféré des utilisateurs, tant sur le paiement que sur les cartes autres (cartes d’identité, cartes de fidélité, ticketing…).
EPI fait partie du consortium Aptitude, l’un des deux nouveaux consortiums, qui a été lancé fin octobre.
Nous avons naturellement intégré le Work Package 6 (WP6) sur Banking & Payments, qui a pour objectif de tester tous ces cas d’usage de l’authentification avec le wallet autour du paiement. Nous retrouverons là les banques françaises. Ce WP6 est piloté par les Caisses d’épargne allemandes et il se base beaucoup sur les travaux des consortiums passés, donc EWC et NOBID. Toutefois, lors de la réunion de lancement, on a vu que même si le principe de faire de l’authentification forte pour le paiement avec des wallets d’identité numérique semble assez clair et a été testé dans le cadre des consortiums EWC et NOBID, il y a encore beaucoup d’interrogations des banques (françaises ou autres, notamment les banques polonaises) sur la compréhension de ce système qui ne repose pas sur une délégation d’authentification mais qui conserve la responsabilité au niveau des banques. Cela soulève en effet beaucoup de questions juridiques que de conserver cette responsabilité bancaire tout en utilisant un wallet d’identité numérique tierce, qui peut être au nombre de 27 par rapport à chaque État- membre.
Dans notre roadmap à plus long terme, nous avons vocation à intégrer tout ce qui est booking, ticketing, réservations d’hôtels… Nous avons donc demandé (et ça a été validé la semaine dernière) à intégrer également le Work Package 4 (WP4) qui est dédié à tous ces cas d’usage autour du transport, afin de voir comment utiliser ce standard européen autour des wallets d’identité numérique pour stocker à terme les réservations et les tickets dans notre futur wallet Wero.
Hervé Sitruk
Tu parlais tout à l’heure de l’autre consortium, qui est WeBuild. Quelle est la différence entre Aptitude et WeBuild ?
Claire Deprez
Aptitude se concentre sur les paiements des particuliers, la mobilité autour du particulier, alors que WeBuild se concentre principalement sur les paiements corporate et les wallets business.
Il faudra surtout voir comment cela va impacter Wero, parce que quand on parle de paiement e-commerce avec du 3D Secure, donc avec la carte, remplacer une méthode d’authentification que par une autre, c’est finalement assez simple. Quand on paie avec une carte, on a « juste » de l’authentification. Que celle-ci soit faite avec une application bancaire ou avec un wallet d’identité numérique, c’est à peu près la même chose.
En revanche, lorsqu’on fait un paiement Wero, on a besoin d’ouvrir l’application pour faire autre chose que le paiement : par exemple pour sélectionner le compte bancaire ou activer un type de paiement plus complexe (paiement récurrent, BNPL…). On fonctionne donc comme un wallet de paiement et aujourd’hui, l’ouverture de l’application est nécessaire pour gérer la méthode de paiement. Or, rajouter l’authentification forte via une autre application démultiplie les switch d’App en App, ce qui risque de « tuer » l’expérience utilisateur. C’est donc pour nous un point d’attention très fort.
Deuxième point : nous allons étudier comment intégrer Wero en tant que méthode de paiement dans des wallets d’identité numérique. Il faut vraiment renforcer cet aspect souveraineté. Cela sera testé dans le cadre d’Aptitude.
Si on veut que Wero devienne le wallet de paiement préféré et de référence, il faut pouvoir offrir un nombre important de services à valeur ajoutée, de sorte que l’utilisateur l’utiliser vraiment au quotidien et pas uniquement pour le paiement. Le paiement reste la base du wallet Wero, mais ce n’est que le début. L’objectif va être de travailler autour des transactions de paiement pour pouvoir les enrichir avec des informations liées à l’identité, que ce soit la vérification d’âge ou, par exemple, pour partager des attributs d’identité pour la réservation d’hôtels (qui ont leurs propres contraintes réglementaires), mais aussi de pouvoir unifier tout ce parcours client autour de l’achat, autour du voyage, pour pouvoir gérer l’émission de documents dans notre wallet comme les réservations d’hôtels ou le ticketing.
Sur la vérification d’âge, ce n’est pas uniquement pour savoir si la personne est majeure ou pas, mais aussi pour pouvoir la faire bénéficier de réductions qui peuvent être liées à l’âge (par exemple pour les musées en Europe qui sont gratuits pour les moins de 25 ans), tout en respectant ce qu’on appelle le « zero knowledge proof », c’est-à-dire qu’il n’y a aucun partage d’informations, aucun partage d’identité ou d’attributs d’identité.
Notre positionnement est de travailler autour du paiement et donc d’enrichir la transaction de paiement avec le partage d’informations d’identité. Nous travaillerons également autour d’autres cartes, comme par exemple les cartes étudiant, car cela représente un intérêt fort, notamment au niveau de la mobilité des étudiants qui voyagent d’un pays à l’autres, mais également pour pouvoir appliquer des réductions liées à un statut étudiant.
Pour terminer, j’ai intégré une petite vidéo extraite d’une présentation que nous ferons la semaine prochaine au sommet pour la souveraineté numérique, dans lequel Wero aura un stand pour présenter le paiement Wero et notamment l’identité numérique. Cet extrait illustre le cas d’usage de la réservation d’hôtel et surtout la manière de combiner l’identité avec le paiement. Dans cet exemple, on fait la réservation de l’hôtel avec le paiement Wero, on partage les identités, et la réservation est ensuite ajoutée dans le wallet Wero et on peut la présenter.
Merci de votre attention.
***
Hervé Sitruk
Merci beaucoup, Claire. Vous allez donc avoir l’identité numérique dans le wallet, mais j’ai compris aussi que vous alliez peut-être inscrire aussi les cartes européennes, pour que cela devienne un instrument de référence de paiement, quelle que soit la forme de paiement. Est-ce bien cela ?
Claire Deprez
Oui, c’est bien cela. C’est un choix stratégique. L’objectif était d’être indépendant des acteurs américains, mais si on veut, notamment sur les paiements de proximité, que l’utilisateur ne soit pas bloqué : lorsqu’il veut faire un paiement de proximité, l’intégration de la carte de paiement est indispensable si le commerçant ne propose pas le QR code Wero ou la manière de paiement Wero. Et à partir du moment où l’utilisateur est bloqué, cela devient très compliqué de devenir le wallet de référence du consommateur.
Stéphane Mouy
Tu as une slide intitulée « Digital Identity in Wero ». Avez-vous pris une décision là-dessus : allez-vous faire certifier Wero comme wallet eIDAS2, ou bien allez-vous faire autre chose ? Quel est le niveau de formalisation ?
Claire Deprez
Dans un premier temps, nous allons plutôt travailler sur le respect des standards eIDAS d’un point de vue technique, sur des cas d’usage de type « substantiel » et non pas « élevé », car le cas d’usage est plutôt autour des transactions de paiements, et voir dans un second temps la certification.
Comme tu disais tout à l’heure dans ta présentation, on ne pourra pas avoir de certification en France. Ce sera possible en Allemagne, mais à ce jour la certification ne nous permettrait de couvrir que le marché allemand, et potentiellement le marché néerlandais. C’est un peu le même positionnement que celui annoncé hier par Apple : avoir une identité numérique à un niveau un peu en dessous du niveau « élevé », donc plutôt le niveau « substantiel » ; travailler avec des QTSP (Qualified Trusted Services Providers) pour maintenir le niveau de confiance ; suivre tous les standards ARF pour garantir l’interopérabilité technique. Mais malheureusement, comme tu l’as expliqué, en France, la certification ne va pas être possible.
Hervé Sitruk
Tout le monde a bien entendu la difficulté de la France par rapport au marché allemand (ou néerlandais).
Merci à nouveau à nos trois orateurs de ce matin.
