SoftPOS : un potentiel indéniable mais de nombreux défis à relever

La pandémie mondiale du Covid-19 a donné un coup d’accélérateur à l’usage du paiement sans contact. Selon les données de l’Observatoire de la sécurité des moyens de paiement, 46 % des paiements nationaux par carte inférieurs à 50 euros – soit le plafond pour une opération sans saisie du code PIN depuis le 11 mai 2020 – ont été réalisés en mode sans contact l’an dernier. Au total, 5,1 milliards de paiements sans contact ont été enregistrés en 2020, contre 3,7 milliards en 2019. Cette courbe ascendante devrait perdurer tant les comportements ont évolué. Selon une étude multi-pays (hors France) publiée par Visa, 65 % des consommateurs disent vouloir utiliser autant, voire davantage, les paiements sans contact, et 16 % seulement souhaitent revenir à leurs anciennes méthodes de paiement. 

Dans ce contexte, l’avènement des solutions SoftPOS pourrait faire basculer le paiement sans contact dans un usage de masse. A côté des terminaux de paiement classiques (TPE) et des mPOS (terminal d’encaissement mobile ou dongle associé à un téléphone ou à une tablette), la technologie logicielle SoftPOS représente une étape supplémentaire dans la simplification du paiement sur le lieu de vente. Il s’agit tout simplement d’utiliser un smartphone Android standard (qualifié de COTS ou “vendu sur étagère”) équipé d’une puce NFC comme terminal de paiement sans contact. L’acheteur peut ainsi poser sa carte bancaire en mode sans contact ou son smartphone pourvu d’un wallet sur le téléphone du vendeur pour régler une transaction, le cas échéant en saisissant son code PIN si le montant de la transaction dépasse le plafond autorisé. Un acteur comme Easytransac contourne la saisie du PIN en demandant au client de confirmer la transaction en saisissant la date d’expiration de sa carte ainsi que son code CVV.

Accompagner le digital in store

“Le SoftPOS consiste à dématérialiser complètement la fonction d’acceptation de paiement sans contact et de la rendre ubiquitaire, dans le sens où elle devient totalement indépendante d’un facteur de forme hardware particulier”, explique à mind Fintech Houssem Assadi, CEO de Dejamobile, un éditeur de solutions SoftPOS. Le marchand s’affranchit ainsi des coûts et des contraintes liés à la mise en place et à la maintenance d’un parc de terminaux de paiement. Un argument qui pourrait convaincre des petits commerçants, potentiellement déjà équipés en mPOS, et des travailleurs en mobilité (indépendants, artisans) qui ne disposaient pas jusqu’alors d’une solution appropriée. Les cas d’usage du SoftPOS pourraient cependant aller bien plus loin.

“Le développement du digital in store nous laisse à penser que le momentum est très bon pour une solution de type SoftPOS”, estime Frédéric Mazurier, président de Market Pay. L’établissement de paiement du groupe Carrefour, racheté en 2020 par AnaCap Financial Partners, a présenté en mai 2021 PayWish, une application de paiement SoftPOS développée avec Dejamobile, Samsung et Mastercard. Carrefour doit entamer son déploiement dans des espaces Electro Photo Ciné Son. “Un client peut ainsi acheter et régler ces produits directement en magasin sans avoir à passer par la caisse générale s’il n’a pas de produits alimentaires, souligne Frédéric Mazurier. Que ce soit pour des grandes surfaces en vente assistée ou même des enseignes plus haut de gamme, la simplification du parcours client et la légèreté de l’implémentation constituent des enjeux forts”. 

Cette approche intéresse aussi des acquéreurs traditionnels. Le Crédit Agricole du Languedoc expérimente une solution SoftPOS, baptisée Encaiss’Phone”, auprès de quelques commerçants. Pour ce pilote, la caisse régionale s’appuie, là encore, sur la solution en marque blanche ReadyToTap Payment for Merchants développée par Dejamobile, ainsi que sur Avem et Crédit Agricole Payment Services.

Le SoftPOS représente-t-il une menace pour le mPOS ? Pas vraiment, selon les professionnels interrogés. “Nous voyons le SoftPOS comme une proposition complémentaire au mPOS. Des acteurs du SoftPOS peuvent même avoir besoin de compléter leurs offres avec du mPOS car dans certaines régions, comme l’Amérique du Sud, le déploiement de cartes sans contact n’est pas au niveau de celui de l’Europe. Le SoftPOS ne devrait de toute manière pas représenter de gros volumes à un horizon de 3 à 5 ans”, tempère Emilie Casteran, CEO de YouTransactor, un fabricant de terminaux mPOS. Les solutions mPOS ont par ailleurs considérablement renforcé leur proposition de valeur en agrégeant des services complémentaires au paiement pour le marchand ou le professionnel : caisse enregistreuse, solution de facturation, outil de prise de rendez-vous, etc. “Le POS traditionnel perdurera, mais dans des formats de vente assistée, l’avenir est au SoftPOS”, assure Frédéric Mazurier, de Market Pay. De nouveaux cas d’usage pourraient aussi émerger, comme le self-checkout sur son smartphone (paiement en autonomie), alors que l’expérience en e-commerce n’est pas optimale aujourd’hui avec la DSP2. Le SoftPOS permettrait de transformer le schéma “Card Not Present” en “Card Present”, l’application s’assurant que l’acheteur est bien le porteur de la carte.

Une évolution de la certification attendue début 2022

Houssem Assadi, CEO de Dejamobile, assure qu’il n’a “jamais vu une innovation prendre aussi vite”. L’entreprise mène 5 projets liés au SoftPOS, dont 2 hors de France. Si le sujet suscite de l’engouement et de la curiosité, de nombreux défis restent encore à relever. Il y a d’abord la question de la certification, notamment sur le plan de la sécurité. “L’usage Soft POS étant nouveau, il n’y a pas de certification obligatoire ni de méthodologie concernant le mode lecteur (émulation de terminal de paiement) pour les OEM (les fabricants de téléphones, ndlr), bien que ce mode soit natif sur les téléphones compatibles NFC”, rappelle Christian Damour, pre-sales manager chez Fime, une société de conseil et de test pour les solutions de paiement.

Le Conseil des normes de sécurité PCI a publié fin 2019 le standard PCI Contactless Payments on COTS (CPoC), mais celui-ci ne prend pas en charge la saisie du PIN sur l’écran. Ainsi, en France, les solutions SoftPOS certifiées par le forum PCI ne permettent pas de traiter des transactions supérieures à 50 euros, soit le plafond du paiement par carte en mode sans contact. “La nouvelle version du standard CPoC qui prendra en charge la saisie du PIN est attendue pour le premier semestre 2022”, indique Christian Damour.

En attendant, les schémas de paiement, qui poussent le SoftPOS, ont mis en place des programmes pilotes. Ceux-ci autorisent la saisie du PIN mais avec des limitations en termes de déploiement géographique et du nombre de marchands enrôlés. Ces contraintes empêchent de fait un déploiement à grande échelle à l’heure actuelle. Le programme Visa Ready Tap to Phone, mis en place sur plus de 15 marchés depuis 2020, compte 28 partenaires, dont les Français Dejamobile et Viva Wallet ou les Britanniques Phos et Wizzit Digital. Les mêmes font partie du programme pilote Tap on Phone de Mastercard qui regroupe au total 26 sociétés, dont Ingenico. Par ailleurs, 13 entreprises bénéficient du standard CPoC (voir la liste complète dans le tableau ci-dessous). Visa et Mastercard maintiendront leurs programmes pilotes actifs tant que la nouvelle version de CPoC ne sera pas entrée en vigueur.

“De nouveaux acteurs qui se lancent dans le SoftPOS rencontrent des difficultés, car ils n’ont pas toutes les compétences initiales nécessaires. Le référentiel CPoC est directement dérivé de PTS (PIN Transaction Security), un standard de sécurité pour les terminaux de paiement classiques où la sécurité est garantie par le terminal avec des mécanismes de sécurité hardware, comme l’effacement sécurisé des clés avec une batterie intégrée. Cette protection ne pouvant pas être obtenue sur le SoftPOS, la sécurisation est nettement plus difficile sur un environnement Android qui est non maîtrisé et où la surface d’attaque est importante”, explique Christian Damour.

L’enjeu de l’expérience utilisateur

Il n’y a pas que l’aspect sécuritaire qui pose question. Des enjeux liés à l’expérience utilisateur se posent notamment. “Pour arriver au SoftPOS, on part de l’héritage du terminal de paiement classique qui est conçu dans le but d’être certifié puis installé. Aujourd’hui, les smartphones sont déjà déployés, puis ils doivent être convertis. Cela pose des problèmes concrets : on ne sait pas où poser sa carte sur un smartphone, puisqu’on ne sait pas où l’antenne NFC a été placée”, relève Emmanuel Desdoigts, project manager chez Fime. “Le point d’attention sur notre solution Pay Wish était de s’assurer que l’utilisation du paiement carte en mode NFC était facile. Il a donc fallu booster la performance du NFC”, confirme Frédéric Mazurier, président de Market Pay. L’organisme EMVco, qui fédère des acteurs de l’industrie du paiement, a lancé fin 2020 un programme “early adopter” de test fonctionnel pour évaluer les capacités d’acceptation de paiement sans contact des équipements COTS qui ne recourent pas à un dispositif hardware externe. 

Au-delà du design du smartphone, le SoftPOS risque également de soulever des problématiques d’usage. Le consommateur acceptera-t-il de saisir son PIN sur un smartphone qui n’est pas le sien, lui qui est habitué de longue date au TPE classique ou, de plus en plus, au mPOS ? Une réticence qui a conduit l’éditeur Paytweak, au terme d’une étude de marché, à se détourner du Tap to Phone avec saisie du PIN, alors qu’il avait commencé à collaborer avec Mastercard et Samsung en 2019.

Afin de réduire le coût de l’infrastructure, argument majeur en faveur du SoftPOS, le vendeur sera-t-il prêt à utiliser son smartphone personnel pour réaliser des transactions ? Autant de questions légitimes qui laissent à penser que le chemin est encore long pour le SoftPOS. Les éditeurs de solution l’ont bien compris : PayWish propose le paiement par lien afin d’offrir une alternative aux consommateurs dont la carte n’a pas de mode sans contact. 

La question de la monétisation reste aussi à résoudre, alors que les investissements en termes de développement et de certification sont significatifs. “Il faut que tous les acteurs de la chaîne se rémunèrent. Il s’agira d’un modèle intéressant s’il y a des volumes significatifs”, considère Emilie Casteran de YouTransactor, sachant que les coûts d’acquisition des mPOS sont aujourd’hui largement subventionnés par les fournisseurs de solutions. Au-delà du coût du hardware, c’est l’impact du récurrent qui aura de l’importance, avec l’absence d’abonnement mensuel par exemple. Parmi les premiers à se lancer, Market Pay avec PayWish a choisi de facturer à la mise en place du service puis à la transaction. “Nous pouvons aussi être plus souples dans les modalités avec un forfait mensuel comprenant un volume de transactions éligibles”, note Frédéric Mazurier qui souligne un delta favorable pour le SoftPOS par rapport au mPOS. Y compris sur le plan économique, le modèle du SoftPOS reste encore à affiner.