Nous observons actuellement une digitalisation rapide des moyens de paiement avec la mise à disposition de services sur une multitude de terminaux personnels, notamment les smartphones et les objets connectés. Cette tendance est notamment soutenue et promue par les acteurs globaux du paiement, les premiers d’entre eux étant les grands réseaux internationaux de paiement, tels que Visa, Mastercard et UnionPay International.
Afin de préserver la sécurité et la confidentialité des données de paiement, ces acteurs ont proposé de généraliser l’utilisation du concept de tokenisation. Ce concept a été notamment présenté de façon détaillée dans une spécification d’EMVCo en 2014, mise à jour en 2017. Les principaux réseaux de paiement dans le monde ont publié leurs propres spécifications de services de paiement mobile dit « cloud-based payments » mettant en œuvre la tokenisation.
Dans les systèmes de paiement par cartes, conformément aux règles EMVCo, chaque carte est identifiée par un Primary Account Number (PAN). Selon EMVCo, la tokenisation consiste à remplacer le PAN de la carte physique par un identifiant « non sensible », dédié à un usage particulier, et qui sera alors provisionné dans le terminal cible. Par exemple, lorsqu’un utilisateur, client d’une banque, souhaite digitaliser sa carte de paiement au sein d’une application mobile de type « wallet », l’éditeur du wallet en question devra demander un token auprès d’un Token Service Provider (TSP) et provisionner celui-ci dans son application. Pour être plus précis, le token, au sens EMVCo, n’est pas un simple identifiant, qui serait alors assimilé à une sorte d’alias du PAN, mais un profil de carte complet comportant notamment des données de sécurité.
Organisation de l’écosystème de la tokenisation à un niveau global
EMVCo a défini le rôle de Token Service Provider (TSP) et lui a donné une place centrale dans le dispositif de tokenisation. Ensuite, un Token Requestor (TR) qui souhaite digitaliser une carte de paiement pour un cas d’usage précis doit s’adresser à un TSP pour ce faire.
Prenons deux exemples :
– Le TR est une banque de détail qui souhaite proposer un service de paiement mobile de proximité au sein de son application. Lorsqu’un client de cette banque souhaite activer ce service, la banque doit adresser une demande de tokenisation de la carte de paiement détenue par le client auprès d’un TSP pour ensuite provisionner le token au sein de l’application de la banque.
– Le TR est un e-commerçant qui souhaite proposer à ses clients d’enregistrer sa carte de paiement afin de pouvoir la réutiliser dans ses prochains achats sur le site (service de type card-on-file). Lorsqu’un client souhaite enregistrer sa carte de paiement auprès du e-commerçant, celui-ci doit adresser une demande de tokenisation de la carte de paiement détenue par le client auprès d’un TSP pour ensuite enregistrer le token au sein de sa base de données.
Le TSP tient un rôle central notamment pour les raisons suivantes :
– Il est responsable de la base de données dite token vault qui enregistre la correspondance entre les cartes de paiement et les tokens associés.
– Lorsqu’une transaction de paiement utilisant le token est déclenchée, le TSP intervient dans la boucle d’autorisation, en amont de l’émetteur de carte, afin de valider certaines données de sécurité (des cryptogrammes créés à partir de clés provisionnées par le TSP au sein du profil de token) avant de transmettre la demande d’autorisation « détokenisée » à l’émetteur de la carte.
Ainsi, on voit que le TSP joue un rôle important à la fois en détenant des données sensibles (correspondance carte – token) et en intervenant systématiquement dans chaque transaction impliquant les tokens.
Enjeux de souveraineté et de contrôle par les émetteurs et les réseaux de paiement nationaux
En théorie, le rôle de TSP peut être joué par différents types d’acteurs de l’écosystème des paiements par carte. Dans la pratique, ce sont les grands réseaux de paiement qui se sont positionnés pour occuper ce rôle. En premier lieu, les réseaux internationaux de paiement, tels que Visa et Mastercard, ont construit des services de tokenisation au cœur de leur infrastructure. Etant donné leur empreinte globale, ces acteurs ont mis en place un large panel de services à même d’aider les TR (banques émettrices, marchands…) à déployer leurs services de façon simple et « universelle ».
Un exemple pour illustrer la proposition de valeur de ces TSPs globaux : les wallets de paiement mobile globaux (G-Pay, Apple Pay, Samsung Pay etc.) sont connectés aux TSPs des réseaux internationaux en tant que TR. Ainsi, les émetteurs membres de ces réseaux, utilisant déjà leurs services pour émettre des cartes physiques, peuvent faire appel à leurs services de TSP afin de bénéficier directement de la digitalisation de leurs cartes dans ces wallets.
Face à ces offres globales des réseaux internationaux, les acteurs domestiques s’organisent afin de construire des TSPs locaux accessibles aux émetteurs du pays concerné. Ces démarches sont notamment observées dans des pays ayant un fort historique du paiement carte avec un réseau interbancaire et un schéma de paiement domestique bien implantés, c’est par exemple le cas de la France avec le GIE Cartes Bancaires. On observe également des projets de « hub de tokenisation domestique » dans des pays où les systèmes de paiement par carte sont plus récents, tels que l’Arabie Saoudite, et où la décision d’avoir un TSP local semble davantage liée à des questions de souveraineté et de maîtrise des données sensibles sur le territoire national.
Devant cette offre et la multiplicité des choix, les TR devront adopter des solutions leur permettant de garder un bon niveau de maîtrise de la proposition de valeur offerte à leurs clients. Cette question semble particulièrement critique pour les banques émettrices. En effet, la maîtrise des données du porteur de carte fait partie, traditionnellement, des priorités des émetteurs. De même, la dépendance envers des acteurs tiers dans la boucle d’autorisation des paiements représente un sujet sensible.
Pour un émetteur, la question de la sélection du ou des TSPs à utiliser pour tel ou tel service relève d’un choix stratégique et pas simplement d’une combinaison de critères techniques et financiers. C’est ce que nous appelons la « stratégie de sourcing des tokens« . Pour illustrer cela, prenons de nouveau un exemple, celui d’une banque émettrice qui opère dans un pays où il existe un schéma de paiement national et qui utilise également un réseau de paiement international, par exemple Visa ou Mastercard ; cette banque émet des cartes dites « co-badgées », c’est-à-dire permettant d’utiliser le réseau de paiement domestique lorsque le client paie dans le pays concerné et le réseau de paiement international pour des paiements à l’étranger. Lorsqu’il s’agit de réaliser la digitalisation de cette carte pour proposer un service de paiement mobile, cette banque émettrice aura à définir une stratégie de tokenisation. Elle pourrait par exemple décider de reproduire la notion de « co-badging » dans le monde digital et dans ce cas, elle devra sourcer un token auprès du TSP proposé par le schéma national et un autre token auprès du TSP du réseau international.
Une nécessaire maîtrise par les utilisateurs de tokens
Une nouvelle génération d’offres est apparue permettant aux utilisateurs de tokens d’avoir un accès simplifié à toutes les fonctionnalités liées à la tokenisation :
– Préparation des données nécessaires aux demandes de tokenisation ;
– Sourcing des tokens auprès des TSPs du marché en fonction d’une stratégie pré-définie ;
– Dans certains cas, approvisionnement des tokens au sein des applications de paiement ;
– Gestion du cycle de vie des tokens afin de fluidifier et de fiabiliser les différentes actions de type perte ou vol, renouvellement, etc.
Il s’agit de plateforme de type TR, mutualisant les accès aux TSPs, et proposant via des interfaces de programmation (APIs) une intégration simple pour les émetteurs et marchands.