Houssem Assadi (Market Pay) : “La certification MPoC marque l’entrée dans une phase de généralisation du SoftPOS”

Dejamobile a obtenu la certification PCI MPoC Software Vendor en septembre 2024. Qu’est-ce que cette étape représente dans votre stratégie autour du SoftPOS ? 

Désormais, pour pouvoir déployer une solution SoftPOS commercialement, il est impératif d’utiliser une solution certifiée. Après une période de presque quatre ans, au cours de laquelle Mastercard et Visa ont mené des programmes pilotes, nous entrons dans une phase de généralisation basée sur la certification MPoC [Mobile Payments on Commercial off-the-shelf, Ndlr]. Sous l’égide de PCI, cette certification comprend deux niveaux principaux : software vendor et solutions provider. En tant qu’éditeur de briques technologiques permettant aux fournisseurs de services aux marchands de concevoir leurs solutions, nous avons obtenu la certification dans la catégorie software vendor. La catégorie solutions provider, pour sa part, concerne les prestataires qui souhaitent proposer une solution complète et prête à être commercialisée.

Que proposez-vous à ces fournisseurs de services aux marchands ?

Nous leur proposons un SDK [un kit de développement logiciel, Ndlr] dit isolé. À l’inverse, d’autres SDK certifiés sont non isolés [en l’occurrence, 7 SDK sur 25, selon le registre de PCI, Ndlr]. Cette distinction est importante pour le client, car elle réduit considérablement, voire élimine, la nécessité de certifier sa propre solution. Le SDK isolé garantit que les données de paiement sensibles et les processus critiques sont isolés du reste de l’application utilisée par le marchand. Cette architecture limite les vulnérabilités potentielles et réduit la charge de certification, habituellement longue et complexe, qui nécessite notamment l’intervention d’un laboratoire de sécurité.

Outre le SDK, vous proposez aussi une application SoftPOS en marque blanche. Est-elle certifiée ?

Permettez-moi d’abord de rappeler le double positionnement de Market Pay. Nous proposons nos solutions soit directement aux marchands [avec l’application PayWish, Ndlr], soit en marque blanche aux institutions financières, telles que les acquéreurs ou les PSP, qui construisent ensuite leurs propres offres.

Cette application en marque blanche permet aux fournisseurs de services de déployer rapidement une solution à leurs couleurs. Elle ne dispose pas, à ce stade, de la certification MPoC, dans la catégorie solutions provider, et reste couverte par les programmes pilotes des schemes [que Dejamobile a rejoint en mars 2021, Ndlr]. D’ici quelques mois, nous obtiendrons la certification et nous basculerons alors complètement dans l’univers MPoC. Cela étant, la majorité des projets en cours concernent le SDK, car les clients souhaitent s’appuyer sur leurs propres applications. Certains d’entre eux, qui ont démarré il y a deux ou trois ans avec l’application en marque blanche car ils voulaient aller vite et tester d’abord le marché, sont même en train de passer au SDK. 

Combien de clients comptez-vous sur ce segment ?

Environ une vingtaine, à différents stades de développement. Il y a des acquéreurs et des banques traditionnelles, comme le néerlandais Rabobank qui a enrichi en 2024 son application pour les marchands Rabo SmartPin, historiquement basée sur le POS et le mPOS, en intégrant notre solution SoftPOS en marque blanche (ReadyToTap Payment for Merchants). Nous servons également des PSP connectés à des acquéreurs ou à des processeurs, comme Monext en France, qui a par exemple pour client La Banque Postale, ainsi que des gateways. Enfin, la troisième typologie de clients concerne des fintech qui se lancent dans l’acquisition, à l’image de Trust Payments au Royaume-Uni qui dispose d’un agrément d’acquéreur [depuis 2013, Ndlr]. Les projets se situent principalement en Europe (France, Belgique, Pays-Bas, Espagne, Italie, Royaume-Uni, Slovénie, pays baltes, etc.), mais aussi en Amérique latine. 

Quels sont les principaux cas d’usage que vous observez ?

Les cas d’usage que nous avions anticipés dès 2020 se concrétisent. On observe une adoption massive dans la restauration, avec les bornes de commande, ainsi que dans la vente en mobilité, comme chez La Poste, où les facteurs peuvent désormais encaisser les droits et taxes pour les colis directement via une solution SoftPOS. 

Est-ce que votre solution fonctionne en mode hors ligne ?

Pas encore. La certification MPoC autorise désormais cette fonctionnalité, et nous étudions son intégration dans une prochaine version. Toutefois, ce besoin reste limité, car la majorité des cas d’usage concernent des environnements connectés, comme les magasins ou la livraison. En revanche, pour des secteurs comme les transports publics ou les distributeurs automatiques, le mode hors ligne peut être pertinent. Aujourd’hui, nous proposons des terminaux PAX pour ces besoins spécifiques.

À votre niveau, quelles sont les implications de l’ouverture de la puce NFC de l’iPhone aux applications tierces ?

Apple a ouvert Tap to Pay sur iPhone à des tiers comme nous. Rabobank, par exemple, a développé sa propre solution SoftPOS sur iPhone sans dépendre d’Apple Wallet. Cependant, cela nécessite un accord commercial avec Apple, qui implique des frais côté acquisition. À l’inverse, côté émission de paiements, sous la pression de la Commission européenne, il est désormais possible de développer un portefeuille numérique sans frais imposés par Apple.

Quelles sont les prochaines échéances liées à la certification MPoC ?

Nous avons obtenu la certification MPoC en septembre 2024. Elle devra être revalidée complètement en septembre 2027, avec des contrôles annuels dans l’intervalle, le prochain étant prévu en septembre 2025. Par ailleurs, une nouvelle version du standard MPoC est déjà sortie [1.1 en novembre 2024, deux ans après la version 1.0, Ndlr]. Nous devons donc suivre l’évolution de la norme et étudier si nous adaptons nos solutions en conséquence pour intégrer de nouvelles fonctionnalités bénéfiques pour nos clients.