L'identité au cœur de la transformation du secteur des paiements

Si la question de l'identité, de sa gestion à sa protection, est omniprésente, il est aussi temps de regarder son utilité pour d'autres secteurs d'activité, et notamment dans la finance !

Depuis que la réglementation sur l'identification électronique a été promulguée au sein de l'Union Européenne avec la loi DSP2, divers cas d'utilisation ont été détaillés et explorés par les entreprises ainsi que par les consommateurs finaux. L'un d'entre eux est la vérification de l'identité virtuelle pour les paiements, qui comprend le contrôle de l'accès aux données bancaires et financières personnelles (par le biais d'applications bancaires mobiles), l'approbation des paiements, l'ajout de nouveaux bénéficiaires pour les transferts d'argent, etc. Bien qu'elle semble tout à fait intégrée dans la vie quotidienne de chacun, ses avantages doivent encore être explorés, tout comme les défis qui subsistent.

L’idée aujourd’hui est d’explorer la question du contrôle de l'identité par le biais des technologies comme l'une des clés de la transformation de l'industrie des paiements. Mais cela a-t-il de véritables bénéfices ou n’est qu’une énième couche source de frictions pour les utilisateurs finaux comme pour les professionnels ?

Une évolution qui permet de relever les principaux défis en matière de sécurité

En 2023, les fraudes aux moyens de paiement ont augmenté de 16,9 % représentant un coût total de 628 millions d’euros en France(1). Si la montée se poursuit, elle est tout de même plus disciplinée qu’avant l’entrée en vigueur des mécanismes d’authentification forte, qui mettaient encore davantage en danger les porteurs de carte faisant des achats notamment en ligne. Toutefois, la question de l’éradication de cette menace continue à se poser. Pour cela, l’Union Européenne a fait évoluer le cadre légal pour pousser le curseur au maximum, en forçant l’adoption par tous de la vérification par identité numérique (eID) ainsi que l’entrée, mais aussi en plébiscitant les produits sans carte, comme le paiement mobile, via des portefeuilles numériques, ou en direct, de compte à compte pour éviter les intermédiaires et donc les attaques pouvant survenir sur la supply-chain.

Des efforts qui ne neutralisent pas tous les risques, et encore moins la montée du phishing, avec des campagnes d’arnaques “au faux conseiller” par téléphone et messages texte ou encore des campagnes de phishing e-mail reproduisant les campagnes de mailing officiels des banques (à l’instar de celle visant le Crédit Agricole en France depuis 2023) et incitant à changer de mot de passe pour accéder à son compte en ligne. Autant de menaces ayant in fine différents objectifs : récupération de données pour des piratages de comptes bancaires ou de la revente d’identifiants, ou pire, le piratage des applications bancaires pouvant permettre aux cyber attaquants de tisser leur toile et faire davantage de victimes.

Pour répondre à ces enjeux, et bien d’autres, la loi DORA s’est aussi imposée en 2023 en devenant un référentiel à suivre des bonnes pratiques en matière de protection des données et de barrière contre les attaques, notamment par le biais de l’encryption des données au complet ainsi que l’obligation de se doter d’une politique de cyber-résilience pour prévenir tous les risques. 

Mais elle pourrait faire plus (et vise plus)

Si le cadre légal évolue pour protéger au mieux les données des banques, prestataires de paiement ainsi que des consommateurs au sens large, le bas blesse en revanche sur la question de l’expérience utilisateur puisque cela vient ajouter différentes surcouches, créant de la friction. Ou cauchemar des commerçants et prestataires de services pour qui la réduction de celle-ci est depuis toujours un combat sans fin.

En effet, qui apprécie de devoir passer par 4 étapes différentes dans le but de procéder à une commande ? L’amélioration de l’expérience utilisateur est au cœur de la réflexion sur la gestion de l’identification - que ce soit pour la connexion à son compte sur n’importe quel site, ou pour la validation d’un paiement. Pour cela, l’identité biométrique est une piste de réflexion intéressante car elle accélère les processus mais demeure très répétitive - une identification pour l’accès à une application mobile bancaire demande un code, la moindre action en exige un autre… et pour certaines étapes, comme ajouter un bénéficiaire pour un virement, l’identification peut monter à trois niveaux. Et l’on parle ici de mouvements simples… et non de formes de transactions nouvelles comme le BNPL, aujourd’hui non soumis à l’e-ID et qui pourraient toutefois en bénéficier.

Si le fait d’alléger certains process est en question, il est toutefois intéressant de regarder aussi les cas où l’e-ID n’est pas ou peu appliquée pour l’heure - il est par exemple presque impossible d’accéder à des documents sensibles dans un coffre-fort numérique sur son mobile, le biais web via PC étant préféré pour des raisons de sécurité. Mais à l’heure où 77 % des utilisateurs en France sont dotés d’un smartphone, l’accès et la consultation de documents dans des espaces sécurisés devraient être possibles, à l’instar des espaces numériques partagés multi-devices pour les entreprises.

Le principal frein : la fragmentation de la numérisation

Le fait qu’1 Français sur 5 ne soit pas encore aujourd’hui équipé d’un smartphone est certainement le premier point à avoir en tête lorsqu’il s’agit de fracture du numérique. Mais pour aller plus loin, il est intéressant de regarder les usages qui sont aujourd’hui ceux du smartphone. 57 % des Français(2) en 2023 faisaient leurs achats depuis leur mobile, pour un montant estimé de 61 milliards d’euros l’an passé, représentant 48 % du volume du e-commerce. La culture du mobile progresse en moyenne de 5 % chaque année toutefois près de la moitié de la population en garde une utilisation plus informative que de consommation - beaucoup de consommateurs vont par exemple chercher des références via le navigateur de leur mobile mais reporteront l’acte d’achat sur leur ordinateur ou même en magasin (la fameuse tendance du phygital).

Parmi les freins, la question des craintes de piratage et de fraude est toujours première, avant les considérations humaines ou l’appréciation d’expériences physiques. Pour répondre à ces enjeux de sécurité, la pédagogie sur le fonctionnement de ces technologies et leur plébiscite est absolument indispensable, de sorte que l’e-ID se développe au-delà des connexions routinières pour devenir un véritable biais d’approbation plus poussé.

Si les régulateurs et les entreprises sont tous deux très actifs sur la manière de tirer parti des capacités de l'identité numérique - le besoin d'éducation demeure et même ne se limite pas à la société, car toutes les possibilités n'ont pas encore été explorées. Le prochain DSP3 pourrait être l'occasion d'aller plus loin, ainsi que de nouvelles formes d'applications de paiement, y compris les portefeuilles, sur lesquels l'Europe semble assez avancée avec le lancement prochain cette année du portefeuille Wero où l'identité numérique est l'une des clés qui a été choisie pour permettre à une nouvelle expérience de paiement d'exister.

(1) Rapport Banque de France, janvier 2024

(2) Etude We Are Social, Janvier 2024