LIVRE VERT «VERS UN MARCHE INTEGRE DES PAIEMENTS PAR CARTE, PAR INTERNET ET PAR TELEPHONE MOBILE» PUBLIE PAR LA COMMISSION EUROPEENNE - REPONSE OFFICIELLE DE LA FEDERATION FRANÇAISE DES TELECOMS 1
Le présent document constitue la contribution officielle de la Fédération Française des Télécoms (ci-après «Fédération») à la consultation publique, lancée par les services de la Commission européenne, suite à la publication le 11 janvier 2012 du Livre vert intitulé «Vers un marché intégré des paiements par carte, par internet et par téléphone mobile». La Fédération est une association professionnelle regroupant les principaux opérateurs de télécommunications fixes et mobiles, sur le marché français 1. Le Livre Vert pose les bases d un débat qui vise à soutenir le développement des services de paiement par carte, mobile et Internet dans l Union européenne (UE), en stimulant la concurrence, le choix et la transparence pour les consommateurs, l innovation, la sécurité et la confiance. Les membres de la Fédération tiennent à saluer l initiative de la Commission dans ce domaine et profitent ainsi de l occasion offerte pour présenter leurs visions sur le sujet, le résultat des travaux menés dans les Commissions permanentes de la Fédération à ce stade et les futures orientations souhaitées. Ils désirent en effet contribuer au développement des services de paiement par mobile et sur internet, en France et plus largement dans un cadre européen qui soit homogène (i.e. «level playing field»). Les membres de la Fédération, en leur qualité d acteurs européens, attendent de la Commission qu elle soutienne fortement le modèle industriel ouvert, neutre, interopérable et sécurisé, promu par les opérateurs en France mais aussi en Europe, modèle intrinsèquement porteur de valeur ajoutée, d innovation et d emplois européens, face à des modèles favorisant des écosystèmes fermés. La contribution de la Fédération prendra la forme de réponses à certaines questions posées dans le Livre vert mais aussi de remarques de portée plus générale sur des aspects majeurs touchant aux spécificités des activités d opérateurs de télécommunications. QUESTION 15 RELATIVE A LA TRANSPARENCE ET LA LISIBILITE DES FRAIS DE PAIEMENT Le besoin du consommateur est de connaître le prix final applicable à son achat. L ajout de frais intermédiaires semblerait plutôt nuire à la lisibilité tarifaire pour l utilisateur final. Il n apparaît en effet pas pertinent d informer le consommateur des différents frais qui peuvent composer le prix final. Ces frais sont fixés librement par le marchand final mais également par tout acteur intermédiaire dans la chaîne de valeur de n importe quel produit. Plus cette chaîne est longue, plus le nombre d intermédiaires successifs est élevé. Il peut, par exemple, s agir des opérateurs télécoms, mais aussi des agrégateurs de solutions de micro-paiement, de revendeurs de ces solutions, des éditeurs du service concerné. Or, la multiplication de ces intermédiaires et le fait que les frais peuvent varier d un acteur à l autre, notamment entre opérateurs mobiles, du fait du simple jeu de la concurrence et des politiques commerciales propres à chacun d entre eux, sont autant de facteurs de complexité pour connaître précisément et, partant, afficher le détail de tous les frais de paiement induits. QUESTION 16 RELATIVE AUX RELATIONS CLIENT / COMMERÇANT - RABAIS, MAJORATIONS ET AUTRES PRATIQUES D'ORIENTATION DU CHOIX DU CLIENT Il semble a priori préférable de laisser le plus de liberté possible aux acteurs du marché (marchands). Cela est particulièrement sensible sur les micro-paiements, dont la structure de coûts est plus pénalisante, et qui nécessitent, dans certains cas, des modèles économiques aménagés pour et par les marchands. Cette situation découle de la directive européenne dite «Services de paiement» (ou DSP) du 13 novembre 2007, qui a mis en place un cadre européen pour les paiements. L article 3.l) de ce texte instaure un cadre spécifique pour certains services de paiement des opérateurs, les excluant de la règlementation bancaire : 1 Pour de plus amples informations, merci de bien vouloir consulter : http://www.fftelecoms.org/content/lafederation 2
«A condition que l opérateur n agisse pas uniquement en qualité d intermédiaire, les opérations de paiement exécutées au moyen d un appareil de télécommunication, d un dispositif numérique ou informatique sont exclues, lorsque les biens ou les services achetés sont livrés et doivent être utilisés au moyen d un appareil de télécommunication, d un dispositif numérique ou informatique». La directive a noté, à juste titre, qu il s agit d un marché spécifique, et ce pour diverses raisons : La facturation fait indissociablement partie d un ensemble plus large de services, tels que la fourniture du service via le réseau de l opérateur, la fourniture d un premier niveau de hotline au client, le référencement de l éditeur sur le portail de l opérateur, l affectation d un numéro pour fournir le service, la communication des paramètres techniques, la possibilité d effectuer des relances commerciales du client. Il s agit de très faibles montants (principalement de moins de 10 ) pour lesquels les coûts de collecte et d encaissement restent donc proportionnellement nettement plus importants. Il s agit également d un mode de facturation particulier, sur la facture de l opérateur ou en déduction du crédit prépayé, supportant des coûts de distribution et de recouvrement plus élevés. Ces micro-paiements ou m-paiement, dont la structure de coûts est plus pénalisante, nécessitent donc des modèles économiques aménagés et ne peuvent être intégrés dans un cadre réglementaire identique aux paiements de plus forte valeur, traités par les établissements de crédit et les prestataires de services de paiement. C est d ailleurs la raison de l exclusion de ces services du champ d application de la DSP. La Fédération n estime par conséquent pas nécessaire l adoption de nouvelles mesures concernant la facturation du micro-paiement ou m-paiement en Europe. QUESTIONS 20-24 RELATIVES A LA NORMALISATION DES SERVICES DE PAIEMENT ET A L INTEROPERABILITE DES SERVICES MOBILES La Fédération appelle de ses vœux une élaboration de normes harmonisées et une mise en œuvre rapide de ces normes à travers les 27 Etats-membres de l Union européenne pour permettre un développement harmonieux des moyens de paiement mobile. Ce travail de normalisation doit être mené au niveau de l ensemble du marché européen afin de limiter au maximum le risque de fragmentation des services de paiement mobile et de pouvoir ainsi faire jouer à plein les effets d échelle attendus par le déploiement de services innovants sur le territoire de l UE. Une telle démarche pourrait idéalement s appuyer sur les travaux déjà menés en France par l Association Française du Sans Contact Mobile (AFSCM) et qui ont pleinement vocation à être transposables dans d autres pays de l Union européenne. Les membres de cette association (opérateurs mobiles, émetteurs d application, encarteurs, développeurs de solutions) ont élaboré tout un ensemble de spécifications techniques et fonctionnelles communes ainsi qu un processus complet de validation des équipements, à destination de l ensemble des parties prenantes industrielles mais aussi locales. L objectif de cette initiative pionnière, qui s appuie sur une coopération technique volontaire, est de permettre un déploiement harmonieux de la technologie NFC, par le biais de terminaux, de lecteurs et d applications compatibles les uns avec les autres, notamment pour ce qui concerne les moyens de paiement. Ils ont également créé un label de reconnaissance des services et des lieux d usage («Cityzi»), facilement reconnaissable par les clients des opérateurs mobiles partenaires au processus pour promouvoir, voire accélérer, la généralisation de l usage des services mobiles sans contact. La généralisation de ces services innovants et notamment du paiement mobile sans contact passe par un élargissement des démarches de normalisation à l échelon européen pour faire émerger, à terme, un réel marché unique du sans contact mobile. Les deux objectifs premiers de cette normalisation européenne souhaitée par la Fédération sont : 1. garantir l interopérabilité entre tous les opérateurs mobiles et 2. assurer la portabilité des services d un opérateur à un autre. 3
Ce sont en effet deux conditions sine qua non pour pouvoir atteindre une «masse critique» qui permette un décollage de ces types de services partout en Europe et d ainsi pouvoir bénéficier de l effet de levier d un marché de plus de 500 millions de clients potentiels. L interopérabilité a en effet permis, comme le rappelle justement le Livre vert lui-même, de déployer les services mobiles à grande échelle et de réaliser l obligation de portabilité, garantes des succès européens du GSM et des SMS. Il semble pertinent de mettre ici en exergue la captivité de certains utilisateurs de smartphones vis-à-vis de leur système d exploitation. Du fait de l absence d interopérabilité entre les formats des applications ou fichiers, notamment ceux téléchargés sur les magasins d applications, avec les autres systèmes d exploitation, le changement de terminal utilisant un autre système d exploitation implique des coûts de sortie très importants pour le consommateur, en particulier liés à la perte des applications et des fichiers achetés. Celui-ci devient ainsi captif de son système d exploitation. La menace qui risque de se concrétiser est bien alors que les modèles fermés deviennent le standard du marché, avec un effet de verrouillage des éditeurs, des opérateurs mobiles et des consommateurs. Dans ce contexte, la Fédération tient à relever que la GSMA et d autres instances réunissant divers acteurs de la chaîne de valeur (GlobalPlatform, notamment) ont déjà entamé des travaux en la matière, en s inspirant directement de ceux menés en coopération par l AFSCM et par la Fédération. Plus globalement, la Fédération préconise que l Union européenne impose la neutralité technologique pour toutes les plates-formes de services de paiement mobile, que ce soit pour des paiements de proximité ou pour des paiements de contenus numériques en ligne, tels que des applications, par exemple. QUESTIONS 25-27 RELATIVES A LA SECURISATION DES TRANSACTIONS MOBILES La Fédération mène, depuis plusieurs années, des travaux sur la sécurisation des transactions mobiles à travers la sécurité de la carte SIM. Les membres de la Fédération soutiennent le modèle dit «SIM-based» dans lequel les applications utilisent la carte SIM comme élément de sécurité. Le modèle SIM-based de services mobiles utilisant la technologie NFC offre de nombreuses garanties de sécurité pour leurs clients, telles que : la possibilité de sécuriser les transactions de montants élevés avec l utilisation du code PIN, le recours à des techniques d authentification forte pour protéger les portefeuilles numériques par le biais de signatures électroniques, la possibilité pour les opérateurs d activer ou de désactiver les services à distance, à travers leurs réseaux radio («over-the-air»), en cas de perte ou de vol, mais aussi de réinstaller les diverses applications sur la carte SIM, une fois un nouveau mobile récupéré. Dans le prolongement de ce modèle, les opérateurs mobiles membres de la Fédération travaillent actuellement, en leur qualité d acteurs moteurs de la «confiance numérique», pour réaliser l ouverture de la carte SIM, dont ils sont propriétaires, à des tiers, afin de développer des services de paiement mobile innovants, offrant un niveau de sécurité au moins équivalent à celui que les Européens connaissent via les cartes à puce. Ils ont principalement concentré leurs efforts sur la sécurisation de la SIM, à travers un modèle dit «Profil de protection» 2, spécialement adapté aux services mobiles sans contact sécurisés. Le niveau de sécurité proposé par le modèle SIM-based capitalise directement sur les garanties sécurité inhérentes aux cartes à puces, à savoir un appairage entre un logiciel et un composant physique. Ces garanties sont bien supérieures à celles des systèmes reposant sur une identification par «identifiant + mot de passe» ou des systèmes s alignant sur le niveau de sécurité de la carte à piste magnétique. Les opérateurs membres de la Fédération ont capitalisé sur ce niveau de sécurité pour répondre aux exigences de la Banque de France via une démarche d excellence, inédite, visant à garantir aux établissements bancaires et à leurs clients un niveau de sécurité équivalant à celui des cartes bancaires, grâce au Profil de protection élaboré au sein de la Fédération et certifié par l organe en charge au niveau français (ANSSI). 2 http://www.fftelecoms.org/articles/presentation-du-profil-de-protection-de-la-carte-sim / 4
Les avantages de ce modèle sécurité sont multiples et ont été validés par les acteurs bancaires au sein de l Association Européenne Payez Mobile (AEPM) : Il s appuie sur les fondamentaux GlobalPlatform, critères de sécurité éprouvés au niveau mondial. Il rend possible la certification de cartes SIM au niveau minimal autorisant le paiement, à savoir le niveau EAL4+, niveau d'assurance reconnu par la Banque de France. Il met en place un modèle de sécurité neutre, ouvert et interopérable, contrairement aux modèles propriétaires, car reposant sur les exigences «Critères Communs». Il permet d héberger des applications avec des niveaux de sécurité hétérogènes, dont tout type d application sensible tel que le paiement naturellement, sur un même support SIM, de manière étanche et sécurisée, au sein de «security domains». Ce modèle a été repris par l association mondiale regroupant les opérateurs mobiles (GSMA) et le Conseil européen des paiements (EPC) dans le cadre de leurs travaux communs et a été validé par les principaux encarteurs du marché puisque ces derniers proposent des cartes SIM certifiées EAL4+ à leurs catalogues. Par ailleurs, soucieux de poursuivre la sécurisation des transactions mobiles, les membres de la Fédération préconisent de rendre les numéros de série des terminaux mobiles (N IMEI) obligatoires et infalsifiables car ceux-ci deviendront, à terme, des terminaux de paiement. La volonté de durcissement des IMEI vise à faire en sorte que le niveau de sécurité et les garanties d intégrité des terminaux mobiles se rapprochent de ceux atteints par les terminaux de paiement, i.e. les TPE des commerçants, selon un effet miroir. Il ne peut en effet y avoir de gestion satisfaisante du niveau de sécurité des terminaux mobiles pour tout ce qui concerne la présentation et la saisie des codes d identification (i.e. «pin codes») sans garantir, dans le même temps, une traçabilité desdits terminaux, notamment pour assurer la prise en charge des éventuelles anomalies détectées et la réalisation de campagnes de déploiement de contre-mesures. QUESTION 28 RELATIVE A LA PROTECTION DES DONNEES PERSONNELLES Les membres de la Fédération sont également partisans du modèle «SIM-based» car celui-ci est garant d un niveau de protection de données personnelles très élevé. Ce modèle présente plusieurs avantages pour l activité sensible que représente le paiement mobile dans ce domaine. Il s appuie avant tout sur un encapsulage des données personnelles et des transactions réalisées, conforme au cadre réglementaire récemment redéfini et durci à travers le Paquet Télécom, dont la transposition en droit français est en cours d achèvement. Il est à noter par ailleurs que le modèle développé par les opérateurs mobiles permet parallèlement de mieux maîtriser les infrastructures de paiement qui sont, par définition, sensibles. QUESTION 32 : PROMOTION D UN MODELE NEUTRE, OUVERT ET INTEROPERABLE, AU SERVICE D UNE INDUSTRIE EUROPEENNE FORTE ET AU BENEFICE DES CONSOMMATEURS EUROPEENS La Fédération profite de cette consultation pour rappeler les messages-clés qu elle porte au niveau national mais qui sont également tout à fait pertinents à l échelle européenne, à la base de la promotion de services aussi pratiques que proches, sécurisés et universels. Les opérateurs mobiles investissent massivement à travers le développement harmonieux de cartes SIM, de terminaux et d applications interopérables pour déployer des services mobiles sans contact innovants, au bénéfice de leurs clients. Cet effort d investissement devrait idéalement pouvoir s intégrer dans une stratégie industrielle globale, ayant pour objectif primordial de faire jouer à plein l effet de levier de cette innovation sur l ensemble de l écosystème numérique du marché unique européen. La promotion des atouts de la filière industrielle européenne doit permettre de profiter des relais de croissance et surtout de la valeur ajoutée créée par les acteurs européens, sous peine que cette dernière ne bénéficie finalement à d autres acteurs. Une telle démarche de valorisation des réussites actuelles ne pourra se concrétiser qu à partir d un discours européen commun qui viendra en soutien au développement de la filière et des acteurs innovants impliqués. 5
En ce qui concerne plus précisément le paiement, la Fédération s attachera fondamentalement à privilégier les modèles s appuyant directement sur «l ADN» des opérateurs et leurs succès précédents, à savoir des systèmes neutres, ouverts et interopérables. Elle poussera à l échelon européen les modèles souples et sécurisés, qui pourraient idéalement capitaliser sur les briques que ses membres ont déjà développées tout au long de la chaîne de valeur (Profil de protection de la carte SIM, spécifications et label Cityzi, portabilité effective, ). 6