Le jeton inviolable sera la norme du commerce en ligne comme des applications ou encore du NFC dans 24 à 36 mois. Un pari facile à tenir tant l’idéal semble être atteint.
Si la tokenisation (ou tokenization) n’est pas une innovation en soi puisqu’elle est depuis longtemps utilisée pour l’anonymisation des bases de données par exemple, son application dans le paiement en ligne n’est apparue que récemment.
Et c’est en effet sous la conjonction de 2 facteurs que la tokenisation de paiement a réellement pu émerger. D’une part, depuis 2/3 ans, la compatibilité générale des navigateurs avec JavaScript qui a permis la transmission des numéros de carte au prestataire de services de paiement (PSP) sans passer par les serveurs marchands en utilisant AJAX.
D’autre part, l’aménagement de la norme 3.1 de PCI DSS qui autorise clairement le PSP à stocker temporairement les cartes avec son CVV2 avant autorisation de façon à lui laisser le temps de fournir au marchand un token temporaire, que ce dernier utilisera pour initier le paiement.
Ces technologies enfin abouties ont dès lors permis aux marchands de ne plus faire transiter les données de cartes bancaires au travers de leurs serveurs. Les conséquences de ce process ont alors impacté positivement et irrémédiablement l’expérience d’achat en ligne.
Le premier grand avantage de la formule, c’est évidemment que les données sensibles ne transitent plus et sont encore moins stockées sur les serveurs du marchand. Celui-ci ne dispose que du token, un jeton composé de chiffres aléatoires sans rapport avec les informations bancaires, destiné à ne servir qu’à l’achat pour lequel il est créé.
Cette configuration place de facto cette information en dehors du périmètre PCI DSS, le standard de sécurité des données pour l’industrie des cartes de paiement. Pour les marchands, c’est une solution idéale.
En effet, le programme PCI-DSS, visant à garantir le risque de compromission des données bancaires, se compose de 300 bonnes pratiques à mettre en œuvre et repose sur l’audit des équipements, des procédures, des technologies, jusqu’aux processus métiers de l’entreprise. Doublé d’une importante conduite du changement et nécessitant un sponsoring fort, le programme PCI-DSS est un mastodonte dont la plupart des marchands s’efforce de réduire le périmètre pour des raisons évidentes de coût et de temps à y consacrer.
Dans le cadre de la tokenisation, le PAN et la date d’expiration sont stockés dans une architecture de cryptographie, qui chiffre de façon forte les données en les stockant sous signature. Seule cette architecture de cryptographie est capable de mettre en relation le token avec les informations chiffrées, de le déchiffrer et de l’envoyer aux réseaux acquéreurs. De son côté, si le marchand a connaissance du token, il n’accède en aucune manière à l’architecture de déchiffrement. Le token est irréversible pour le marchand, qui peut alors choisir de s’affranchir des contraintes majeures du standard PCI-DSS.
Cette configuration inédite impose au seul token service provider, ayant délivré le token et conservé dans son coffre-fort numérique les données sensibles chiffrées, de se conformer au programme PCI-DSS Level 1. Il est l’unique responsable de la sécurité des données bancaires qu’il héberge. A raison de montants pouvant aller jusqu’à 90 euros d’amende par carte compromise en cas d’attaque réussie sur le SI, la redistribution des rôles et des responsabilités en matière de sécurité bancaire rend la tokenisation très séduisante aux yeux des marchands.
La possibilité offerte aux marchands de se recentrer enfin sur leur cœur de métier en laissant à d’autres le soin de leur mise en conformité PCI-DSS est en elle-même une amélioration majeure. Tant pour le e-commerçant que pour la clientèle, qui dispose d’un gage de confiance supplémentaire en confiant ses données sensibles à un établissement de paiement (le token service provider) dont la sécurité bancaire est le métier.
Mais surtout, au-delà de cette contrainte en moins, le marchand accède à une liberté qui lui était jusqu’ici refusée : le contrôle complet de l’acte de paiement. En effet, la disparition des pages de paiement externes profite à tous, sauf peut-être aux banques, qui y perdent en visibilité de marque. Pour les commerçants, c’est au contraire l’intégration des fonctions de paiement au cœur du tunnel d’achat, aux couleurs de la marque, dans une one-page check-out regroupant à la fois l’offre et le paiement.
La tokenisation devient le fil rouge capable de gérer sans discontinuer le paiement au cœur de la chaine web et mobile, mais aussi d’accompagner désormais sans contrainte la conversion sur mobile.. Les chiffres jusqu’ici témoignaient d’un abandon au stade du paiement sur les plateformes mobiles (60% des e-shoppeurs font leur choix sur mobile mais seulement 15% d’entre eux dépassent l’obstacle du paiement). Gageons que la tokenisation fera rapidement mentir les statistiques.
Cette gestion intégrée de la chaine de paiement, c’est précisément ce vers quoi tendait jusqu’ici le commerce en ligne et mobile. C’est précisément ce que permet la tokenisation, enfin. Stocké dans le portefeuille électronique, dans le smartphone, activé sur le site web, le jeton apporte une quantité de solutions de paiement dont le caractère essentiel réside dans le fait qu’elles sont parfaitement intégrées au processus d’achat.
La tokenisation devient synonyme de multiplication des points d’interaction (web, mobile, apps d’achat, NFC...), de solutions de paiement assez nombreuses pour satisfaire tous les usages et comportements d’achats (paiement one-click, paiements récurrents par abonnement, paiement par lien internet).
Si des systèmes comme 3Dsecure resteront encore nécessaires lors de la première authentification du client sur un site marchand (par le biais d’un code de validation par exemple), le token, d’abord temporaire à cette occasion, sera permanent dès la première autorisation de paiement réussie. C’est l’expression mathématique et technique de la reconnaissance de la fidélité du client par le marchand. Dans cette dynamique, on ne saurait être plus proche de son client quelle que soit la distance physique qui sépare les acteurs.
C’est dire si la tokenisation fait des émules. Des acteurs jusqu’ici peu au fait du métier de la monétique et de la sécurité financière cherchent également à tirer parti des avantages de la tokenisation. Constructeurs de devices mobiles, entreprises de social media, la déferlante token risque à terme d’opacifier un marché encore en devenir et de le rendre peu lisible.
Le marché des solutions de paiement est avant tout un marché d’experts, ayant passé avec succès l’ensemble des procédures de conformité financière et capable d’offrir un ou plusieurs services ouverts et interopérables. Sans l’expertise de ces établissements de paiement, les e-commerçants prennent le risque de se voir enfermer dans des écosystèmes au spectre restreint et ne leur convenant pas.
Un indice significatif de ce besoin d’expertise se trouve d’ailleurs dans l’absence d’offres disponibles en banque. Aujourd’hui encore, les banques n’ont ni la structure, ni le support ni le savoir-faire pour répondre efficacement aux e-commerçants.
Peut-on aller plus loin encore avec la tokenisation ? Pour l’heure, il est difficile de faire mieux pour le paiement en ligne sécurisé, même si l’on ne doute pas du génie de certaines startups, dont les efforts porteront notamment sur la sécurisation du device lui-même, au travers de la biométrie notamment.
Dans un avenir plus proche, les réseaux interbancaires, déjà bien conscients des opportunités du système, généraliseront la gestion des tokens, jusqu’à proposer aux porteurs de cartes une solution universelle de portefeuille électronique, de façon à ne jamais impliquer les parties dans l’échange du numéro de carte réel.
Il appartiendra au token service provider d’assurer sa fonction technique centrale afin de permettre l’effet de compensation de la transaction entre banque émetteur et banque acquéreur. Dans cet écosystème complexe, les experts du paiement électronique prendront alors de plus en plus d’importance.