Square en Europe : quel device et quel business model pour une zone EMV ?

Le paysage des nouveaux services de paiement électroniques connait une certaine effervescence marqué par le lancement de nombreux nouveaux services (en France : Kwixo, S-monet, Buyster, Skimm, Flashiz,….) et surtout par la percée effectuée par Square aux USA dans le « blind spot » des paiements par carte bancaire des petits marchands ou marchands ponctuels qui a inspiré de nombreux autres acteurs (Mpowa au UK, i-Zettle en Suède, Payleven en Allemagne, Payplug en France, Syspay,…).

Cet article fait suite à trois précédents :

Le présent article revient sur les deux points les plus polémiques  à savoir :

  • La possibilité de transposer le modèle de Square « Swipe & Sign » (lecture de la piste magnétique et signature comme usité aux USA) dans une zone « Chip & Pin » (lecture de la puce et saisie d’un code comme généralisé en Europe) dite « EMV » (Europay Mastercard Visa)
  • La rentabilité du business model en regard du faible volume de transaction par marchand et du coût de déploiement des devices.

Ces deux points sont liés en Europe car le modèle « Chip & Pin » renchérit profondément le coût du device par rapport à un modèle « Swipe & Sign ». Le coût de la fraude est en contrepartie considérablement réduit avec un device  « Chip & Pin » et permet de présenter des taux de commission beaucoup plus faibles mais la capacité de déploiement en est d’autant restreinte.

Visa a confirmé sa volonté de généralisation du modèle « Chip & Pin » en Europe et de sa politique active d’extinction des modes de paiement non EMV. i-Zettle qui exploitait un modèle non standard « Chip & Sign » a ainsi vu sa dérogation (« waiver ») être dénoncée par Visa. Des dispositifs « Swipe & Sign » continueront d’exister, par exemple pour l’acceptation des cartes étrangères mais ils seront prohibés pour les cartes nationales.

Plusieurs nouveaux devices « Chip & Pin » à bas coûts arrivent néanmoins sur le marché à la fin 2012 qui permettront d’opérer un service à la Square en conformité à la norme EMV. Il s’agit de devices très simplifiés réduit à un seul écran de saisie du code PIN et dont les fonctions de préparation et gestion de la transaction  sont déportées vers un smartphone ou une tablette qui fait aussi office de support de communication.

Le fournisseur de matériel Thyron présente par exemple une solution  de device « Chip & pin » avec communication bluetooth et intégration prévue iPhone et iPad. Il est déja certifié SRED et PCI PED  (Pin Entry Device) et PCI PTS (Pin Transaction Security) devrait suivre. Il présenté commercialement par la solution Square-like Syspay.

La question se posait de la capacité de tels devices à se conformer à la norme PCI-PTS notamment du fait de la présence d’un smartphone considéré comme un élément dont la sécurité peut être facilement compromise.

Même si aucun device n’est encore sorti du processus de certification et déployé commercialement à ma connaissance à ce jour (le device de mPowa déjà commercialement annoncé ne semble pas encore disponible pour le moment), aucun élément n’apparaît bloquant :

  • Les composants de telles solutions existent déjà en production (terminaux de paiement asservis par exemple à une caisse, liaison sans fil bluetooth entre composants du système de paiement, utilisation d’un device communicant comme passerelle de communication,…). Le projet ADS+ a d’ailleurs donné lieu à un pilote de terminal de paiement léger à bas coût en architecture de service distribué (dans une configuration traditionnelle et pas centrée sur un smartphone).
  • PCI (Program Card Industries), l’organisme de normalisation technique des opérateurs carte a publié récemment ses préconisations sur les règles de sécurité applicables aux paiements mobiles qui « normalisent » l’utilisation des smartphones (pour une analyse plus détaillée voir le billet « Un cadre officiel pour la sécurité de Square et cie » sur le blog « C’est pas mon idée ! »).
  • La saisie du code PIN directement sur le smartphone ou la tablette du commerçant reste prohibée. Le fond du problème n’est pas réellement technique. Il est possible d’isoler l’exécution de l’application de paiement sur le smartphone. Mais cette fonctionnalité de virtualisation ne sera pas native dans les systèmes d’exploitation mobile avant 2-3 ans et donc difficilement certifiable en terme de sécurité d’ici là. Le problème est encore plus ardu coté client car le comportement de saisie d’un code sur un device smartphone va à l’encontre des usages préconisés et adoptés par les utilisateurs. Et même une fois cet obstacle culturel franchit, il faut que le client puisse distinguer une « vraie » application de paiement d’une « fausse » application de paiement cherchant à récupérer frauduleusement des informations. Ce qui implique de développer des éléments de certification ou de contrôle par le client (par exemple que le smartphone du client puisse identifier et contrôler le smartphone du commerçant – autant dire des scénarios de science-fiction aujourd’hui -).

Sur la question du business model, il faut se rappeler que les modèles « Square like »  ne se positionnent pas dans le même business model que le paiement traditionnel par carte.

Le modèle du paiement traditionnel par carte est un modèle d’intermédiation « 4 coins » basés sur des commissions proportionnelles aux montants payéx (comparativement moins chères en France que dans les autres pays mais toujours trop élevées au goût des commerçants) qui rémunèrent la banque émettrice de la carte pour le compte du client (qui touche généralement la plus importante part de la commission) et la banque acquisitrice de la transaction carte pour le compte du commerçant. L’équation économique du secteur repose sur un système déployé de manière extensive et très industrialisé avec des coûts essentiellement fixes et des revenus proportionnels au volume des opérations encore en croissance constance mais avec une tendance très nette à la baisse des taux de commission notamment du fait du régulateur.

Les nouveaux modèles de paiement considèrent le paiement traditionnel par carte comme une « commodité » destinée à leur permettre d’atteindre d’autres sources de revenus à plus fort potentiel :

  • Un service marketing d’acquisition, de fidélisation ou d’up-sell des clients (lié au paiement) qui représente une part des dépenses  bien supérieur au simple paiement pour les commerçants.
  • Un service de paiement électronique direct entre client et commerçant non intermédié  en modèle dit « 3 coins » (les services gère la transaction en direct entre le client et le commerçant) qui permet de toucher l’intégralité de la commission de l’opération de paiement tout en ne supportant que des coûts très faibles (l’intégralité de la transaction est électronique et s’affranchit des coûts de diffusion des cartes et des terminaux de paiement)

Paypal représente le prototype d’un service « 3 coins » et illustre bien les limites du modèles :

  • Il faut acquérir à la fois les clients et les commerçants et cela requiert un effort marketing important auprès des clients et de l’écosystème des commerçants au-delà de son segment d’origine (les transactions sur eBay) ou il bénéficiait d’un facteur de différenciation fort.
  • Kwixo (le service de paiement mobile du Crédit Agricole) a montré la difficulté d’acquérir des clients « ex nihilo » sur un service de paiement électronique même avec un effort marketing important (publicité télévisée) car, contrairement aux pays africains non bancarisés, les scénarios d’usage et d’adoption ne sont pas très différenciateurs (et le régulateur n’œuvre pas à les faciliter).
  • Les clients sont généralement acquis via un mode de paiement carte bancaire et il faut les transformer  en mode de paiement directement sur leur compte bancaire afin de pouvoir s’abstraire des coûts des paiements cartes sinon on se retrouve en superposition d’un modèle 4 coins avec des coûts superposés et donc un niveau de prix supérieur. Paypal a commencé cet effort depuis plus de 10 ans et à ce jour à ma connaissance ils n’ont pas encore atteint la transformation de la moitié de leur parc client.

Originellement Square est un service de paiement par carte bancaire (Square Reader) qui cible les petits marchands ou les marchands ponctuels qui ne sont pas éligibles aux offres bancaires.  Deux autres offres sont venues compléter ce service de base :

  • Square Register : une offre de gestion de caisse et de marketing client
  • Square Wallet : un service de paiement électronique couplé au marketing client Register (déjà renommé 2 fois : Square Card Case et Pay With Square)

Les 3 services sont indépendants mais ils sont couplés dans un modèle d’adoption très efficace comme présenté dans un billet précédent.

Le Reader constitue la brique d’acquisition client initiale qui permet de déployer le service auprès d’un grand nombre de commerçants et d’acquérir à travers eux un grand nombre de clients et une surface de transaction importante. Cette étape a été incontestablement réussie par Square qui a déployé plus de 1 millions de devices auprès de nouveaux « commerçants » et généré 8 Md$ de transaction en base annualisée.

Certains ont fait la remarque que les commerçants étaient mieux couverts par des offres bancaires en France, mais les chiffres infirment cette affirmation :

Ces nouveaux « commerçants » ne sont néanmoins en moyenne pas très actif comme l’a montré netbanker (1 transaction tous les 5-6 jours avec un montant de 65-70$ en moyenne).

Ces chiffres masquent à mon avis deux populations différentes :

  • Des commerçants ponctuels ou des clients particuliers qui ont voulu se doter de la capacité à recevoir un  paiement carte qui ne vont jamais faire de transaction ou un très faible volume.
  • Des « vrais » commerçants avec des volumes de transactions réguliers qui auraient été éligibles à des offres bancaires mais qui ont opté pour l’offre de Square, voire ont substitué l’offre de Square à une offre bancaire pour différentes raisons (rapidité et facilité de mise en place, réduction des coûts de matériels, visibilité média, fonctionnalités additionnelles intégrées de marketing,…).

Contrairement à ce qui a pu être dit, Square pratique une politique de commissionnement compétitive par rapport aux offres bancaires, pour preuve l’introduction de l’offre de commission fixe mensuelle. Si l’on comparait l’offre Square US et les meilleures conditions bancaires d’un commerçant standard en France (ce qui n’a pas beaucoup de sens), l’offre de Square reste compétitive comme le montre le schéma suivant :

La trajectoire de Square est, au-delà du Reader, d’acquérir des commerçants traditionnels (pas forcement petits) sur le Register afin de justifier une commission premium assise sur le bénéfice du marketing intégré à la transaction de paiement.

De l’autre coté du paysage, chez les grands commerçants, Square avance une proposition de valeur basée sur Square Wallet dont le déploiement auprès des clients est favorisé par la masse des petits commerçants. C’est le sens du partenariat avec Starbuck qui, bien que très avancé dans sa propre offre de carte prépayée sur mobile, a choisi d’intégrer Square Wallet. Ce 2 étage de la fusée est en bonne voie puisque 75.000 commerçants acceptent Square Wallet avec Square Register et qu’ils vont donc être rejoint par les 7.000 magasins Starbuck aux US.

Aucun chiffre n’a été révélé sur le déploiement de Square Wallet mais il bénéficie de la mécanique d’adoption de toutes les transactions réalisées avec le Square Reader comme décrite dans mon précèdent article.

Qu’est-ce qui diffère alors dans ce schéma l’Europe des USA ?

  • Aux USA, les deux segments (« pseudo » et « vrais » commerçants) utilisent le même device (Reader) pour leurs transactions respectives avec des conditions adaptées à chacun (2,75% ou 275$/mois). Le coût du device (« Swipe & Sign ») est très bas (entre 3$ et 5$) et il peut être facilement diffusé.

  • En Europe, le segment des « vrais » commerçants nécessitera un device « Chip & Pin » pour être autorisé et aussi pour bénéficier de conditions d’acquisition des transactions compétitives (les transactions « Swipe & Sign » des cartes étrangères présentent des taux de commissionnement beaucoup plus défavorables  -de l’ordre de 2% contre 0,5% pour le tarif compétitif  « Chip & Pin »- du fait d’un taux de fraude supérieur). Le coût de ce device « Chip & Pin » serait de l’ordre de 50$. Un tel niveau de coût ne permet pas, dans des conditions économiques satisfaisantes, de déployer aussi massivement qu’aux USA des devices pour créer une dynamique d’adoption forte.
  • En Europe, dans le segment des « pseudo » commerçants, à l’inverse, le déploiement de device « Chip & Pin » apparaît comme inutile pour aucune ou un faible volume de transaction. En fait dans ce segment, on « achète » du déploiement. Le  type et le coût de la transaction n’est pas important, ce qui est important c’est le coût du device. A la limite, le device serait factice et la transaction serait effectuée entièrement par un service de paiement en ligne de type Kwixo, le résultat serait le même.

Un tel schéma milite  donc pour un déploiement dual d’un service de type Square en France et en Europe :

  • Un segment de « pseudo » commerçants adressé par un device de faible coût à grande diffusion de type lecture de puce pour identification et acquisition puis une transaction de paiement à distance « indépendante » de la carte bancaire sans saisie de code PIN (transaction de type « Carte Non Présente ») si un paiement ponctuel intervient.
  • Un segment de « vrais » commerçant adressé par un device « Chip & Pin » plus coûteux et à diffusion restreinte aux commerçants à plus fort volumes mais bénéficiant de conditions d’acquisition compétitives par rapport aux offres bancaires.

Une telle segmentation n’est pas impossible :

  • Square a déjà introduit une segmentation avec son offre de commission mensuelle fixe à coté de la commission variable. mPowa fait de même en situation transitoire en juxtaposant son offre « Swipe & Sign » et « Chip & Pin ».
  • Le partenariat avec Starbuck introduit la prise en compte de conditions spécifiques.
  • Plusieurs variables de segmentation et de mise en correspondante sont utilisables notamment le taux de subventionnement du device et les conditions de tarification des transactions.
  • Cela est d’autant plus intéressant que la segmentation des clients peut et nécessite d’être affinées (magasins, professionnels en mobilité, nouveaux scénarios de vente en magasin,…)

L’adaptation du modèle de type Square au contexte européen et français présente un potentiel de créativité !

12 thoughts on “Square en Europe : quel device et quel business model pour une zone EMV ?

  1. @arnaud
    Les solutions de type Cellfony avec saisie du code pin sur un clavier virtuel sur le mobile sont prohibées pour le moment (il faudra attendre d’avoir une systématisation d’une sécurité native des applications dans l’OS du mobile pour y arriver)
    i-zettle ne respecte pas la norme EMV et c’est bien le coeur du problème comme je le décris dans mon billet : http://nicolasguillaume.fr/mouvement-dans-les-services-square-like-en-europe/

  2. @Nicolas Guillaume

    Merci pour cette info.
    Mais je voulais aussi savoir si nous allions en France bientôt voir la solution de cellfony qui est une alternative à Square sur le marché français.
    De plus on parle de norme EMV mais la norme EMV dans le cas de izettle ne s’applique pas car il n’y a pas de code pin à taper ???

    cdt

  3. Pingback: Square en Europe : quel device et quel business model pour une zone EMV ? | Voice & Money | Scoop.it

  4. Bonjour,

    Je confirme les propos de veilleur, le contrat VAD ne peut s’appliquer en proximité, le GIE CB et VISA ont cliarement établi le cadre de l’usage de la VAD en vente à distance (Internet et transaction dite MOTO (Courrier et Telephone).
    Par ailleurs, une Member Letter de VISA, aout 2012, a interdit l’usage de de transaction hormis EMV de type « CHIP and PIN » sur mobile, le relais de cette postion a été fait par le GIE CB le mois suivant.
    Par ailleurs, je ne parle pas des recommandations et de la reglementation du PCI SSC sur le sujet qui intedit l’usage de la carte abncaire horsde des Normes EMV et PCI.
    Je crois l »avenir est encore fort incertain pour une solution de M POS hors des normes bancaires ….

  5. @veilleur @NewVeilleur Je n’oublie pas vos commentaires. Je cherche les informations auprès de mes interlocuteurs (je peux déjà vous dire que ce n’est pas tout à fait concordant avec vos commentaires).

  6. Visa et MasterCard interdisent strictement la saisie du PAN sur un commerce physique si le porteur est présent physiquement. La VAD ne s’applique que pour de la « Vente à Distance », c’est à dire par téléphone.

    Skimm, S-money et Flashiz ne sont pas concernés par note débat, car il n’y a aucune saisie du PAN par le commerçant. La Carte Bancaire est pre-enregistrée, mais les données de la CB ne sont jamais visibles par le commerçant.

    En effet, l’acquéreur ne peut pas contrôler si la personne est physiquement présente ou pas, mais cela ne veut pas dire que ce type de paiement est autorisé.

  7. @veilleur
    C’est très étonnant ce que vous dites car à ma connaissance, cela est peu usité mais il existe un contrat VAD spécifiquement utilisable en vente physique (et il ne faut pas oublier que dans le contrat VAD, il y a aussi les paiements pris et traités par téléphone qui n’incluent pas de saisie utilisateur).
    Par ailleurs, tous les systèmes de paiement électronique en vente physique (Skimm, S-monet, Flashiz,…) sont basés sur une transaction CNP (je ne vois d’ailleurs pas comment on peut contrôler la présence physique de la carte).
    Quelle est la source de votre information ?

  8. Sauf que je vous confirme que la CNP est strictement interdite en France en proximité, si le porteur (et sa carte) est présent physiquement.

Comments are closed.