Apple Card, une révolution ou l’application des standards ?

Sur un marché Américain, l’annonce d’Apple et de son Apple Card sonne comme une révolution. Mais en Europe, c’est une perception très différente.

Il est déjà important de rappeler que le marché Américain commence depuis 2017 à découvrir la carte à puce. Mais pour l’heure, le taux d’adoption de la carte à puce (dite EMV) est très limitée. La faute aux émetteurs qui tardent à implémenter cette technologie, mais aussi aux commerçants qui ne se pressent pas de réaliser la migration de leurs TPE vers EMV.

A ce jour, le paiement par piste magnétique aux USA représente en moyenne 80% des transactions. Cela ne fait que quelques années qu’ils commencent à remplacer la signature par le PIN, mais là encore, c’est rare, la signature reste l’usage le plus étendu pour confirmer le règlement.

Beaucoup voient les USA comme un pays très en avance. Mais sur le plan monétique, ils sont en retard de presque 20 ans sur la France et au moins 15 ans sur les différents pays Européens.

Apple Card et la technologie EMV

On sait que la carte comportera une puce (ICC), ainsi qu’une piste magnétique (Magstripe). Il n’y aura ni embossage ou impression du numéro de la carte, de l’expiration ou du cryptogramme (CVC2). On profite pour rappeler que de nombreux sites parlent de l’absence de CVV, hors le CVV est une nomenclature VISA, chez Mastercard c’est CVC, et le cryptogramme se nomme CVC2.

La carte ne sera pas compatible avec le Sans Contact (PayPass) en raison de sa structure en titane. Enfin, aucune zone permettant de signer la carte ne sera présente sur le support.

Certains ont fait un amalgame entre la carte physique et sa version dématérialisée dans Apple Pay. Ils ont ainsi compris que le support physique possédera des numéros dynamiques. Cela est faux, le support physique aura bien un seul numéro et une expiration qui lui seront assignés pour une durée maximale de 8 ans, mais Apple restera probablement sur une expiration à 5 ans pour des raisons de compatibilité.

Techniquement, il n’est pas possible avec des « scripts émetteurs » de toucher à ces données de la carte. Ces informations sont statiques et nécessitent la refabrication du support afin de les remplacer.

Il n’y a rien d’exceptionnel ou de transcendant jusque là pour nous Européens.

L’absence de cryptogramme (CVx2) est quelque chose d’existant, soit au travers d’un cryptogramme accessible dans l’application de la banque (ex : La Banque Postale ou encore bunq), l’exploitation d’un cryptogramme dynamique évoluant toutes les heures (ex : Société Générale, Crédit Mutuel Alliance Fédérale ou encore BNP et plus récemment Orange Bank avec son offre Premium).

La priorisation de la puce, c’est la norme en France depuis plus de 20 ans. Essayez de coulisser votre carte dans la zone piste d’un TPE, vous serez poliment invité à insérer votre carte, la piste sera refusée par le terminal. Seules certaines dérogations existent pour des péages, parking, automates,… mais ils basculent de plus en plus sur le « dipping », c’est à dire la lecture de la puce et non de la piste sans saisie du code PIN.

Absence du numéro à 16 chiffres de la carte et son expiration

Dans les annonces, Apple indique

ne pas indiquer ces informations permet de dissuader les voleurs de dérober votre carte car il en sera difficile d’en avoir un usage.

On vous confie un secret, quand les distributeurs de billets sont détournés, le numéro de la carte n’est pas récupéré par une caméra mais par la lecture de la piste magnétique. La puce, tout comme la piste dévoilent tous deux le numéro de votre carte et son expiration très aisément.

Quelqu’un qui déroberait une Apple Card pourrait en quelques secondes obtenir ces informations. En France c’est encore plus simple, ces informations sont indiquées sur le ticket commerçant.

Que le numéro soit présent ou non sur la carte, cela ne change rien sur l’aspect sécurité de votre carte. Au contraire, vous pouvez vous trouvez dans des situations où le commerçant doit vérifier cette information.

Les règles VISA et Mastercard (tout comme CB) permettent au commerçant de vérifier les 16 chiffres de la carte ainsi que son expiration avant d’accepter d’initier la transaction. Il peut en profiter pour vérifier également que le nom prénom indiqués correspondent bien à l’individu qui se tient en face de lui. Il y a de multiples situations qui nécessitent que le commerçant ait besoin de vérifier ces informations. Dans certains pays, les commerçants effectuent même la saisie manuelle des 16 chiffres et renseignent l’expiration de la carte sur le TPE. Le terminal vous invite à fournir le code PIN, afin que l’autorisation soit soumise à votre banque et qu’elle contrôle la validité du code PIN renseigné sur le TPE.

Absence de signature au dos de la carte bancaire

Vous avez probablement déjà vu l’information en Français et en Anglais indiquant que la carte n’est pas valide en l’absence de signature. Regardez, c’est indiqué au dos des cartes émises par les banques traditionnelles. Les Fintech font généralement l’impasse sur cette information dans un souci d’esthétique.

Cette suppression de signature par Apple va occasionner des complications dans de nombreux commerces :

On vous avait déjà expliqué que votre puce est en réalité un petit ordinateur. Lorsqu’il dialogue avec le TPE durant le processus de paiement, votre carte et le TPE décident ensemble des possibilités pour vous authentifier. Généralement, ils s’entendent sur le PIN (Enciphered/Plaintext PIN verification performed by ICC). On vous fait la traduction : le terminal convient que le code PIN sera envoyé en chiffré (ou en clair) à la puce de votre carte, afin que cette dernière valide ou refuse l’information.

On parle ici de « CVM » (Cardholder Verification Method), c’est à dire les méthodes disponibles sur votre carte et compatibles avec le TPE afin de vous authentifier. Dans cette liste de possibilité se trouve le PIN (chiffré, en clair ou même online), la signature et parfois l’absence de vérification. Lorsqu’une carte ne dispose pas de zone pour la signature, la méthode « Signature (paper) » est donc absente de la liste  et donc si le TPE a besoin de cette méthode, la transaction sera abandonnée au motif « Fail cardholder verification if this CVM is unsuccessful ».

En Europe, c’est très rare de devoir payer des petites sommes avec une signature nécessaire. Toutefois, si vous avez déjà payé plus de 1500€, vous avez probablement été invité à signer le ticket de transaction du commerçant en plus d’avoir renseigné le code PIN. C’est normal, au-delà de ce montant, le commerçant doit retourner la carte et vérifier que la signature réalisée sur son reçu est conforme à celle présente au dos de votre carte. En cas d’incohérence, il doit annuler la transaction.

Sans aller aux USA et au Canada, les champions de la signature pour la validation du titulaire, on retrouve sur le continent Européen des pays comme l’Allemagne où de nombreux commerçants contrôlent que la carte est signée avant d’initier la transaction. C’est surtout qu’en Allemagne, il y a une méthode de paiement qui fonctionne uniquement par signature sur leur réseau domestique. Les utilisateurs allemands sont donc habitués à cette vérification.

Absence de cryptogramme au dos de l’Apple Card

Il n’y a ni bonne ni mauvaise décision sur ce point là, toutes les méthodes ayant leurs avantages et leurs inconvénients. Le cryptogramme statique n’est pas réellement un problème, car même si la carte est détournée, votre responsabilité ne sera engagée que si vous avez validé l’authentification 3D Secure. Ce dispositif va d’ailleurs évoluer partout en fin d’année vers sa version 2.

Le cryptogramme dynamique est une option, mais il faudra soit avoir un écran au dos de la carte pour consulter lequel est assigné à votre carte au moment de payer ou alors disposer d’une connexion à internet afin de le trouver dans l’application de votre banque.

La version statique simplifie la vie et il n’y a pas davantage de risques, vous êtes couvert en cas de fraude.

« Apple devient une banque en proposant sa carte de crédit »

Jamais il n’a été question qu’Apple devienne une banque et vienne chasser sur le terrain des acteurs traditionnels ou des Fintech. La carte que propose Apple est en réalité émise par Goldman Sachs. Apple ne fait que personnaliser le design de la carte, utiliser des dispositifs API pour piloter la carte.

Ce fonctionnement est courant, surtout dans le monde des Fintech. En France, des Fintech comme Lydia, Yeeld, Lunchr, Shine, Qonto (Olinda) sont en réalité des distributeurs de Treezor.

Les carte proposées par ces dernières s’articulent autour de l’API de Treezor et c’est Treezor qui assure le service des cartes qu’ils distribuent aux clients.

Wirecrad est la société la plus connue sur ce créneau. On retrouve dans ses clients des offres comme Orange Bank ou Monzo. Revolut et N26 étaient affiliés à cette société à leur débuts pour leurs cartes.

Apple ne fera rien de plus que les sociétés citées concernant la carte : à savoir articuler une interface autour d’une API de Goldman Sachs.

Entre 1 et 2% de cashback sur tous les commerçants et 3% chez Apple

Le cashback, c’est reverser une partie du montant de votre transaction, que vous récupérer sous forme d’avoir, ou de bon d’achat, auprès de l’émetteur de votre carte. Un tel taux n’est possible qu’aux USA et au Canada où les émetteurs sont allés dans des extrêmes sur l’interchange (cette fameuse commission qui revient à votre émetteur et qu’il partage avec vous pour le cashback).

Depuis juin 2016, l’Europe a régulé l’interchange. Les banques ne peuvent donc pas percevoir plus que 0.20% pour une carte de débit ou prépayée et 0.30% si vous avez une carte de crédit.

La France a même décidé de réguler les cartes commerciales en plafonnant à 0.90% alors que pour ce niveau de carte, l’Europe n’a pas régulé le taux. On le trouve à 1.80% en moyenne chez nos voisins Européens pour leurs cartes commerciales.

Il est donc impossible de proposer un tel niveau de cashback aux clients. Revolut est le seul à proposer un cashback sur les transactions à hauteur de 0.10% alors qu’ils touchent 0.20% brut sur chaque transaction. Même 0.10% nous paraît très conséquent au vu des coûts sur les paiements, et les partenaires à rémunérer.

Lorsque Revolut lancera Apple Pay ( « prochainement bientôt » dixit Emmanuel), avec un reversement en plus à faire à Apple, ils risquent fortement de se trouver déficitaires à chaque transaction Apple Pay.

L’interchange est également déjà partagé par les banques partenaires d’Apple Pay afin de rémunérer Apple sur chaque paiement que vous effectuez. Google et Samsung ont eux décidé de ne rien percevoir, partant du principe que le paiement mobile est un service, le client a déjà payé en achetant son mobile.

Mastercard propose un service nommé « Priceless Specials » qui vous permet d’avoir un cashback chez des commerçants partenaires et pour un produit spécifique. On est très loin du modèle USA/CA ou Revolut, car il faut s’inscrire à l’offre afin de pouvoir en profiter via un lien d’affiliation généralement.

L’octroi d’une carte de crédit

En vivant au USA, vous vous constituez une cote de crédit dès que vous effectuez pour la première fois un crédit. Plusieurs dispositifs existent, citons FICO, VantageScore, CE Score,… le plus connu étant FICO. Au Canada, c’est Equifax et TransUnion. Vous pouvez donc postuler à une telle carte. Votre score déterminera la réponse qui vous sera faite et votre ligne de crédit associée à votre carte bancaire.

En Europe, c’est un peu différent.

  • Les UK ont un système s’approchant le plus du système Américain avec 3 dispositifs de score via Equifax, Experian et Callcredit (Noddle).
  • Les Pays-Bas ont un dispositif de fichage des mauvais payeurs via « BKR » (Bureau Krediet Registratie).
  • A l’instar des Pay-Bas, l’Espagne dispose également d’un registre pour répertorier les incidents, ils parlent de « CIR » (Risk Information Centre).
  • La France est sur ce même principe avec le FICP et FCC tenus tous deux par la Banque de France.
  • L’Allemagne exploite un système nommé Schufa. Il est souvent critiqué, car il va concentrer diverses données, et chaque facture impayée chez un fournisseur va entacher votre score, chaque ouverture de compte en fait de même. Vous devez présenter des attestations dans des opérations comme la location d’un appartement.
  • Certains pays comme la Belgique disposent de fichiers recensant les crédits « CICR » (Central Individual Credit Register), mais tous nos voisins Européens qui ont un tel système ne génèrent pas de score.

Si Apple voulait s’étendre en Europe, ils devraient donc trouver des solutions pour tous les pays autres que le Royaume-Uni et l’Allemagne afin d’évaluer votre risque, en l’absence de fichage dans un fichier mauvais payeur détenu par le pays de résidence.

La vision Européenne d’une telle carte

L’absence de cryptogramme, de signature, de numéro de carte sur le support,… sont des solutions qui existent déjà sur le réseau Maestro. Ces cartes dans leur version originale ne présentent aucunes de ces informations.

En Europe, les travaux sont déjà bien avancés sur la carte biométrique, c’est la prochaine évolution. Plusieurs banques démontrent déjà leur intérêt pour cette solution afin de renforcer la sécurité de votre carte. Vous devez obligatoirement garder en main votre carte, et ne pouvez plus la donner à l’employé afin qu’il l’insère.

Les banques proposant déjà le cryptogramme dynamique, seront de la partie pour la carte biométrique. Lorsqu’elles se lancent dans une évolution, elles suivent les améliorations qui arrivent. On devra donc trouver cette carte chez BNP, Société Général, Crédit Mutuel Alliance Fédérale, CIC et BPCE.

Conclusion

L’Apple Card pourrait débarquer en Europe, mais Apple devrait revoir totalement son offre commerciale avec Goldman Sachs en réduisant drastiquement le cashback, et revoir le parcours de souscription. Goldman Sachs dispose de 2 agréments en Europe pour pouvoir proposer une telle offre. « Goldman sachs bank Europe SE » à Francfort en Allemagne, et « Goldman Sachs international bank » à Londres au Royaume-Uni.

Apple pourrait donc poursuivre sa marque blanche avec Goldman Sachs sur notre continent, mais avec de nombreuses modifications.  Le Royaume-Uni et l’Allemagne devraient être les premiers à pouvoir profiter d’une arrivée de l’Apple Card en Europe en raison de leurs systèmes de score. Cela se comptera probablement en année, un peu comme Apple Pay Cash en Europe.

Avec des Fintech portant une licence banque comme Revolut, N26 ou bunq, nous avons des acteurs qui sauront compléter leurs offres et rester plus intéressants qu’Apple et sa carte.