Apple Pay : La fin du monopole acté en Allemagne

Qualifié de thriller politique par différents organes de presse allemands, cette saga s’achève ce 14 novembre vers 20h. C’est fait, nos voisins allemands viennent de voter une loi fédérale mettant un terme à l’exclusivité de services comme Apple Pay. L’amendement est d’ailleurs nommé « Lex Apple Pay ».

C’est grâce à la ténacité et la détermination de Madame la députée du Bundestag Bettina Stark-Watzinger, et Monsieur le député du Bundestag Jens Zimmermann qu’un amendement a été définitivement adopté. Cet amendement intégré à la 4ème directive Européenne pour la lutte contre le blanchiment des capitaux vient sonner la fin de la récréation pour des services comme Apple Pay.

Bettina Stark-Watzinger et Jens Zimmermann

Bettina Stark-Watzinger est membre du FDP, c’est le parti libéral-démocrate allemand. Dr. Jens Zimmermann quant à lui est membre du SPD, le parti social-démocrate allemand. Ils ne sont pas du même parti politique, et pourtant, ils sont parvenus à faire front commun pour l’adoption d’un amendement au sein d’un projet de loi pour une concurrence équitable.

L’objectif de leur position, imposer un traitement équitable entre tous les acteurs. Ils ont ainsi défendu que toutes sociétés ou prestataires proposant des services de paiement doivent permettre un accès à son logiciel et/ou son matériel sans délai et à des conditions raisonnables.

L’idée du texte est de permettre au législateur et aux autorités de définir ce qui est entendu par conditions raisonnables et ainsi mettre tout le monde au même tarif. C’est d’ailleurs ce que l’Europe a fait avec le Règlement (UE) 2015/751 en plafonnant l’interchange pour une concurrence loyale entre tous les acteurs. C’est une position qui ne peut qu’être applaudie, et qui sera profitable au consommateur.

Dans un précédent article, nous parlions des interruptions lors du vote. A présent, nous en savons un peu plus. Les médias rapportent que mercredi, la réunion du comité fût interrompue lors du vote. L’ ambassadeur des États-Unis, Richard Grenell, et Apple sont intervenus auprès de la chancelière pour mettre fin au projet.

Monsieur le député du Bundestag Sepp Müller, membre de la CDU/CSU l’Union chrétienne-démocrate, s’est félicité d’un grand moment au parlement. Il ajoute sa fierté que personne ne se soit laissé guider par les entreprises. Personne n’a cédé malgré une pression énorme. La presse rapporte que jusqu’à la dernière minute les parlementaires avaient été « harcelé » par des « dirigeants et avocats ». Ces derniers demandaient massivement que l’ordre du jour soit annulé. Monsieur le député du Bundestag Alexander Radwan, ainsi que Monsieur le député Metin Hakverdi soulignent un grand évènement pour la démocratie. Le parti politique allemand Die Linke, s’accorde avec leurs collègues pour affirmer qu’Apple & co sont décidément allés beaucoup trop loin avec cette pression.

Apple Pay

Apple, au travers de l’association dont elle est membre, a vivement critiqué la position du gouvernement. L’ambassade des Etats Unis a fait de même. Pour comprendre pourquoi, il faut revenir sur le fonctionnement d’Apple Pay. Nous opposons Apple Pay (iOS) et Samsung Pay (Android) car les 2 services reposent sur le même fonctionnement. L’utilisation d’une enclave sécurisée permet de stocker les informations des cartes enregistrées.

L’iPhone est équipé d’une antenne NFC que vous payez avec l’acquisition du matériel. Avant iOS 13, l’accès à cette antenne était la propriété exclusive d’Apple. Seul Apple pouvait l’exploiter via l’application Wallet. Depuis iOS 13, Apple montre des signes d’ouverture pour l’accès à l’antenne. Cependant, pour tout ce qui touche au paiement sans contact, Apple s’en garde le monopole.

Afin qu’une société puisse vous fournir un service via l’antenne NFC de votre iPhone, cette dernière doit signer un accord avec Apple. Cet accord est très loin d’être gratuit. Une banque, par exemple, doit signer et s’engager dans diverses dépenses. Tout cela afin que vous puissiez mettre votre carte dans Wallet et payer via Apple Pay. Il en est de même pour ce qui touche au transport par exemple. Valérie Pécresse avait d’ailleurs déploré la position d’Apple pour que Navigo puisse être embarqué dans Wallet.

En plus d’un budget énorme pour avoir le droit d’ajouter une carte dans Apple Pay, la banque devra également s’acquitter d’une somme à chaque fois que vous utiliserez la carte. Notez que même l’ajout de la carte dans Wallet est facturé par Apple alors que le processus est géré par Visa, Mastercard, Amex… au travers de systèmes nommés Token Service Provider (TSP), pour ne nommer qu’une partie minime du dispositif.

Samsung Pay

Chez Samsung, il faut également contractualiser la relation entre Samsung et l’établissement bancaire afin d’ajouter une carte sur Samsung Pay. La différence avec Apple, c’est que pour Samsung, vous avez déjà payé le matériel. Vous avez déjà également payé votre droit d’utiliser le logiciel en acquérant le mobile. Il est donc inconcevable pour Samsung de refaire payer à nouveau ses partenaires. L’utilisation du service Samsung Pay est donc gratuite, comme l’ajout d’une carte ou la signature avec Samsung.

Un même dispositif de sécurité

Pourtant, Samsung Pay et Apple Pay utilisent tous deux le même dispositif de sécurité, à savoir l’enclave sécurisée. Pour les deux, le processus pour l’ajout d’une carte est géré de la même façon, à savoir, par les réseaux Visa, Mastercard…

Samsung utilise Android comme applicatif logiciel. Pour le paiement, Samsung propose et met en avant Samsung Pay. Cependant, vous restez libre de pouvoir utiliser Google Pay ou tout autre service de paiement sans contact.

Samsung va même plus loin. Les éditeurs tiers comme les banques, peuvent utiliser soit une technologie dite HCE ( Host Card Emulation), soit SIM Centric, c’est-à-dire utiliser la carte SIM comme une enclave sécurisée. C’est d’ailleurs, à ce jour, le plus haut niveau de sécurité existant dans le paiement mobile. Seul SIM-Centric est autorisé à effectuer du paiement mobile sans devoir recourir à une autorisation systématique et obligatoire de votre banque.

Avec une telle ouverture d’Android et de Samsung, car la partie SIM Centric relève du constructeur et non d’Android, n’importe quelle société ayant un agrément Mastercard et/ou Visa peut proposer ses services. C’est ainsi que des solutions comme Lyf Pay, Paylib… peuvent proposer des services de paiement mobile sans contact sous Android. La France n’est pas l’unique pays à profiter de cette ouverture, c’est aussi le cas en Allemagne, Belgique, Pays-Bas, Autriche, Danemark…

Côté Apple, c’est Apple Pay ou rien. Apple n’a jamais souhaité permettre l’utilisation de la technologie SIM-Centric, ou encore HCE sur ses mobiles. Pourtant, aucune de ces 2 solutions ne présentent de risques supérieurs. C’est même l’inverse pour SIM-Centric. Si Apple permettait au travers d’API de laisser une banque développer son application, elle pourrait même être l’outil de paiement Sans Contact par défaut, comme on peut le configurer sous Android.

Pour Apple, c’est hors de question. Apple Pay représente une rentrée financière non négligeable. Sous iOS, c’est cloisonné, et Apple sort la carte de la sécurité pour se justifier. Mais ce n’est nullement un argument, il est rapidement balayé et ne fait pas le poids dans une discussion technique.

Accès API ou abaissement des frais pour Apple Pay

La loi allemande a été votée (§ 58a Zahlungsdiensteaufsichtsgesetz). Il faudra attendre sa mise en application pour voir comment Apple va composer avec cette contrainte réglementaire.

Il y a 2 hypothèses, la première serait qu’Apple joue l’ouverture, à l’instar d’Android, et permette à des services tiers d’utiliser l’antenne NFC pour réaliser des paiements. Cela nécessiterait une adaptation d’iOS. Adaptation qui permettrait le choix de la solution de paiement par défaut. Cette solution semble la plus logique. Elle simplifierait grandement la vie de toutes sociétés souhaitant utiliser l’antenne iOS pour diverses fonctionnalités y compris le paiement sans contact.

Nous avons un doute sur le fait qu’Apple opte pour cette hypothèse. Cela signifierait qu’il ne serait plus nécessaire de contractualiser avec Apple pour Apple Pay. La simple publication d’une application, vérifée par Apple, suffirait. Apple n’y gagnerait plus rien, sauf le coût du compte développeur annuel.

Il nous semble plus probable qu’Apple décide pour l’Allemagne, de supprimer tous ses frais liés à Apple Pay pour les banques. Apple s’alignerait alors sur ce que font Samsung, Google, Fitbit, Garmin, Swatch. Ces acteurs n’appliquent aucun coût pour que le client puisse utiliser le matériel et le logiciel qu’il a déjà payé lors de l’acquisition du produit.

Les 2 députés allemands laissent toutefois une possibilité à Apple de tout de même facturer le service Apple Pay à ses partenaires. Mais dans ce cas, ils imposent des conditions raisonnables. Ces conditions seraient basées sur l’interchange, et si tel est le cas, la marge de l’interchange qui est de 0.02% pour les banques. Le reste de l’interchange sert à financer les fraudes et les opérations de maintenance du service d’acceptation.

Avec cette seconde hypothèse, Apple disposerait toujours d’un revenu, mais uniquement sur les transactions et rien d’autre. Le pourcentage serait cependant drastiquement amputé par rapport à ce qui se fait habituellement pour Apple Pay. Pourcentage qui dépasse actuellement le 0.10% à chaque transaction réalisée par Apple Pay.

Une brèche dans la sécurité ou la vie privée ?

C’est l’argument qui a été mis en avant pas les lobbyistes tentant de bloquer cet amendement. Dans les faits, il n’en est rien, car ce sont Visa, Mastercard, American Express… qui approuvent ou non une solution de paiement.

Il faut donc passer des tests lourds, et très encadrés avant de pouvoir proposer un service de paiement. La partie sécurité et vie privée sont deux éléments vitaux qui sont analysés par les réseaux.

Apple Pay et Samsung Pay utilisent tous deux une enclave sécurisée. Dans la théorie, avec ce niveau de sécurité s’approchant du SIM-Centric, il serait possible de payer avec son mobile sans qu’une autorisation systématique soit nécessaire.

Mais que ce soit Visa, Mastercard, CB, American Express… aucun réseau n’a suffisamment confiance pour permettre cela tant sur Apple Pay que Samsung Pay. Par conséquent, l’autorisation est obligatoire, à défaut, la transaction doit être refusée selon les règles des réseaux. Une politique qui tranche avec celle de la SIM-Centric.

En permettant un accès API comme c’est le cas sous Android, et donc exploitation de la technologie HCE, on ne s’expose pas davantage à un risque de sécurité pour le paiement. En HCE, c’est ainsi que fonctionne Google Pay, Paylib… le mobile ne dispose que d’une fraction des éléments pour le paiement. Le service de la banque dispose de l’autre partie, et c’est avec la combinaison des deux qui rend un paiement possible.

HCE est justement utilisé sous Android, afin de permettre aux applications tierces d’effectuer du paiement mobile sans contact. HCE garantit également que même des applications compromises ne puissent pas détourner le système pour effectuer des transactions frauduleuses.

Il n’y a donc pas davantage de risque. Dans tous les cas, ce sont des normes qui sont décidées et validées par des réseaux comme Mastercard. Ce n’est ni laissé à la discrétion du constructeur, ni de la banque ou d’un tiers.

Pour la partie vie privée, là encore, aucun risque par rapport à Apple Pay en utilisant une application de type HCE. C’est même plus sécurisé dans un sens car seule votre banque dispose des données. Aucun service ou serveur tiers à cette dernière n’a d’informations sur votre usage, à l’exception des réseaux bien entendu.

Le constructeur du mobile n’en sait pas davantage. C’est d’ailleurs pour ça que lors d’un paiement, le mobile vous invite à vérifier sur le terminal du paiement si la transaction est acceptée ou non. Contrairement à Apple Pay, l’information du refus ne remonte pas au constructeur du mobile, cela reste dans le réseau bancaire uniquement.

Pointer un problème de vie privée est là encore, un non-sens. Nous en revenons à nouveau aux règles des réseaux qui s’imposent à tous pour un usage de type HCE.

Dans Apple Pay, le numéro utilisé diffère du numéro réel de la carte. Là encore, ce n’est pas un service Apple, c’est tout simplement le fonctionnement du mécanisme de jetons. Ce mécanisme qui est géré une fois encore par les réseaux. Tout équipement a un numéro de carte différent de celui de votre carte physique. Vous prenez une montre Garmin, elle aura exactement le même fonctionnement que votre Apple Watch. Ce sera un numéro de carte à 16 chiffres créé pour l’équipement uniquement, qu’on nomme token ou jeton en français.

Le déploiement au niveau Européen d’une telle mesure

Le nom de Margrethe Vestager ne vous évoque peut-être rien. Pourtant, cette femme danoise est la Commissaire européenne à la Concurrence. Chez les GAFA, son nom rime avec amende, car elle n’hésite pas à sanctionner les acteurs lorsque cela s’avère nécessaire.

Si nous vous parlons de Margrethe Vestager, c’est en raison de rumeurs. La commission Européenne serait en train de diligenter des investigations concernant Apple et plus précisément Apple Pay. Le texte voté en Allemagne ne sortira pas du pays, sauf si l’Europe décide d’en faire une généralité pour l’ensemble des pays membres de l’Europe. Il semble peu probable que des pays comme la France décident de prendre une telle position envers une entreprise privée.

Certains haussent le ton sur cette position de l’Allemagne, et l’ingérence dans les affaires des sociétés. Mais ici, il est question de concurrence, et permettre à tous les acteurs d’avoir les mêmes conditions sur Apple. Que vous soyez une fintech avec de petits moyens, ou une banque internationale, l’Allemagne veut que vous ayez les mêmes conditions.

L’objectif est d’en finir avec le contrat « à la tête du client » et ainsi permettre une meilleure concurrence, et éviter que le consommateur soit obligé de changer de banque. Mais c’est également une opportunité pour d’autres sociétés de lancer des services sur iOS sans subir les coûts d’Apple.

Le texte est clairement, et sans aucune ambigüité, axé dans l’intérêt du consommateur. Le texte permet au consommateur de profiter pleinement de l’équipement qu’il a acheté sans qu’un coût comme Apple Pay lui soit répercuté de manière indirecte.

C’est d’ailleurs un point régulièrement soulevé dans les discussions Apple Pay « comment répercuter le coût sur les clients ? ». A cette question, la solution est généralement de revoir à la hausse les frais et les coûts lors d’un incident chez les clients les plus fragiles. Les frais perçus lors d’incidents sont pour 1/3 en moyenne dans le résultat du chiffre d’affaire généré par un conseiller. Si la banque perd de l’argent avec Apple Pay, la pression sera d’autant plus importante sur une autre source de revenus.

Ne cédez pas à la facilité de croire qu’il suffit d’aller dans une banque en ligne. Les profils clients auxquels nous faisons allusion ne sont pas les bienvenus. Ils n’osent pas changer de banque par crainte de voir leurs moyens de paiements bloqués sans appel préalable par exemple. D’ailleurs, le tout gratuit dans les banques en ligne est un long débat. Un jour il faudra bien trouver comment payer les salaires et les infrastructures qui font tourner la banque en ligne.

Il est donc trop tôt pour savoir si cette prise de position en Allemagne aura des échos dans d’autres pays, ou plus largement auprès de la commission Européenne.

Les prochaines étapes pour l’Allemagne

Il s’agira surtout de la mise en application. Le texte étant intelligemment lié à une transposition d’une directive Européenne, sa mise en application ne devrait pas s’éterniser.

L’Allemagne n’en est pas à sa première transposition adaptée au peuple Allemand. Sur la question SEPA par exemple, et l’acceptation des IBAN étrangers, c’est le seul pays qui a clairement imposé dans ses textes l’obligation d’accepter un IBAN quelque soit le pays de provenance.

Il y a quelques exceptions qui sont soumises à interprétation pour SEPA, mais cela ne concerne que des organismes de crédits, pour lesquels le lien pays de résidence / pays de l’IBAN n’est pas clairement indiqué. Toutefois, mieux vaut avoir une correspondance, faute de quoi, les dossiers sont refusés

Le texte fera probablement débat chez les opposants à cette ouverture. Le législateur ne manquera pas de ramener tout le monde sur sa vision, comme BaFin (l’Autorité fédérale de supervision financière) l’a fait pour SEPA.

Apple pour sa part, a déjà commenté l’article 58 de la loi sur la suveillance des paiements (§ 58a des Zahlungsdiensteaufsichtsgesetz (dite ZAG)) au travers de son porte parole. Apple se dit à la fois surpris du processus législatif. Apple craint que cette loi nuise à la convivialité des paiements et la confidentialité / sécurité des informations financières. Apple précise que l’article 58 de la ZAG viendrait violer les droits de propriété et de la liberté sur le marché intérieur, directive EU 2015/1535. Ils attendent la notification à l’Europe de cette loi.

Monsieur le député Alexander Radwan, rappelle que le problème d’accès à l’interface NFC est une question antitrust au niveau de l’Union Européenne. C’est pour lui un texte qui dépasse les paiements, et amène à une liberté. Il s’associe à la CSU sur ce texte. Monsieur Metin Hakverdi du SPD rappelle qu’il ne faut pas permettre le monopole des plateformes. Il faut les contrainte par la loi à s’ouvrir à d’autres fournisseurs. Opposition et majorité en Allemagne sont d’accord sur cette ouverture des interfaces de paiements pour une concurrence efficace.

Nous allons suivre cette situation, mais l’Allemagne vient de montrer, qu’il est possible de décider dans l’intérêt de sa population, qu’une régulation de la concurrence est toujours profitable au consommateur.