Paylib passe du Web au sans contact

Paylib passe du Web au sans contact

La convergence est là…

Paylib, le portefeuille électronique interbancaire désormais proposé par BNP Paribas, La banque postale, La Société Générale, Crédit Mutuel Arkéa et le groupe Crédit agricole , s’ouvre au sans contact alors qu’il permettait seulement de payer des achats d’E-commerce. Les premiers pilotes commencent actuellement pour un lancement commercial à la fin de l’année. Les clients des banques Paylib équipés d’un Smartphone NFC (Near Field Communication) sous une version d’Android compatible pourront payer dans les magasins équipés de terminaux sans contact avec leur téléphone, même au delà de 20 euros. Un service rendu possible par l’utilisation du HCE (Host Card Emulation) et de la Tokenisation qui évitent le stockage et la circulation de données de carte bancaire dans le téléphone et sur le réseau.

The Blockchain applied to payment, between limits and promises

The Blockchain applied to payment, between limits and promises

Problem of scalability and cost structures: weaknesses in blockchain could overshadow his safety and speed.
Source :

The first application of the blockchain – and most developed today – is of course the virtual currency Bitcoin. No wonder, then, that banking institutions are considering the blockchain applications in the field of payment and money transfer. However, this use is far from being the most obvious and several technical issues must be resolved before the banking players can not embark on the niche.

« The current blockchain technology has a scalability problem analysis Frédéric Dalibard, head of digital banking customers high Natixis, a subsidiary of the BPCE Group. Imagine an equivalent of Visa on blockchain is now impossible. » Bitcoin, for example, can record only ten transactions per second, against 20,000 for Visa, notes Gregory Chenue, project manager strategic marketing of Crédit Agricole SA. « It will ensure that cost reduction promises are real »
Before putting up huge payment systems based on blockchain, « it will also ensure the reduction of costs promises are real, says Nicolas Chatillon, cross-functional development director of Groupe BPCE. The costs operating they will really lower? it is not certain that this will allow to remove information systems and there will need programmers, miners …  »
« Today, payment systems function rather well, adds his side Grégory Chenue, Crédit Agricole. Any break to replace by blockchain systems take a long time because we are not starting from zero, network infrastructure is very complex.  »

« The Holy Grail: that the real currency are recognized by regulators »
Despite the potential implementation cost, blockchain still has clear advantages in terms of speed and security. If the application is less obvious than others, banking players still imagine to someday implement a payment system via blockchain. « The holy grail would be that the real currency are recognized by central banks and regulators as having the same value on the blockchain » notes Frédéric Dalibard. This payment system would remove the third as Swift and strengthen security – especially in light of recent security vulnerabilities of the financial actors …

Pending such a system recognized widely, Gregory Chenue imagine the establishment of private blockchains between banks for faster exchange, or an internal network to a banking group. Within the consortium R3, eleven banks including Natixis French deployed a Ethereum infrastructure to the virtual currency exchange between them (Read: « Blockchain: Ethereum she will dethrone the Bitcoin » of 21/04 / 2016). The test has since been expanded to 42 banks.

La Blockchain appliquée au paiement, entre limites et promesses

La Blockchain appliquée au paiement, entre limites et promesses

Problème de scalabilité et coût des structures : les faiblesses de la blockchain pourraient faire passer au second plan sa sûreté et sa rapidité.
Source : ICI

La première application de la blockchain – et la plus développée aujourd’hui – est bien sûr la monnaie virtuelle Bitcoin. Pas étonnant, donc, que les acteurs bancaires réfléchissent à des applications de la blockchain dans le domaine du paiement et du transfert d’argent. Pourtant, cet usage est loin d’être le plus évident et plusieurs questions techniques devront être résolues avant que les acteurs bancaires ne puissent se lancer sur le créneau.
« La technologie blockchain actuelle présente un problème de scalabilité, analyse Frédéric Dalibard, responsable du digital de la banque de grande clientèle de Natixis, filiale du groupe BPCE. Imaginer un équivalent de Visa sur la blockchain est pour l’instant impossible. » Le Bitcoin, par exemple, ne peut enregistrer qu’une dizaine de transactions par seconde, contre 20 000 pour Visa, note Grégory Chenue, chef de projet au marketing stratégique du groupe Crédit Agricole SA. « Il faudra s’assurer que les promesses de diminution des coûts sont réelles »

Avant de mettre en place d’énormes systèmes de paiement basés sur la blockchain, « il faudra aussi s’assurer que les promesses de diminution des coûts sont réelles, note Nicolas Chatillon, directeur du développement fonctions transverses du Groupe BPCE. Les coûts d’exploitation seront-ils vraiment plus bas ? Il n’est pas certain que cela permette de faire disparaître les systèmes d’informations et il y aura besoin de programmateurs, de mineurs… »
« Aujourd’hui, les systèmes de paiement fonctionnent plutôt bien, renchérit de son côté Grégory Chenue, du Crédit Agricole. Tout casser pour remplacer par des systèmes blockchain prendrait beaucoup de temps car on ne part pas de zéro, les infrastructures de réseau sont très complexes. »
« Le graal : que les devises réelles soient reconnues par les régulateurs »

Malgré le coût potentiel d’implémentation, la blockchain dispose tout de même d’avantages incontestables en termes de rapidité et de sécurité. Si l’application concrète est moins évidente que d’autres, les acteurs bancaires imaginent tout de même pouvoir un jour mettre en place un système de paiement via blockchain. « Le graal serait que les devises réelles soient reconnues par les régulateurs et banques centrales comme ayant la même valeur sur la blockchain », note Frédéric Dalibard. Ce système de paiement permettrait de supprimer les tiers comme Swift et de renforcer la sécurité – d’autant plus à la lumière des récentes failles de sécurité de l’acteur financier…

En attendant un tel système reconnu à grande échelle, Grégory Chenue imagine la mise en place de blockchains privées entre banques pour faire des échanges plus rapides, ou bien un réseau interne à un groupe bancaire. Au sein du consortium R3, onze banques dont la française Natixis ont déployé une infrastructure Ethereum pour faire des échanges de monnaie virtuelle entre elles(Lire : « Blockchain : l’Ethereum va-t-elle détrôner le Bitcoin« , du 21/04/2016). Le test a depuis été élargi à 42 banques.

Le règlement européen sur la protection des données à caractère personnel enfin publié au Journal Officiel

Le règlement européen sur la protection des données à caractère personnel enfin publié au Journal Officiel

Enfin ! Après une longue maturation (plus de six ans) le règlement européen sur la protection des données à caractère personnel a été publié le 4 mai 2016 au JOEU (Journal Officiel de l’Union Européenne). Les responsables risques dans les grandes entreprises commencent à s’organiser pour être prêts. 

Source : MagSecure

Il ne reste que deux ans : en effet, ce règlement que l’on attendait depuis si longtemps, publié au JOEU le 4 mai dernier, prévoit un certain nombre de mesures que les responsables sécurité et les risk managers scrutent à la loupe… notamment pour savoir ce qui leur en coûte de ne pas être prêt pour dans deux ans : ce règlement européen, voté par le Parlement européen le 14 avril dernier, doit s’imposer sans le passage d’une loi (autrement dit, il est immédiatement applicable) dans tous les pays européens.
Il fait suite à la directive 95/46/CE qui avait été transposée dans les législations nationales. Rappelons que ce règlement, sur lequel nous avons déjà beaucoup écrit, prévoit une fonction de DPO (Data Protection Officer, ou Délégué à la Protection des Données, cf section 4), qui, outre ses compétences juridiques propres, doit posséder des connaissances avérées en informatique. L’AFCDP (Association Française des Correspondants à la Protection des Données à Caractère Personnel) milite à cet égard pour une clause dite « du grand-père » qui devrait favoriser la transformation des CIL (Correspondants Informatique et Libertés, institués par la loi du 6 août 2004) en DPO. L’ISEP (Institut Supérieur d’Electronique de Paris) et HSC by Deloitte proposent des formations courtes ou longues pour la fonction de DPO.

Se mettre en ordre de bataille pour être prêt dans deux ans

Les services risques des grandes entreprises, et notamment des banques, qui manipulent quantité de données personnelles, s’interrogent sur la portée réelle et les implications du règlement : ils précisent que les violations de données personnelles doivent être notifiées à la CNIL, (Art. 33 du règlement) et aux propriétaires des données. L’article 34 du règlement précise que : « lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais ». Mais il existe des exceptions, qui intéressent particulièrement les responsables des risques : « la communication n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie :
– Si le responsable de traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées, […] telles que le chiffrement.
– Le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n’est plus susceptible de se matérialiser ; »
Enfin, si cette communication « exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique », comme un communiqué de presse, par exemple.
Ils préviennent aussi du montant, pas du tout exceptionnel des sanctions financières pouvant être encourues en cas de manquement : 20 millions d’euros, ou bien 4% du chiffre d’affaires annuel total. Ils s’inquiètent aussi que la charge de la preuve, (art. 24 responsabilité du responsable de traitement) notant qu’elle incombe au responsable de traitement, qui doit tenir à jour une réglementation et pratiquer des analyses d’impact. Notons enfin que le droit à l’oubli est expressément mentionné (art. 17).
Bref, de tous côtés, et notamment des services de gestion des risques, on s’interroge sur la portée du règlement européen, et on se met en ordre de bataille pour être prêt dans deux ans.