Catégories
Débats Podcast

GaroCamp #1 – Compte rendu de la table-ronde sur le cashless et sa réglementation

MyOpenTickets était présent le 30 juin 2016 au GaroCamp #1 à Marmande, pour présenter son livre blanc « Le cashless mis à nu : réglementations et points de vigilance » autour d’une table ronde. Animée par Eddie Aubin, président de MyOpenTickets, cette rencontre a réuni Margaux Warin, juriste du cabinet Racine qui a participé à l’écriture du livre blanc, Martin Rigot-Muller, président et fondateur de Yuflow Events, Isabelle Chevallier, responsable développement Europe chez Intellitix, et Yvan Lebras, chargé des relations publiques aux Transmusicales.

Depuis quelques années, des systèmes de paiement sans cash sont proposés pour des événements : des jetons de paiement (ou token) et des nouveaux supports de porte-monnaie virtuels grâce à des puces NFC/RFID. Aujourd’hui l’usage du cashless est rentré dans les mœurs, les principales préoccupations concernent aujourd’hui l’encadrement juridique du cashless et la sécurité des supports et de la technologie proposée.

Cependant, comme Margaux Warin l’a expliqué, le cashless n’existe pas encore en droit, et la question se pose de savoir quelles réglementations le régissent, et donc à quel statut le cashless peut-il être assimilé. On se retrouve face à deux situations ; la première avec du cashless sans intermédiaires, qui convertit la monnaie scripturale en objet (exemple : jetons) et la seconde qui nécessite l’intervention d’un tiers qui est le prestataire. Dans le cadre de l’intervention d’un prestataire, il existe deux types de situation de mise en circulation du cashless : en circuit ouvert ou en circuit fermé.

Dans le cadre de circuit fermé, on parle soit d’encaissement pour tiers, où l’on a alors un vide juridique, soit de service paiement qui contraindrait les prestataires de cashless au droit bancaire. Il n’existe pas de situation globale pour régir et encadrer le cashless, et la réponse vient donc de l’Union Européenne par deux directives, qui permettent la création de deux statuts d’intermédiaires de paiement : Etablissement de Paiement ou Etablissement de Monnaie Electronique.

Les prestataires de cashless dérogent ainsi à ces directives et à ces statuts, en proposant leur service par l’intermédiaire de ces établissements, auxquels ils délèguent l’aspect financier de leur activité. Le droit n’offre pas de solution globale et générale de l’activité de cashless, car c’est une activité récente, et particulièrement protéiforme, dont les enjeux diffèrent selon sa mise en place. Cependant, quel que soit le degré de réglementation dont bénéficient les acteurs de cashless, il y a également des obligations, de déclaration auprès du CNIL, de sécurité.

Martin Rigot-Muller a repris les propos de Margaux Warin et a déclaré que « en tant que prestataires, nous sommes forcés de nous fier aux directives de paiement ». Les prestataires de cashless passent par des partenaires agrées Etablissements de Paiement ou Etablissements de Monnaie Electronique, pour pouvoir être en accord avec les lois.

« Ce qui est important c’est la sécurité des transactions, la sécurité des informations » a insisté Isabelle Chevallier, que ce soit pour l’organisateur, ses prestataires dans le cadre d’un circuit ouvert, ou bien le festivalier.

Concernant la mise en place du réseau, nécessaire au déploiement de la solution, les prestataires parlent de circuit fermé au niveau technique, c’est-à-dire que la mise en place du cashless se fait sans une  connexion à Internet extérieur, tout est réalisé de manière autonome, au niveau local. Les prestataires ont ainsi détaillé au niveau technique le fonctionnement et le déploiement de leurs technologies, de leurs supports (carte, bracelets, etc.), et différents types de déploiement de réseau en fonction des enjeux de sécurité et du contexte sur place.

Yvan Lebras a également insisté sur la mise en place du réseau et la sécurité du dispositif : « Ce qui est important pour nous en tant qu’organisateur, c’est d’avoir un dispositif cashless qui puisse fonctionner même en cas de coupure du réseau Internet. »

Il existe plusieurs risques en termes de support, de réseau, de logiciels ou de données. « Nous offrons des garanties contractuelles et nous avons un certificat EAL3+ qui atteste de la sécurité des transactions et de la fiabilité des données. » explique Isabelle Chevallier. Ce certificat s’obtient via des tests constants, aléatoires et sans être prévenu au préalable. Martin Rigot-Muller rappelle que l’encaissement des espèces, lors du chargement des supports, est géré uniquement par l’organisateur et non par les prestataires. De plus, en ce qui concerne la gestion des flux financiers, « aucune entité juridique n’est plus apte que les EP ou les EME pour effectuer de l’encaissement pour tiers et gérer les flux financiers ». Les prestataires sont également assurés en cas de soucis.

Yvan Lebras a ajouté : « Sur la première année, on s’est focalisé sur le matériel dont on avait le besoin, sur la mise en place du dispositif, et nous n’avons pas forcément abordé la partie juridique. Mais n’hésitez pas à demander un maximum d’informations et des documents qui justifient de la garantie légale. En tant qu’organisateurs, si votre prestataire n’est pas dans le cadre juridique, la responsabilité est aussi sur nous. »

Au niveau des puces, il existe différentes qualités de puces et différents degrés de cryptographie, qui permettent de protéger les supports de cashless de l’hacking. Les prestataires ont donc expliqué ces éléments : l’unicité et l’exclusivité de communication sont importantes pour lire la puce uniquement avec le propre logiciel du prestataire.

« Il y a la puce, qui est pour moi le degré de sécurité le moins important, mais la sécurité optimale va être assurée par le développement des applications, le hardware utilisé, l’interaction entre éléments. », explique Martin Rigot-Muller. A savoir, les prestataires ne fabriquent pas et ne fournissent pas les puces. « Le problème de la sécurité se situe au niveau du logiciel, plutôt qu’au niveau de la puce », insiste Isabelle Chevallier. Yvan Lebras a ajouté : « J’invite les organisateurs à récupérer des informations sur les puces utilisées. Ce sont des éléments qui sont très peu abordés, notamment en ce qui concerne les références de sécurité. […] Même si le risque d’hacking est très, très faible, cela vaut quand même le coup de s’intéresser au sujet. » Enfin, la question de la sécurité de la puce doit se poser en matière de qualité de puces et non de marque, et la sécurité dépend également de l’événement ou du lieu qui est équipé.

En ce qui concerne les normes de logiciels, et notamment des caisses enregistreuses, une norme NF 525 doit être appliquée. Cependant les prestataires font souvent appel à de la sous-traitance pour la partie caisse, ou peuvent mettre en place des caisses enregistreuses, non-propriétaires, mais répondant aux normes.

En ce qui concerne le réseau, Isabelle Chevallier rappelle que « online ne veut pas nécessairement dire que l’on est connecté à Internet, mais que l’on est connecté à un serveur central. » Ce système permet notamment, qu’en cas de baisse de réseau local, les supports et technologies puissent fonctionner de manière autonome, sans que cela n’interfère dans le bon fonctionnement des solutions.

Sur la partie des données, les données personnelles des spectateurs collectées par les prestataires appartiennent à l’organisateur, et c’est lui qui gère ces données avec la CNIL. De plus, les spectateurs ont l’opportunité de rester anonyme, et de ne rentrer aucune donnée : selon Yvan Lebras, il existe une vraie crainte de la part des festivaliers, de savoir que les organisateurs puissent récupérer des données comportementales.

Enfin, le cashless reste quelque chose de nouveau, mais la notion d’accompagnement n’est pas forcément évidente pour les organisateurs. « Nous avons encore peu de questions concernant la communication sur le cashless », explique Martin Rigot-Muller. L’adoption du cashless reste encore un changement majeur, qui nécessite beaucoup de pédagogie et de communication aussi bien envers les visiteurs que les équipes, avant, pendant et après l’événement.

« Pour une première année, il vaut mieux en faire trop : trop communiquer, commander trop de bracelets, ouvrir les banques de rechargement toute la durée de l’événement, etc. », rajoute Yvan Lebras, qui a ensuite expliqué la mise en place et le déploiement du dispositif cashless sur les Transmusicales. Il est difficile d’anticiper le rechargement en ligne ou sur place, et Yvan Lebras recommande de ne pas sous-estimer les bornes de rechargements, de mobiliser des équipes dédiées, pour éviter les queues sur le site. Aux Transmusicales, seulement 20% des festivaliers avaient préchargé en ligne, en amont du festival. De plus, il est important de voir la différence entre les chiffres et les statistiques données par les prestataires (augmentation des recettes de bars, nombre de bracelets distribués) et la réalité sur le terrain, unique sur chaque événement. « Le passage au cashless est très réussi. […] On y allait avec un peu d’appréhension au démarrage, mais maintenant nos équipes bar ne veulent plus passer au système d’avant. »,  conclue Yvan Lebras.

Vous pouvez (ré)écouter l’intégralité de la table-ronde :

Vous pouvez également télécharger le livre blanc « Le cashless mis à nu : réglementations et points de vigilance » ici.

Crédit photo : GaroCamp – Illustration / Captation audio : MyOpenTickets

Laisser un commentaire