Cet article appartient au dossier : Captives financières : évolution dans la continuité.

Services

SI : des offres modulables pour les établissements de paiement

Afin de répondre aux besoins spécifiques des établissements de paiement français, SAB a packagé son offre, qui est distribuée en mode SaaS, et permet à de nouveaux entrants de lier leurs coûts informatiques à leur niveau d'activité.

illustration 1

L'auteur

Pour en savoir plus

image
  • illustration 2

    illustration 2

Revue de l'article

Cet article est extrait de
Banque & Stratégie n°332

Captives financières : évolution dans la continuité

Dans quelles proportions SAB intervient-il auprès d'établissements de paiement ou de monnaie électronique ?

Aujourd'hui, sur le marché français, interviennent des filiales de grands groupes et des indépendants. Ils profitent des directives européennes [1] la possibilité à toute entreprise de créer un établissement sur un modèle économique qui vise à fournir des services de paiement ou de monnaie électronique.

Le marché français est important en Europe : plus de 200 établissements de paiement exercent leur activité dans l'Hexagone. La grande majorité d'entre eux viennent de Grande-Bretagne, qui compte plus de 300 établissements de ce type, le Royaume-Uni étant le pays européen qui a délivré le plus d'agréments. Les établissements utilisent ensuite le passeport européen pour étendre leurs activités au reste du continent.

À ce jour, nous équipons sept établissements de paiement agréés en France, sur un total d'environ d'une trentaine environ. Cela représente pour nous un marché de croissance qui, au vu des contrats en cours de négociation, est appelé à se développer encore davantage.

Nous avons pu packager notre offre à ce marché spécifique. Nous avons isolé les modules de notre core-banking qui intéressent notre cible, dont les besoins sont moins complexes que ceux de notre clientèle « habituelle » d'établissements de crédit. Nous avons également complété l'offre en proposant le service en mode SaaS [2], c'est-à-dire de traiter l'hébergement informatique et la maintenance.

Comment expliquez-vous cette prééminence des établissements d'origine britannique sur ce secteur ?

Le marché y est certainement plus mature. Sans doute, également, les conditions d'agrément sont-elles différentes par rapport à la France. En France, le processus d'agrément d'un établissement est proche de celui d'un nouvel établissement de crédit.

En outre, les établissements étrangers demeurent soumis au contrôle de leur autorité de contrôle nationale, même pour l'activité exercée en France.

Quelle est la typologie de vos clients ?

C2A [3] et Compte Nickel sont plutôt indépendants et proposent un modèle d’offre ou de distribution innovant. Les autres sociétés, comme Système U, S-Money ou Outre-Mer Télécom, font partie de groupes, grande distribution, banque ou opérateur télécom. Dans cet univers, Brink’s se situe à part.

Pourquoi la Brink's a-t-elle créé un établissement de paiement ?

En se dotant d'un établissement de paiement, Brink's entend élargir son offre de services fiduciaires aux banques. Le partenariat mis en place avec SAB lui permet en effet de mutualiser la collecte et la redistribution des fonds à destination des guichets automatiques de banques, de centraliser les commandes de la Banque de France, et d'optimiser le circuit de recyclage des billets.

Quelles sont les spécificités de ces établissements ?

Tout d'abord, cette frange de notre clientèle ne s'intéresse qu'à la partie « services de paiement », qui est strictement encadrée par le Code monétaire et financier. Leur activité concerne donc uniquement les versements et retraits d'espèces, les prélèvements et virements, la transmission de fonds et, enfin, l'émission et l'acquisition de cartes. Ils ne gèrent pas de mandat postal, de chèque, d'épargne ou de crédits…

De quelle manière avez-vous adapté votre produit pour qu'il réponde à ces besoins spécifiques ?

Grâce à notre offre modulaire, nous avons isolé les modules correspondant à leur activité et développé un paramétrage « standard ». Bien entendu, nos clients ont besoin de tenir une comptabilité et de produire un reporting réglementaire ; nous avons également inclus cette partie dans la version standard. Cela constitue un système d'information relativement simple, mais complet.

Compte tenu de leur statut d'établissement de paiement, ces sociétés ne peuvent pas faire de placement, ce qui les oblige à tenir des comptes de cantonnement auprès d'acteurs bancaires. Certaines banques en ont d'ailleurs fait une spécialité, à l'instar d'Arkéa Banking Services ou Natixis, avec lesquels nous avons développé les interfaces nécessaires pour leur permettre de gérer ces comptes.

Comment avez-vous conçu l'offre tarifaire associée ?

Le mode SaaS apporte un plus non négligeable : il nous permet de développer des offres tarifaires qui tiennent compte du niveau d'activité. Le Compte Nickel a par exemple bénéficié d'une tarification liée au nombre de transactions cartes ; des seuils doivent être franchis pour changer de tarif, ce qui est assez confortable dans le cadre d'une création d'activité. Ces jeunes structures peuvent ainsi maîtriser les coûts informatiques.

La même unité d'œuvre de tarification a-t-elle été retenue pour tous vos clients ?

Le choix de l'unité d'œuvre (UO) de tarification est défini client par client et par typologie d'activité. Le nombre de transactions cartes a été retenu pour C2A, ce qui est logique, compte tenu du fait qu'à l'instar du Compte Nickel, son business model repose sur les cartes. Pour Système U, nous sommes sur la volumétrie des flux…

Est-ce que ce mode de gestion SaaS est jugé intéressant par vos clients ou bien préfèrent-ils une gestion plus « internalisée » ?

Tous ont fait le choix du mode Saas, à l'exception d'Outre-Mer Télécom, qui a néanmoins infogéré sa solution. Le mode SaaS permet de payer à la consommation, tant les licences que l'hébergement informatique. Il n'y a donc pas d'investissement mais uniquement des charges récurrentes qui dépendent de la volumétrie d'unités d'œuvre.

Qu'est-ce que cette externalisation implique comme contraintes, notamment en termes de contrôle ?

Dès lors que ces établissements externalisent l'informatique ou le back-office, l'ACPR exige – parce que ce sont des prestations essentielles ou importantes pour le régulateur – que les contrats qui nous lient à ces clients obéissent à un certain nombre de standards et de facilités de contrôle par les établissements de ces prestations. Par exemple l'ACPR, avant de délivrer l'agrément à ces nouveaux établissements, a demandé à ce que les contrats lui soient fournis pour valider que les possibilités de contrôle soient bien formulées et prévues.

Nous avons donc largement adapté nos contrats à ce type d'exigences. Acheter un progiciel bancaire est un acte important qui retient l'attention du régulateur. Y associer une prestation d'hébergement informatique est une étape supplémentaire qui met en jeu des aspects liés à la sécurité, en particulier la sécurité des données.

Concrètement, sur quels aspects porte le contrôle de ces prestations informatiques externalisées ?

Tout type d'audit est contractuellement possible. Mais le contrôle s'exerce surtout avec un certain nombre d'indicateurs de contrôle que nous définissons avec nos clients, mesurons et pilotons via des comités de suivi de la prestation. Il s'agit d'indicateurs classiques dans le monde informatique : pourcentage de disponibilité du système, délai de résolution des incidents, pourcentage de réussite des sauvegardes… Si ces indicateurs ne sont pas atteints, nous pouvons être amenés à payer des pénalités, et nous devons présenter des plans d'action pour corriger et améliorer le dispositif et le système.

Jusqu'où va l'externalisation des services ?

Avec ces clients, la comptabilité et les déclarations réglementaires ont été fréquemment externalisées. Ces établissements ne connaissent pas forcément le domaine de la banque ; recruter des spécialistes, compte tenu des volumes, n'est donc pas systématiquement envisagé. C'est la raison pour laquelle, avec notre filiale, SAB Conseil, ou avec des partenaires comme Deloitte, nous avons proposé l'externalisation de la comptabilité et du reporting réglementaire. Ils nous confient donc la production des états comptables, fiscaux et réglementaires.

La fonction conformité est-elle externalisée ?

Nos clients ont plutôt fait le choix de nommer un responsable conformité en interne.

Quels sont les responsables auxquels vous avez affaire et quelles sont leurs compétences ?

Ce sont souvent des interlocuteurs qui ne sont pas issus du milieu bancaire et peu habitués aux obligations réglementaires. Malgré l'automatisation croissante, les contrôles métier restent nécessaires. Cela se traduit pour nous par une sollicitation très forte des équipes SaaS sur des sujets qui ne sont pas informatiques.

Sont-ils étonnés par le poids du réglementaire ?

Ils sont étonnés par la charge et par l'évolution constante de la réglementation. Les années 2013 et 2014 ont été denses de ce point de vue : SEPA, SURFI, etc.

Quels sont les principaux développements qui ont fait évoluer votre produit en 2014 ?

Les développements les plus importants de 2014 n’ont pas été du fait d’une évolution réglementaire ; ils ont été liés aux travaux de mise en conformité PCI DSS [4], une norme mise en place par le secteur économique de la carte bancaire, notamment par les acteurs de type Mastercard ou Visa, et destinée à lutter contre la cybercriminalité et réduire la fraude sur la carte bancaire.

Cette norme permet de protéger les données des titulaires de cartes et s’applique à toute organisation qui stocke, transmet ou traite ces données, au travers d’exigences organisationnelles et techniques. Mastercard l’impose aux nouveaux entrants.

Est-ce que vous constatez des évolutions technologiques importantes ?

Nous avons avancé très rapidement sur les aspects liés à la digitalisation. Ces clients sont des utilisateurs avertis des nouvelles technologies et souhaitent en faire bénéficier leurs clients. Nous nous devons de fournir régulièrement des évolutions sur ces sujets.

Ces clients nous demandent également de pouvoir effectuer des transactions en temps réel, ce qui n'est pas une demande de la part des banques classiques. Ils ont aussi besoin d'un éditeur qui avance vite, au rythme de leur modèle, et qui soit innovant, voire disruptif. La technologie est pour eux un atout concurrentiel important.

Bien sûr, nos enrichissements viennent ensuite améliorer les versions que nous proposons à nos autres clients. À ce titre, ce sont des clients moteurs.

Quelles sont vos perspectives sur ce marché ?

Outre le fait que notre tarification est variable, et fonction du niveau d'activité, nous devons faire face à un surcoût lié encore une fois au respect de la réglementation : en effet, l'ACPR impose une étanchéité totale des données entre les établissements pour des raisons de sécurité. Notre mode « Saas » a donc quelques limites de ce point de vue et nous ne pouvons pas tout mutualiser.

Nous avons des atouts et un véritable acquis à présent sur ce marché qui nous permet de rester optimistes sur le développement.

 

Propos recueillis par A.M. et E.C.

[1] Directive Services de paiements, DSP, transposée en France en 2009 ; directive Monnaie électronique, DME2, transposée en France en 2013.

[2] Software as a Service.

[3] C2A, Compagnie de l’Arc Atlantique, est une société de gestion de notes de frais créée en 2010.

[4] Le Payment Card Industry Data Security Standard (PCI DSS) est un standard de sécurité des données pour les industries de carte de paiement créé par le comité PCI SSC pour les plus importantes entreprises de carte de débit et crédit. Il s'agit d'un guide de 12 règlements qui aident les entreprises émettrices de cartes de paiement à protéger leurs données et à prévenir les fraudes.

 

Sommaire du dossier

Captives financières : évolution dans la continuité

Articles du(des) même(s) auteur(s)

Sur le même sujet