Sécurisation de données pour programmes de fidélisation de clientèle.
Domaine technique de l'invention L'invention se rapporte au domaine de la sécurisation de données informatiques, et concerne en particulier le domaine des équipements électroniques et informatiques pour la fidélisation d'une clientèle auprès d'au moins un groupe d'au moins un marchand.
Arrière-plan de l'invention
Pour fidéliser leur clientèle, les marchands ont souvent recours à des supports capables d'enregistrer les transactions faites avec leurs clients, pour les faire bénéficier d'avantages. Le montant et la nature des avantages dépendent de la stratégie de fidélité adoptée par les marchands et peuvent être fonction d'un nombre de transactions, d'un montant cumulé de dépenses, etc.
En général, les systèmes de fidélisation ont en commun un mécanisme capable d'enregistrer tout ou partie des données liées aux transactions des clients chez un marchand. Ces données incluent par exemple le prix de chaque article, le montant total de la transaction, le nombre d'articles, la référence de chaque article, etc. Ces données sont utilisées pour calculer un avantage offert à un client.
Les supports ou cartes de fidélité utilisés pour enregistrer les données, sont plus ou moins élaborés, allant d'une simple carte en papier tamponnée par le marchand à chaque transaction, aux cartes magnétiques.
De manière non exclusive, les données des transactions peuvent être conservées chez le marchand ou bien sur le support du client
Dans le cas où les données transactionnelles sont exclusivement stockées chez le marchand, la carte de fidélité sert à identifier les clients. La sécurité du système de fidélisation (en particulier la protection contre la fraude) est garantie par la sécurité du support de stockage sous-jacent utilisé par le marchand (par exemple une base de données informatique). Cependant, cette approche présente plusieurs inconvénients. Tout d'abord, la sécurité ne protège pas les clients contre des marchands malhonnêtes, qui pourraient par exemple supprimer des transactions afin de ne pas faire bénéficier leurs clients d'avantages qui leurs sont dus. De plus, il ne permet pas aux clients de connaître à tout instant l'état de leurs points de fidélité. Enfin, cette approche nécessite de la part du marchand la mise en oeuvre d'une infrastructure de fidélisation qui peut être complexe.
A l'inverse, le stockage des données transactionnelles sur un support possédé par le client ne nécessite pas la mise en place d'une infrastructure complexe chez le marchand et permet aux clients de connaître l'état de leurs points de fidélité. Toutefois, comme chaque marchand possède son propre système de carte de fidélité, les clients doivent nécessairement conserver une multitude de cartes de fidélité pour bénéficier des offres. Qui plus est, certains supports requièrent de la part du client la mémorisation d'un code d'accès (code PIN).
Du point de vue de la sécurité, il est nécessaire de garantir aux marchands l'authenticité des données transactionnelles. Dans le cas des supports papiers, l'utilisation d'un logo propre au marchand et d'un tampon garantissent une forme d'authenticité mais ces caractéristiques sont généralement simple à falsifier. Dans le cas des supports plus élaborés (cartes magnétiques par exemple), ce sont la dissimulation des structures de données et/ou Ses difficultés techniques de mise en oeuvre de fraudes qui garantissent la sécurité mais pas d'une manière suffisante.
Plusieurs travaux portent sur le concept de carte de fidélité électronique. A titre d'exemple, le brevet FR2810760 propose un système informatique pour la fidélisation de clientèle comprenant une pluralité de terminaux destinés à l'équipement des marchands, et une pluralité de cartes de fidélisation destinée aux clients. Les terminaux comportent une mémoire pour l'enregistrement d'un programme de fidélisation et des moyens d'enregistrement pour enregistrer des données correspondant à une opération commerciale dans la mémoire de la carte de fidélité.
Toutefois, ce système ne comporte pas une sécurité suffisante pour garantir aux marchands l'authenticité des données transactionnelles.
Les documents GB2397678 et EP0992924 proposent des schémas de cartes de fidélité sécurisées, mais les propriétés de sécurité ne portent que sur la confidentialité des données propres aux clients, contenues sur la carte, et ne garantissent pas la sécurité contre des fraudes possibles de la part des clients.
Le document US66549912 propose une structure de fichiers destinée au stockage des transactions sur tout type de carte de fidélité (portable, carte à puce, etc.). Seule la confidentialité des transactions est évoquée et mise en oeuvre à l'aide de mots de passe stockés directement sur la carte par le marchand. Les transactions sont donc seulement accessibles par ce dernier.
Le document FR2804228 ne propose pas un schéma sécurisé de carte de fidélité, mais seulement un procédé d'affichage des informations contenues sur une carte de fidélité pour permettre à un client de savoir quel est l'état de ses privilèges chez les marchands.
L'invention concerne donc un procédé d'enregistrement de données relatives à une transaction par le terminal d'un marchand sur un dispositif portable de fidélisation d'une clientèle auprès d'au moins un groupe d'au moins un marchand, ladite transaction étant enregistrée par
le terminal dudit marchand sur le dispositif portable, selon les étapes suivantes, mise en œuvre dans un ordre quelconque :
-un premier enregistrement correspondant à ladite transaction chiffrée avec une clé de chiffrement du client, et -un second enregistrement correspondant à ladite transaction chiffrée avec une clé de chiffrement associée audit groupe auquel appartient ledit marchand.
Ainsi, le procédé selon l'invention permet à un client d'utiliser le même dispositif portable de fidélité de manière sécurisée et universelle chez plusieurs marchands appartenant à au moins un groupe. En effet, le premier enregistrement permet de garantir que seul le client a accès à l'ensemble des transactions et le second enregistrement permet de garantir que seuls les marchands appartenant à un même groupe peuvent déchiffrer les transactions du client chez un partenaire. Avantageusement, le procédé comporte une signature de ladite transaction avec une clé privée de signature électronique associée audit marchand.
Ainsi, la signature de la transaction garantit l'authenticité, l'intégrité et la non répudiation des transactions. Ledit premier enregistrement est déchiffrable au moyen d'une clé de déchiffrement du client, et ledit second enregistrement est déchiffrable au moyen de ladite clé de chiffrement associée audit groupe auquel appartient ledit marchand.
Avantageusement, lesdites données relatives à la transaction comprennent une ou plusieurs informations choisies parmi l'ensemble des informations suivantes :
-un identifiant de la transaction permettant le non-cumul des avantages déjà octroyés au client,
-un identifiant du client pour éviter qu'un tiers ne bénéficie des avantages de manière illégitime,
-un identifiant du groupe de marchands permettant de garantir l'universalité de la fidélisation,
-un montant de la transaction permettant de mettre en œuvre des opérations de fidélisation en fonction du montant total dépensé par un client chez un marchand,
-une date de la transaction permettant de mettre en œuvre des avantages limités dans le temps,
-un marqueur permettant d'indiquer que le client a déjà bénéficié des avantages résultant de la transaction, ou que la transaction est non facturée, ou que la transaction a été annulée, et
-un identifiant de produit permettant d'organiser des opérations de fidélisation en fonction de produits particuliers.
Ainsi, les marchands et les clients sont protégés contre d'éventuelles fraudes perpétrées par des marchands ou des clients malhonnêtes. En outre, selon le marquage de la transaction, le dispositif portable de fidélité peut être utilisé comme un devis électronique ou un ticket de caisse fiables en plus de son utilisation comme une carte de fidélité.
L'invention vise aussi un procédé de lecture de données sécurisées relatives à des transactions enregistrées au moyen d'un procédé d'enregistrement de données sécurisées selon les caractéristiques ci-dessus et comportant les étapes suivantes :
-déchiffrement desdites données sécurisées au moyen de la clé de chiffrement associée audit groupe auquel appartient ledit marchand, et -vérification de l'authenticité desdites transactions au moyen de la clé publique de signature.
Selon un aspect particulier de l'invention, des données relatives à des transactions enregistrées sur le dispositif portable de fidélité sont fournies en entrée à un programme de fidélisation spécifique qui après
son exécution retourne les informations relatives aux avantages octroyés au client pour ces transactions.
Ainsi, un marchand qui participe à plusieurs partenariats distincts peut choisir le programme de fidélisatîon adéquat pour des transactions données.
L'invention vise aussi un système informatique d'enregistrement de données relatives à une transaction par le terminal d'un marchand sur un dispositif portable de fldélisation d'une clientèle auprès d'au moins un groupe d'au moins un marchand, le terminal du marchand étant destiné à enregistrer les données de ladite transaction sur un moyen de stockage du dispositif portable, via un premier canal de communication selon une structure de données comportant :
-un premier enregistrement correspondant à ladite transaction chiffrée avec une clé de chiffrement du client, -un second enregistrement correspondant à ladite transaction chiffrée avec une clé associée audit groupe auquel appartient ledit marchand.
Ainsi, le système selon l'invention est un système de fldélisation ayant un caractère universel et comporte des propriétés de sécurité. Avantageusement, ladite structure de données comporte une signature de ladite transaction avec une clé privée de signature électronique associée audit marchand.
Ainsi, le système comporte des propriétés d'authenticité pour les marchands et les clients. Avantageusement, le système comporte un dispositif auquel accède le terminal dudit marchand via un deuxième canal de communication, ledit dispositif stockant un identifiant dudit marchand et ses clés publique et privée de signatures électroniques.
Ainsi, l'identifiant et les clés publique et privée de signatures peuvent être stockées de manière simple, sécurisée, et non modifiable.
Le système comporte en outre un support de stockage connecté au terminal via un troisième canal de communication et stockant des clés de chiffrement partagées par les membres du groupe auquel appartient ledit marchand. Ainsi, les clés de chiffrement peuvent être partagées de manière simple et sécurisée entre plusieurs marchands appartenant à un même groupe.
En outre, le système peut comporter un distributeur de clés assurant la distribution desdites clés de chiffrement via un quatrième canal de communication.
Ainsi, les clés de chiffrement peuvent être distribuées de manière confidentielle et centralisée à tous les marchands.
Le système peut aussi comporter un serveur pour enregistrer la transaction et/ou les coordonnées chiffrées du client, ledit serveur étant connecté au terminal via un cinquième canal de communication.
Ainsi, la sécurité de la transaction est renforcée par un enregistrement supplémentaire et les coordonnées du client peuvent être utilisées de manière sécurisée et centralisée à des fins d'études commerciales ou des campagnes publicitaires. Le système peut aussi comporter un distributeur de programmes de fidélité connecté au terminal via un sixième canal de communication et destiné à distribuer les programmes de fidélisation.
Ainsi, les programmes de fidélité peuvent être distribués de manière uniforme et centralisée à chaque groupe de marchands selon la stratégie de fidélité adoptée par chaque groupe.
L'invention vise aussi un dispositif portable de fidélité pour un système informatique de fidélisation selon les caractéristiques ci-dessus et comportant un moyen de calcul cryptographique et un moyen de stockage destiné à stocker les données relatives à ladite transaction.
Ainsi, le dispositif portable de fidélité confère au système de fidélisation une grande simplicité de déploiement tant pour le client que pour le marchand.
Le dispositif comporte aussi une mémoire morte stockant un identifiant du client et des clés publique et privée de chiffrement du client et le moyen de stockage comporte en outre des données personnelles du client stockées de manière chiffrée avec la clé de chiffrement publique associée au client de sorte que l'accès à ces données personnelles soit soumis à l'autorisation dudit client au moyen d'un numéro d'identification personnel.
Ainsi, l'identifiant et les clés publique et privée de chiffrement du client sont stockées de manière simple, sécurisée, et non modifiable et les données personnelles du client sont protégées.
Avantageusement, le dispositif peut être utilisé comme une carte de fidélité, un devis électronique, ou un ticket de caisse selon une information de marquage comprise dans la transaction.
Ainsi, le dispositif de fidélité garantit l'authenticité et la non répudiation d'une proposition commerciale et d'un ticket de caisse fiable.
L'invention vise aussi un terminal pour l'enregistrement de données relatives à une transaction sur un dispositif portable de fidélisation d'une clientèle auprès d'au moins un groupe d'au moins un marchand, caractérisé en ce que ledit enregistrement est réalisé selon une structure de données comportant :
-un premier enregistrement correspondant à ladite transaction chiffrée avec une clé de chiffrement du client,
-un second enregistrement correspondant à ladite transaction chiffrée avec une clé associée audit groupe auquel appartient ledit marchand.
Avantageusement, ladite structure de données comporte une signature de ladite transaction avec une clé privée de signature électronique associée audit marchand.
L'invention vise également un programme d'ordinateur téléchargeable depuis un réseau de communication et/ou stocké sur un support lisible par ordinateur et/ou exécutable par un microprocesseur, caractérisé en ce qu'il comprend des instructions de codes de programme pour l'exécution des étapes du procédé d'enregistrement selon au moins l'une des caractéristiques ci-dessus, lorsqu'il est exécuté sur un ordinateur ou un microprocesseur.
Brève description des dessins
D'autres particularités et avantages de l'invention ressortiront à la lecture de la description faite, ci-après, à titre indicatif mais non limitatif, en référence aux dessins annexés, sur lesquels :
-la figure 1 illustre un exemple très schématique d'un système de fidélisation comportant un terminal et un dispositif portable de fidélité, selon l'invention, et
-la figure 2 illustre le système de fidélisation de la figure 1 comportant en outre des distributeurs de clés et de programmes de fidélité et un serveur.
Description détaillée de modes de réalisation
Conformément à l'invention, la figure 1 illustre un exemple très schématique d'un système informatique d'enregistrement de données relatives à une transaction par le terminal d'un marchand sur un dispositif portable de fidélité ou de fidélisation d'une clientèle auprès d'au moins un groupe d'au moins un marchand. En effet, le système de fidélisation est valable pour une pluralité de groupes et chaque groupe est défini par un partenariat particulier entre plusieurs marchands. Ainsi, un partenariat est
une opération de fidélisation organisée par un groupe de marchands, qui consiste à faire bénéficier les clients d'avantages valables chez l'ensemble des marchands de ce groupe. Un tel partenariat peut par exemple exister entre un coiffeur et un vendeur de produits de beauté. Par le biais des partenariats, l'invention prend aussi naturellement en compte le cas où des marchands font partie d'une même enseigne commerciale. Ceci permet à un client de bénéficier de ses avantages chez plusieurs marchands distincts qui appartiennent à la même enseigne commerciale.
Bien entendu, un marchand peut être membre de différents groupes distincts, et par ailleurs, un groupe peut être réduit à un seul marchand.
Le système informatique de fidélisation selon l'invention comporte une pluralité de terminaux 1 électroniques destinés à équiper les marchands et une pluralité de dispositifs 3 portables de fidélité destinés aux clients.
Le terminal 1 électronique d'un marchand appartenant audit au moins un groupe comporte une mémoire 5 pour l'enregistrement d'au moins un programme Pl, P2 de fidélisation et des moyens 7 de lecture, d'écriture et de traitement pour exécuter les programmes Pl, P2 de fidélisation. Un programme de fidélisation (ou de fidélité) est un programme informatique qui délivre une information relative à un avantage octroyé au client en fonction des transactions réalisées par le client auprès du marchand.
Ainsi, le programme de fidélité met en oeuvre une stratégie de fidélité propre au marchand ou au groupe de marchands, selon un ensemble de règles définissant les conditions pour bénéficier des avantages, leur nature et leur montant (par exemple 5% d'achat sur l'ensemble des dix derniers achats, ou un cadeau offert après cinq achats, etc.). Une stratégie de fidélité est fonction de plusieurs paramètres, tels
que le nombre de transactions, le montant cumulé des transactions, ou une durée de validité des transactions.
Bien entendu, un terminal 1 est capable d'exécuter plusieurs programmes Pl, P2 de fidélité, afin par exemple qu'un marchand qui participe à plusieurs partenariats distincts puisse choisir la stratégie de fidélité adéquate pour une transaction donnée.
Les moyens 7 de lecture, d'écriture et de traitement du terminal 1 électronique d'un marchand, permettent d'enregistrer la transaction entre le marchand et le client sur un moyen de stockage 9 du dispositif 3 portable de fidélité du client. En effet, le dispositif 3 portable de fidélité interagit avec le terminal 1 du marchand via un premier canal de communication Ll qui peut être électrique, magnétique, optique, radio, infrarouge, ou autre.
Des données relatives à chaque transaction sont enregistrées selon une structure de données sécurisées comportant un premier enregistrement chiffré de la transaction, un second enregistrement chiffré de la transaction, et avantageusement une signature de la transaction.
Le premier enregistrement correspond à la transaction chiffrée avec une clé de chiffrement publique Cl du client, le second enregistrement correspond à la transaction chiffrée avec une clé de chiffrement symétrique Ml associée au groupe auquel appartient le marchand, et la signature de la transaction est réalisée avec une clé privée de signature électronique M2 associée au marchand.
En outre, le premier enregistrement est déchiffrable au moyen d'une clé de déchiffrement privée C2 du client, le second enregistrement est déchiffrable au moyen de la clé de chiffrement symétrique Ml, et la signature est vérifiable au moyen d'une clé publique M3 correspondant à la clé privée de signature électronique M2.
Le chiffré de la transaction avec la clé Cl garantit que seul le client a accès à l'ensemble de ses transactions, qu'il peut déchiffrer à
l'aide de sa clé secrète C2. Le chiffré de la transaction avec la clé Ml garantit que seuls les marchands appartenant à un même groupe peuvent déchiffrer les transactions du client chez un partenaire (et uniquement ces transactions). Finalement, la signature de la transaction garantit l'authenticité de la transaction, c'est-à-dire qu'un client malhonnête ne peut pas forger une transaction factice.
Par ailleurs la transaction peut être considérée comme un /7-uplet pouvant comporter un identifiant du marchand (ou du groupe de marchands dans le cadre d'un partenariat), un identifiant du client, un identifiant de transaction, un identifiant de produit, un montant de la transaction, une date de la transaction, et un marqueur.
L'identité du marchand identifie de manière unique le marchand (ou le groupe de marchands) et garantit ainsi l'universalité du dispositif 3 portable de fidélité. L'identifiant du client identifie de manière unique le propriétaire du dispositif 3 portable de fidélité. La présence de l'identité du client dans chaque transaction empêche un client de transférer frauduleusement ses avantages à un tiers. L'identité du client dans chaque transaction enregistrée sur le dispositif 3 portable doit être la même que celle du propriétaire de ce dispositif 3 portable. Cette correspondance peut être vérifiée par le marchand au moment de faire bénéficier d'un avantage à un client.
La fonction de l'identifiant de transaction est d'empêcher un client de forger des achats factices en dupliquant les enregistrements des transactions. Les transactions enregistrées sur le dispositif 3 portable de fidélité, doivent au minimum différer par leur identifiant de transaction de sorte qu'une fraude peut être caractérisée par l'existence de deux transactions identiques. L'identifiant de transaction peut être une valeur affectée par le terminal 1 du marchand au moment de la transaction.
Cette valeur peut par exemple être gérée par un compteur incrémenté à chaque transaction (dépendant ou non de l'identité du client).
En variante, l'identifiant de transaction peut être remplacé par un nombre d'unités d'un même produit. Une fraude serait caractérisée par l'existence de transactions multiples du même produit, au même instant.
Ainsi, l'identifiant de transaction permet le non-cumul des avantages déjà octroyé au client.
La présence du montant dans une transaction permet de mettre en oeuvre des opérations de fldélisation qui consistent à faire bénéficier les clients d'avantages en fonction du montant total dépensé par le client chez un marchand. Les avantages qui sont fonction du nombre de transactions sont naturellement pris en charge par le dispositif 3 portable de fidélité.
La présence de la date dans la transaction permet de mettre en oeuvre des avantages limités dans le temps.
L'identifiant de produit ou d'une prestation permet d'organiser des opérations de fldélisation liées à des produits particuliers. Il peut s'agir du numéro présent sur les codes barres, par exemple, ou bien d'une chaîne de caractères descriptive. On notera que la présence de l'identité de la marchandise ne rend pas la présence du montant superflue. En effet, le montant d'une marchandise peut changer dans le temps. De plus, si le montant des transactions reposait uniquement sur l'identité des marchandises, les marchands seraient contraints de posséder une infrastructure complexe enregistrant l'historique de l'évolution du prix de chaque marchandise.
La fonction du marqueur est d'indiquer les transactions qui ont été utilisées par un client pour bénéficier d'avantages. Sa présence dans les transactions empêche un client de modifier ses transactions de manière à bénéficier d'avantages plusieurs fois de manière illégitime.
Le marqueur peut aussi être utilisé pour marquer les transactions qui sont des devis (c'est-à-dire qui ne sont pas encore facturées) et les transactions annulées. La signification des marquages peut être indiquée par une table de codes (par exemple : 0 = avantage utilisé, 1 = devis, 2 = transaction annulée). Ainsi, selon le marquage de la transaction, le dispositif portable 3 de fidélité peut être utilisé comme un devis électronique fiable ou un ticket de caisse fiable en plus de son utilisation comme une carte de fidélité.
Alors, chaque client doit être propriétaire d'un dispositif portable 3 de fidélité muni d'une puce capable d'effectuer des calculs cryptographiques assurant les propriétés de sécurité du système de fidélité. Ainsi, en plus du moyen de stockage 9 destiné à stocker l'enregistrement de la transaction, le dispositif portable 3 de fidélité comporte un moyen de calcul cryptographique 11 et un moyen de mémoire (par exemple une mémoire morte 13) pour stocker de manière non modifiable les clés publique et privée Cl, C2 de chiffrement du client ainsi que l'identifiant du client.
Par ailleurs, on notera que le moyen de stockage 9 peut aussi comporter des données personnelles du propriétaire du dispositif portable 3 de fidélité qui sont chiffrées à l'aide de sa clé publique Cl. L'accès à ces données est ainsi soumis à l'autorisation du client, par exemple par l'intermédiaire d'un numéro d'identification personnel (PIN).
Le dispositif portable 3 de fidélité peut être une carte à puce, un téléphone mobile, un assistant personnel, ou n'importe quel autre équipement comportant un moyen de calcul cryptographique et un moyen de stockage.
On notera que dans le cas où le dispositif portable 3 de fidélité est une carte à puce, le terminal 1 doit être muni d'un lecteur de carte. Cependant, dans le cas où le dispositif portable 3 de fidélité est un téléphone mobile, le terminal 1 peut par exemple être équipé d'un
périphérique de type Bluetooth pour communiquer avec ce dispositif portable 3.
Avantageusement, la puce du dispositif portable 3 de fidélité comporte un moyen de protection (physique ou logique) accordant au client seulement un droit de lecture sur le moyen de stockage 9 de transactions et interdisant au marchand de supprimer des données contenues dans ce moyen de stockage 9 de transactions.
Selon une mise en oeuvre particulière de l'invention, le client ne peut pas modifier les données inscrites sur le moyen de stockage 9 des transactions si chacune de ces données est numérotée (une donnée étant une nouvelle transaction ou un avantage consommé) et si le marchand garde en mémoire, pour chaque client, le numéro de la dernière donnée inscrite. En utilisant ce mécanisme, une autre mise en oeuvre particulière de l'invention consiste à faire signer par le client, au moyen d'une clé de signature électronique, chacune des transactions inscrites par le marchand, empêchant ainsi ce dernier de supprimer des données de manière frauduleuse.
En outre, le système de fidélisation comporte un dispositif 15 à circuit intégré (par exemple une carte à puce) auquel accède le terminal 1 d'un marchand via un deuxième canal L2 de communication (lecture fllaire, optique, radio, infrarouge, magnétique, etc.). Ce dispositif 15 à circuit intégré est destiné à stocker de manière sécurisée et non modifiable les clés publique et privée de signatures électroniques M2, M3 du marchand ainsi que l'identifiant du marchand (ou groupe de marchands).
De plus, le système de fidélisation comporte un support de stockage 17 sécurisé connecté au terminal 1 d'un marchand via un troisième canal L3 sécurisé de communication et stockant les clés de chiffrement symétriques Ml partagées par les groupes auxquels appartient le marchand.
La figure 2 montre que le système de fidélisation peut comporter en outre un distributeur 19 de clés assurant la distribution des clés de chiffrement symétriques Ml via un quatrième canal L4 de communication. Selon cette modalité, la distribution des clés de chiffrement dans le cas de partenariats ou d'enseignes est assurée par ce distributeur 19 de clés de confiance, via un quelconque canal de communication sécurisé.
En variante, le terminal 1 électronique de l'un des membres d'un groupe de marchands comporte un moyen de production (non représenté) destiné à générer une clé de chiffrement symétrique Ml, puis à la transmettre de manière sécurisée aux autres membres du partenariat. Une autre possibilité serait un calcul conjoint et sécurisé de la clé de chiffrement symétrique Ml par l'ensemble des membres du groupe de marchands. Selon une mise en oeuvre particulière de l'invention, le terminal
1 du marchand peut être connecté via un cinquième canal sécurisé L5 de communication à un serveur 21 chargé d'enregistrer les transactions et éventuellement les coordonnées des clients. Ces coordonnées qui proviennent du client sont communiquées de manière chiffrée et leur accès est soumis à l'accord du client, par l'intermédiaire d'un code PIN. Les coordonnées des clients peuvent être utilisées à des fins d'études marketing ou des campagnes publicitaires personnalisées.
En outre, le système de fidélisation comporte un distributeur 23 de programmes Pl, P2, P3 connecté au terminal 1 via un sixième canal L6 de communication et destiné à distribuer les programmes de fidélisation qui sont chargés dans la mémoire du terminal 1. Le cas échéant, les fonctions de distribution de clés de chiffrement et de distribution de programmes de fidélités peuvent être assurées par une même entité.
Les programmes de fidélité Pl, P2, P3 sont exécutés à chaque transaction, à la demande d'un client souhaitant bénéficier de ses avantages, ou bien encore à l'initiative du marchand.
Les paramètres nécessaires à la mise en oeuvre de n'importe quelle stratégie de fidélité peuvent se ramener aux seules données stockées sur le dispositif portable 3 de fidélité.
Pour faire bénéficier un client d'un avantage au moment d'une ou plusieurs transactions, le marchand exécute un programme de fidélité chargé dans son terminal 1. Les transactions valables enregistrées sur le dispositif portable 3 de fidélité sont fournies en entrée au programme de fldélisation spécifique qui après son exécution retourne des informations relatives aux avantages octroyés au client pour ces transactions.
En effet, le programme de fidélité obtient les transactions effectuées chez le marchand ou un de ses partenaires en déchiffrant les enregistrements stockés sur le dispositif portable 3 grâce à la clé de chiffrement symétrique Ml du marchand. Ensuite, le programme de fidélité vérifie l'authenticité des transactions grâce à Ia clé publique de signature électronique du marchand M3. Après la vérification, le programme de fidélité sélectionne les transactions valables, c'est-à-dire celles qui n'ont pas été marquées comme déjà utilisées pour faire bénéficier d'un avantage au client. Les transactions valables pour lesquelles le client souhaite bénéficier d'un avantage sont fournies comme paramètres d'entrée au programme qui met en œuvre la stratégie de fldélisation et qui en retour donne le montant de l'avantage. Les nouvelles transactions sont chiffrées, signées et enregistrées sur le dispositif portable 3 de fidélité et le cas échéant, les transactions antécédentes utilisées pour bénéficier de l'avantage sont marquées, chiffrées et signées.
A titre d'exemple, considérons un marchand appliquant une stratégie de fidélité qui consiste à faire bénéficier ses clients d'une réduction égale à 20% des dépenses cumulées passées datant de moins
d'un an. La réduction s'applique sur le prix d'un article choisi par le client (ces 20% ne pouvant excéder le prix de l'article en question).
On suppose que le marchand a préalablement téléchargé sur son terminal 1 le programme de fidélité Pl, P2, P3 mettant en oeuvre cette stratégie.
Considérons alors un client ayant déjà acheté trois articles chez ce marchand les six derniers mois. Au moment d'acheter son quatrième article, le client souhaite bénéficier de l'avantage auquel il a droit. Le client présente le dispositif portable 3 de fidélité au marchand. Le terminal 1 de ce dernier tente de déchiffrer chacune des transactions du dispositif portable 3 de fidélité en utilisant une clé de chiffrement symétrique Ml du marchand uniquement, en effet, la stratégie de fidélité porte sur les achats faits chez ce marchand exclusivement (si le marchand avait été partenaire d'autres marchands, le terminal aurait utilisé la clé de chiffrement idoine, sur indication du marchand).
Le terminal du marchand vérifie ensuite l'authenticité des transactions grâce à la clé publique de signature M3 du marchand, à l'aide d'un protocole de vérification de signature.
L'étape suivante pour le terminal 1 consiste à sélectionner les transactions « éligibles » pour calculer l'avantage, en l'occurrence les dépenses de moins d'un an et n'ayant pas déjà été utilisées pour bénéficier d'un avantage. Une fois cette liste de transaction extraite, le terminal 1 calcule 20% de la somme des dépenses.
Une fois la remise effectuée sur le nouvel article, les trois articles utilisés pour bénéficier de l'avantage sont marqués comme invalides afin d'empêcher le client de les réutiliser ultérieurement. Ces modifications sont chiffrées et signées.
A son tour, le nouvel achat est enregistré sur le dispositif portable 3 de fidélité, signé et chiffré.
On rappelle que les transactions sont stockées en deux versions. Une version correspond à la transaction chiffrée avec la clé publique du client pour lui permettre de consulter tous ses achats. L'autre version correspond à la transaction chiffrée avec une clé de chiffrement choisie par le marchand (la sienne ou une partagée avec des partenaires d'un même groupe).
A tout moment, le client peut consulter l'ensemble des transactions qui sont enregistrées sur le dispositif portable 3 de fidélité. Ainsi, un client peut consulter les avantages dont il peut bénéficier avant de se rendre chez un marchand.
Le client peut disposer par exemple d'un terminal d'affichage pour accéder et afficher les transactions enregistrées sur son dispositif portable 3 de fidélité. Sur demande du terminal d'affichage et après autorisation du client par exemple, par l'intermédiaire d'un code PIN, le dispositif portable 3 de fidélité déchiffre les transactions préalablement chiffrées avec la clé publique du client et les renvoie au terminal d'affichage, qui les affiche.
Dans le cas où le dispositif portable 3 de fidélité est mis en oeuvre à l'aide d'un téléphone mobile, ce dernier peut faire aussi office de terminal. Dans le cas où le dispositif portable 3 de fidélité est une carte à puce, un terminal d'affichage dédié est nécessaire. Il peut alors s'agir d'un périphérique relié à un assistant personnel ou un ordinateur personnel, ou bien encore un lecteur de carte doté d'un écran.
Dans le cas où le dispositif portable 3 de fidélité est utilisé comme un devis électronique, le client se présente chez un premier marchand. Le marchand signe et chiffre une proposition commerciale (une transaction) pour un article ou une prestation spécifique. Cet article ou cette prestation est marqué comme n'étant pas encore facturé, afin qu'un client ne fasse passer un devis de manière frauduleuse pour une transaction effectuée. Le devis est enfin enregistré sur le dispositif
portable 3 de fidélité. Le client peut ainsi prouver l'authenticité de l'offre chez un commerçant concurrent. Pour ce faire, le client consulte l'offre faite par le premier commerçant à l'aide de son terminal de visualisation et la présente au second commerçant. Ainsi, le devis électronique garantit aux marchands l'authenticité de propositions commerciales concurrentes faites aux clients en cas de négociation et aux clients, la non répudiation d'une proposition commerciale faite par un marchand.
Par ailleurs, pour utiliser le dispositif portable 3 de fidélité comme un ticket de caisse électronique fiable, le client présente son dispositif portable 3 au marchand à qui il souhaite par exemple rapporter un article. Comme dans le cas d'un achat, le terminal 1 du marchand accède aux transactions enregistrées sur le dispositif portable 3 de fidélité du client. Le marchand est sûr de l'authenticité de ces achats, puisqu'il les a signés lors de la transaction. Si le marchand accepte le retour de l'article, la transaction est marquée comme étant annulée. Ainsi, le ticket de caisse électronique, garantit aux marchands l'authenticité de leur propre identité dans les transactions enregistrées sur le dispositif portable 3 et aux clients la non répudiation d'un achat par un marchand de mauvaise foi. Ainsi, la présente invention propose un procédé, système et dispositif de fidélisation universels permettant de mettre en œuvre n'importe quelle stratégie de fidélisation. L'utilisation des dispositifs portables de fidélité possédés par les clients confère une grande simplicité de déploiement, tant pour le client que pour le marchand. Les marchands ont seulement besoin d'un terminal capable de lire les transactions stockées sur le dispositif du client qui peut prendre la forme, par exemple, d'une carte à puce, d'un téléphone portable, ou de tout autre dispositif mobile de sécurité.
En outre, le dispositif portable de fidélité peut aussi être utilisé comme un ticket de caisse ou comme un devis.
De plus, toute transaction est dotée de propriétés de sécurité
(authentification des achats, non-cumul des avantages, non répudiation des transactions par un marchand, confidentialité des transactions et confidentialité des données personnelles) protégeant à la fois les marchands et les clients contre les fraudes.
On notera que les étapes du procédé d'enregistrement selon l'invention peuvent être exécutées par des instructions de codes d'un programme d'ordinateur lorsqu'il est exécuté sur un ordinateur ou un microprocesseur. Ce programme d'ordinateur peut être téléchargé depuis un réseau de communication et/ou stocké sur un support lisible par ordinateur.