La seconde directive sur les services de paiements (DSP2) est entrée en vigueur le 13 janvier dernier. Pour Manon Balette-pape, associate director chez Redbridge, la nouvelle législation ouvre la voie à un changement profond des pratiques de paiement des consommateurs européens.
– Quels sont les grands enjeux de la nouvelle directive sur les services de paiements pour l’industrie bancaire et le monde des paiements en général ?
– Manon Balette-pape : Le marché des paiements a connu de profondes évolutions depuis l’adoption en 2007 de la première directive sur les services de paiements. L’utilisation croissante des paiements électroniques et mobiles, ainsi que le développement de services novateurs proposés par les fintechs, tels que l’agrégation de compte, rendaient nécessaire l’adoption d’une nouvelle réglementation européenne pour garantir la sécurité, protéger les consommateurs et préparer l’avenir.
Entrée en vigueur le 13 janvier 2018, la seconde directive sur les services de paiements (DSP2) répond à ces enjeux. Le texte vient notamment bousculer le secteur bancaire en fixant un cadre juridique favorable à l’apparition de nouveaux acteurs. Jusqu’à récemment, les banques avaient la main mise sur les informations liées aux comptes bancaires de leurs clients. La nouvelle réglementation oblige désormais les établissements teneurs de comptes à ouvrir l’accès de leurs systèmes d’information à des tiers via des interfaces (API) sécurisées et standardisées. Faute de quoi, les tiers pourront continuer à accéder à ces systèmes via le « screen scraping » (ie en utilisant les codes d’accès du client), un processus beaucoup moins sécurisé.
Aussi, contraintes de faire évoluer leurs infrastructures techniques et leurs protocoles sécuritaires, les banques doivent réfléchir à leur positionnement stratégique face à la révolution des paiements à l’œuvre. Ne rien faire reviendrait à accepter le risque de désintermédiation et de perte de connaissance du client. Certaines ont bien saisi les enjeux commerciaux et investissent dans les fintechs qui proposent les services de demain. C’est le cas du Crédit Agricole et du Crédit Mutuel Arkéa, deux acteurs présents au capital de Linxo depuis respectivement 2012 et 2015. D’autres les intègrent progressivement. Citons, parmi les acquisitions emblématiques, Boursorama et la start-up Fiduceo acquise en 2015, à l’origine des outils d’agrégation de compte.
– Et pour les commerçants ?
En matière de sécurité des transactions, le texte pose le principe de l’authentification forte systématique de l’utilisateur / payeur pour toute transaction d’un montant supérieur à 30 euros effectuée à distance (banque en ligne ou commerce électronique). Cette authentification forte repose sur l’utilisation de deux éléments ou plus parmi quelque chose que seul l’utilisateur connaît (code, mot de passe, numéro d’identification personnel), quelque chose que seul l’utilisateur possède (jeton, smart card, téléphone mobile) ou quelque chose d’inhérent à l’utilisateur (données biométriques).
Cette obligation pose un véritable défi aux commerçants, dont l’objectif est de fluidifier le parcours client, et ouvre un champ de recherche et d’innovation pour les acteurs du monde des paiements. Pour citer quelques exemples de l’avenir qui se prépare, Mastercard investit dans les solutions d’authentification biométriques, le GIE CB travaille à la modernisation du système 3D Secure. D’autres acteurs développent des outils statistiques de détection des transactions frauduleuses qui permettent de déroger à l’obligation d’authentification forte.
– Quelles sont les difficultés inhérentes à l’application de la DSP2 ?
– Pour l’heure, les standards techniques réglementaires (RTS) qui doivent préciser les exigences en matière d’authentification forte, de protection des données du consommateur ou encore de communication (API) entre les acteurs ne seront pas finalisés avant fin 2018. Cette situation pousse à l’attentisme, au risque pour les commerçants et les PSP d’avoir un système insuffisamment sécurisé. Par exemple, en attendant la publication de ces RTS pour l’agrégation de comptes et l’initiation de paiement, le screen scrapping reste en application. Pour limiter les risques, le gouvernement français a toutefois fait voter dernièrement un amendement à la DSP2, visant à rendre obligatoire les API dès lors qu’elles ont été développées par les banques.
– Et les avancées pour le consommateur ?
– Pour le consommateur, l’entrée en application de la directive va soutenir le développement de nouveaux services de paiement, moins chers, à l’image de l’allemand Sofort, qui dans le domaine du e-commerce initie une opération de paiement qui n’est pas liée à un paiement par carte bancaire – virement en l’occurrence.
Les agrégateurs de compte proposent aussi désormais de nouvelles fonctionnalités aux consommateurs, comme par exemple des conseils en optimisation financière et fiscale, allant même jusqu’à la souscription de produits d’assurance. Aujourd’hui ces nouveaux acteurs sont encore loin de la banque universelle, mais les initiatives se multiplient pour étendre leur périmètre d’action !