Le cabinet Deloitte décrypte les impacts de la seconde directive européenne sur les services de paiement (DSP2) sur les Fintech, les banques et leurs clients.
Entrée en vigueur pour partie le 13 janvier 2018, la DSP2 poursuit un double objectif : mieux protéger les clients dans un contexte de cybercriminalité accrue, puis favoriser la concurrence et l’innovation entre les acteurs du paiement. Mais alors que ce texte annonçait l’avènement de l’Open Banking, il semblerait bien que son effet premier soit d’alourdir le parcours client et de brider les activités des nouveaux acteurs du marché.
La DSP2 : une intention louable
La nouvelle directive sur les services de paiement aborde trois sujets majeurs. Tout d’abord, les banques doivent mettre à disposition des Third Party Provider (agrégateurs de comptes, initiateurs de paiement…) les données de paiement de leurs clients via le développement d’API spécifiques. Ensuite, pour la consultation des comptes et l’initiation de paiements de plus de 30 euros en ligne et 50 euros en boutique, ainsi que pour réaliser des opérations engageantes, une authentification forte et une donnée biométrique sera désormais nécessaire. Enfin, les droits des consommateurs sont renforcés avec par exemple, l’interdiction des surfacturations en cas de paiements par carte.
Des risques prévisibles pour les agrégateurs de comptes et les initiateurs de paiement
Budget Insight, Linxo ou encore Bankin’ sont ce que l’on appelle des agrégateurs de comptes : ils permettent à leurs clients d’agréger, au sein d’une interface unique, l’ensemble de leurs comptes bancaires. Les initiateurs de paiement comme MyBank, SlimPay, Trustly ou encore Sofort, proposent quant à eux des processus pour simplifier les émissions de paiement, un service particulièrement utile en matière de e-commerce, qui facilite les transactions.
A partir du 14 septembre 2019, la DSP2 imposera une sécurisation de l’accès aux comptes et de l’initiation de paiements, ajoutant de nouvelles étapes d’authentification forte pour chaque banque agrégée, à renouveler tous les trois mois. Cet ajout risque de freiner fortement le développement de nouveaux services et représentera un risque réel de perte de clientèle pour ces acteurs.
De plus, alors que la nouvelle directive devait être synonyme d’ouverture massive du marché aux données bancaires, le texte laisse une grande part à l’interprétation. On note en effet une absence d’harmonisation concernant la mise en œuvre de la DSP2 au niveau européen, tandis que la France l’envisage a minima, ce qui obligerait les Fintech à se plier aux solutions d’authentification forte proposées par chaque banque, avec des parcours plus ou moins fluides.
En outre, ces acteurs ne devraient pas pouvoir modifier la liste des bénéficiaires dits de confiance du client, limitant a priori la gamme de services qu’ils pourront proposer. La réglementation aux comptes de paiement, enfin, sera sans doute conscrite, sans volonté majeure de la part des banques françaises d’élargir le périmètre des API exposées aux tiers.
Une mise en conformité contraignante pour les banques
Les établissements bancaires sont également confrontés à un certain nombre de difficultés. Depuis janvier 2018, ils intègrent les impacts organisationnels de la DSP2, avec l’ajout de reportings, la modification des outils de gestion et la mise en place de nouveaux processus.
Cette mise en conformité complexe va encore se densifier en septembre 2019, avec l’ouverture à des tiers d’une partie de leur système d’information. Les banques doivent APIser et ouvrir à l’extérieur ce système, puis organiser des phases de tests avec les futurs consommateurs des API.
Si toutes ont déjà engagé cette démarche, nombreuses sont celles qui ne seront probablement pas prêtes au moment de l’échéance réglementaire. Enfin, les établissements doivent développer les dispositifs d’authentification forte, les mettre en œuvre et préparer les plans de conduite du changement auprès des clients.