DSP2: le Hold-Up des banques ?

DSP 2 promettait d’accélérer l’innovation sur le marché des services bancaires tout en renforçant les droits du consommateur ainsi que la sécurité de ses données financières dans un contexte d’augmentation de la cybercriminalité. L’objectif affiché était également une harmonisation des règles et des usages au sein du marché européen afin de renforcer son poids et son dynamisme. Alors que la date butoir de respect de ses standards techniques approche à grands pas, quelles sont les principales conséquences de la mise en application de DSP2 ?

Les dates clés :

3 années après la publication du texte, suite à un long travail de transposition nationale, de définition des standards techniques puis d’interprétation de ces derniers par la place, les impacts concrets de DSP 2 (Directive sur les Services de Paiement) paraissent clairement définis.

 

Les principaux impacts de DSP 2:

  • Mise à disposition d’API d’Open Banking par les banques d’ici le 14 septembre 2019.

–          L’établissement teneur de comptes doit donner aux TPP (Third Party Provider) accès à la totalité des données relatives aux comptes de paiement disponibles via ses interfaces utilisateurs (applications mobiles et site web), ainsi qu’à l’ensemble des opérations de paiement qu’elles permettent.

–          Pour agréger les données des comptes de paiement ou initier des services de paiement, les TPP utilisent aujourd’hui la technologie du web-scrapping, consistant à se connecter aux interfaces utilisateurs via l’identifiant et le mot de passe du client pour récolter les données ou initier une opération. Afin d’assurer la sécurisation des communications, les banques devront mettre leurs données à disposition des TPP via des API (Application Programming Interface). Celles-ci offrent un lien sécurisé entre le « core banking system » de l’établissement teneur de comptes et l’application utilisateur du TPP.

  • Mise en place de l’authentification multifactorielle au 14 septembre 2019.

–          Pour accéder aux comptes de paiement et effectuer des opérations, 2 des 3 facteurs suivants devront être vérifiés:

o   Possession: ce que le client détient (carte bancaire, téléphone mobile…)

o   Connaissance : ce que l’utilisateur sait (mot de passe, code, date de naissance…)

o   Inhérence: ce que le client est (essentiellement biométrie)

–          Ainsi, la traditionnelle carte de paiement accompagnée d’un code confidentiel respecte la nouvelle norme. Plus innovant, le contrôle d’une empreinte digitale renseignée sur un mobile reconnu comme appartenant à l’utilisateur est également conforme. Par contre, la procédure d’authentification utilisée en France pour les paiements en ligne, 3D Secure, ne respecte pas les conditions. En effet, elle repose uniquement sur la possession d’une carte bancaire et du téléphone mobile sur lequel on reçoit le code confidentiel à usage unique.

–          Afin d’assurer un équilibre optimal entre sécurité et fluidité des transactions financières, le régulateur a défini des exemptions à l’authentification multifactorielle : paiement à soi-même, paiement de faible montant (inférieur à 30€), tiers de confiance, paiement récurrent…

  • Renforcement des droits du consommateur, entré en vigueur en janvier 2018.

–          Le plafond de la franchise client en cas de paiement frauduleux passe de 150 à 50 euros et le remboursement devra se faire immédiatement.

–          Les banques devront répondre aux plaintes dans la limite de 15 jours ouvrables.

–          La surfacturation des paiements par carte sera interdite.

 

Pour les FinTech, une douloureuse mise à niveau des standards réglementaires du secteur doublée d’un parcours client entravé.

Si DSP 2 donne une légitimité réglementaire aux TPP, celle-ci s’acquiert au prix fort pour les nouveaux entrants.
Ils doivent désormais structurer leur dispositif de gestion des risques et de contrôle interne afin d’obtenir   l’agrément en tant que prestataire de service de paiement auprès de l’ACPR. Il est cohérent que les nouveaux entrants rejoignent les standards du secteur. En effet, en termes de contrôle des risques, l’ensemble de la chaîne de valeur serait mis en péril par l’intervention d’un acteur soumis à des normes moins exigeantes.
Les FinTechs ne sont pas structurées pour affronter une longue période de mise œuvre ainsi que l’incertitude propre à une phase prolongée de flou réglementaire. Par conséquent, les ressources allouées au suivi de l’évolution de la réglementation n‘ont pas été utilisées pour faire ce que les FinTechs font de mieux : élaborer et développer des produits innovants.

Le choix du régulateur de définir des exigences réglementaires plutôt que des standards techniques établis défavorise les TPP.

Sa première conséquence est la multiplication des standards nationaux, cassant le développement d’une interopérabilité au niveau européen. Pour se développer, les TPP devront alors être capables de « connecter » leurs technologies à différents standards d’API. Et cela s’ajoute aux contraintes techniques qui devraient s’imposer aux API, et limiter le champs d’action des TPP, en ne permettant pas des conditions d’accès aux données et services de paiement identiques à celles du web-scrapping. Preuve de l’appréhension du régulateur, les textes prévoient l’obligation pour les banques de proposer une solution de repli en cas de limitation des API, celle-ci étant le recours à la technologie actuelle : le web-scrapping…
Sur le même registre, le manque de visibilité quant aux modalités de la reconnaissance multifactorielle leur est préjudiciable.

La seconde conséquence de ce choix est la large place laissée à l’interprétation.  En France, la Fédération Bancaire Française semble avoir nettement gagné cette guerre en imposant une vision restrictive des RTS (Regulatory Technical Standards). Ainsi, l’obligation pour le consommateur de repasser par l’interface de sa banque tous les 3 mois pour « subir » une authentification forte alourdit considérablement le parcours client qui constitue aujourd’hui le principal atout des TPP. La situation devient ubuesque pour les clients d’agrégateur de comptes qui devront refaire une « tournée » de l’ensemble de leurs applications bancaires tous les 3 mois pour continuer à utiliser le service.
Une limitation des services que pourront finalement offrir les TPP est aussi à prévoir. Ainsi, seules les banques devraient pouvoir définir la liste des bénéficiaires de confiance de leurs clients. De plus, le champ des données ouvertes aux TPP sera limité. Par exemple, certaines banques ne veulent pas transmettre l’IBAN, qu’elles jugent trop sensible pour être partagé avec leurs concurrents.

 

Pour les acteurs traditionnels, DSP2 reste un enjeu organisationnel et d’infrastructure IT majeur.

La mise en place d’API sont des projets très coûteux pour les banques. Celles-ci supportent ce coût pour mettre à disposition de leurs partenaires, mais également de leurs concurrents, l’une de leurs principales ressources : la donnée client.

De nombreux changements organisationnels sont également à opérer afin de tourner leur production de données vers l’extérieur. Ainsi, les établissements teneurs de comptes devront être en mesure de restreindre l’accès des TPP aux seules éléments autorisés par le client. Leurs processus et développements IT doivent de plus être capables d’appliquer la révocation de cette autorisation à tout moment et sur le périmètre de données concerné. Les processus de la banque sont également lourdement impactés par le renforcement des droits du consommateur. A titre d’exemple, l’obligation de rembourser les opérations frauduleuses au plus tard un jour ouvré après notification est un réel challenge opérationnel, de même que celle de réponse écrite aux plaintes dans une limité de 15 jours ouvrés.

Enfin, l’authentification multi-facteurs devant se faire auprès des établissements teneurs de comptes, ils seront en première ligne pour sa mise en place, avec en gage le développement des solutions et la responsabilité de la conduite du changement auprès du consommateur.

 

Si DSP 2 renforce bien la protection du client, elle le fait au prix de l’expérience utilisateur. Les nouveaux entrants qui en avaient fait leur avantage compétitif sont alors mis en difficulté et l’innovation en ressort freinée.
Cependant, bien que les banques aient réussi à orienter l’application de la réglementation à leur avantage, cette dernière a le mérite d’avoir provoqué une prise de conscience parmi les acteurs traditionnels, en faveur d’une meilleure gestion et utilisation de la donnée afin d’améliorer la création de valeur pour les clients, que ce soit par l’expérience utilisateur ou les services offerts.
A plus long terme, en imposant l’«APIsation » des établissements teneurs de comptes, DSP 2 établit les bases technologiques d’un potentiel d’innovation sans précédent au sein de l’écosystème des services bancaires.