À peine le premier défi du RGPD relevé qu’un nouveau émerge déjà, qui pourrait s’avérer encore plus complexe : la DSP2, seconde directive européenne sur les services de paiement qui a pour objectif de favoriser l’innovation dans ces services. Arnaud Gallut, General Manager de Ping Identity France, fait le point sur les enjeux.
Après des mois d’inquiétude et d’incertitude, l’échéance inexorable de la mise en application du RGPD au 25 mai 2018 a forcé les entreprises à s’interroger sur la conformité de leurs procédures. Le règlement représente un changement fondamental et bon nombre d’organisations sont encore loin de répondre en tous points à ses exigences. Cependant, toutes ont pris conscience de la valeur des données qu’elles manipulent, ou du moins des responsabilités qui en découlent.
Du côté des établissements bancaires européens en revanche, la ligne d’horizon réglementaire n’est pas encore tout à fait dégagée. À peine ce premier défi relevé qu’un nouveau émerge déjà, qui pourrait s’avérer encore plus complexe : la DSP2. La seconde directive européenne sur les services de paiement a pour objectif de favoriser l’innovation dans ces services, tout en les rendant plus sûrs et moins chers. Pour ce faire, elle rend notamment obligatoire l’authentification forte du client (SCA) pour les paiements en ligne de plus de 30 euros et ouvre la voie à un accès plus large aux données bancaires. En effet, les banques auront l’obligation de collaborer avec de nouveaux prestataires de services, appelés PSP tiers pour prestataires de services de paiement tiers, en leur donnant accès aux informations des clients pour lesquels elles tiennent des comptes de paiement – s’ils y consentent, évidemment.
Entrée en vigueur le 13 janvier dernier, la DSP2 n’est pas encore tout à fait devenue réalité. Certaines dispositions, dont celles qui concernent l’accès aux données et font l’objet d’un véritable bras de fer entre banques et startups de la Fintech, ne seront mises en place qu’en septembre 2019.
La réglementation, une affaire d’interprétation ?
Si la RGPD et la DSP2 n’évoquent pas grand-chose pour le consommateur lambda, elles sont pourtant sources de nombreuses avancées. Au-delà des questions de confidentialité, la DSP2 ouvre la voie à des nouveaux services de paiements, sans transiger sur la sécurité, alors que les banques françaises n’ont pas toujours été des plus aventureuses sur ce terrain. Et pour cause : elles savent que toute nouvelle aventure comporte des risques, et la DSP2 ne fait pas exception.
Le plus important défi de la directive réside dans le décalage entre les attentes de ces fameux nouveaux entrants et les informations que les banques doivent mettre à leur disposition dans le cadre de la loi. Avec la DSP2, les clients pourront utiliser leur banque en ligne soit directement, comme ils le font aujourd’hui, soit indirectement en passant par un initiateur pour émettre un ordre de paiement, ou un agrégateur pour consulter leurs opérations et soldes. Ces services existaient déjà en Europe mais jusqu’à présent, les initiateurs et les agrégateurs accédaient aux comptes bancaires de leurs clients en usant de méthodes comme le screen scraping, qui consiste à accéder aux données d’un client d’une banque en utilisant les codes d’accès de ce dernier. La DSP2 va obliger les banques à partager ces informations via des interfaces de programmation applicative (API) qui devront être sécurisées, ce qui n’est pas toujours une évidence, permettant à ces entreprises tierces d’accéder aux données bancaires, et ce de manière sécurisée.
Plus les API sont nombreuses, plus les initiateurs et agrégateurs ont accès à des informations riches, mieux ils seront à même de développer des services à forte valeur ajoutée pour les utilisateurs. Cependant, les textes qui encadrent les nouvelles obligations des établissements bancaires ne stipulent pas toujours avec précision quels jeux de données doivent être partagés, laissant place à une certaine marge d’interprétation. Evidemment, les banques, qui développement également des nouveaux services pour faire face à la concurrence, ne sont pas encore tout à fait prêtes à ouvrir grand les portes de leurs immenses bases de données.
Prenons l’exemple de l’authentification forte du client, demandée par la DSP2. Pour chaque paiement qui s’inscrit dans le cadre de la DSP2, et dépasse donc 30 euros, elle requiert de la part du client une confirmation que la transaction peut être effectuée. Une étape qui inquiète les acteurs du e-commerce et les services de paiement tiers, qui y voient un risque de perte de clientèle. Cependant, il existe de nombreuses exceptions à cette règle, notamment lorsque le paiement est effectué vers un bénéficiaire de confiance. Beaucoup de tiers réclament la mise en place d’un scénario de “validation en un clic”, à partir du moment où le destinataire du paiement a été désigné comme un bénéficiaire de confiance. Mais la DSP2 donne le choix aux banques de valider ou non les exceptions à cette règle de confirmation des transactions.
Transparence et collaboration, une aubaine pour le consommateur, mais aussi pour les banques
Heureusement, les banques françaises n’en sont pas à leur première évolution règlementaire et savent que celles-ci peuvent être synonymes d’opportunités, à condition de jouer le jeu. Elles avaient donc largement anticipé l’entrée en vigueur de la DSP2 et plusieurs ont d’ores et déjà référencé un grand nombre d’API. En parallèle, elles ont bien compris qu’il ne tient qu’à elles de limiter le risque associé à l’arrivée de nouveaux concurrents, en menant l’innovation.
Pour cela, elles peuvent transformer leurs concurrents en alliés et s’associer avec des startups de la Fintech ou tirer profit directement des changements introduits par la DSP2. Par exemple, les banques pourraient devenir elles-mêmes des agrégateurs de comptes en exploitant les API publiées par leurs concurrents. Il deviendrait alors possible pour un client d’avoir une vision d’ensemble de ses comptes, quel que soit l’établissement où ils sont ouverts, depuis une application mise à disposition par sa banque principale. Le même raisonnement pourrait être appliqué pour les moyens de paiement.
Nul doute que les banques qui choisiront d’aborder la DSP2 comme une évolution stratégique globale vers un environnement bancaire ouvert plutôt qu’une simple évolution réglementaire vont prendre une longueur d’avance. La DSP2 marque le début d’une nouvelle ère bancaire, en Europe mais plus largement au niveau international. Elle a le potentiel de transformer une industrie à qui l’on a souvent reproché son manque d’innovation, sans pour autant transiger sur les questions de sécurité et de confidentialité qui sont primordiales dans le rapport entre les organismes financiers et leurs clients.