16 avril 2018
– 2 min de lecture
Grégoire Jahan
Eric Richard
Directeur Paiements & Cash Management
A l’aube de la « période transitoire » qui s’ouvre le 13 janvier, avec l’entrée en vigueur de la directive DSP2, on a un peu le sentiment de pénétrer en territoire inconnu !
Jusqu’ici, la communauté des paiements s’est concentrée sur la cible des normes techniques sous la conduite de l’Autorité Bancaire Européenne et plus particulièrement sur le débat entre API et « Web Scraping ».
A trop regarder la cible de mi-2019, en aurait-elle oublié les exigences à respecter dès le 13 janvier 2018 ?
En effet, c’est bien dès janvier que débute la « période transitoire » prévue à l’article 115 de la Directive, entre la prise d’effet de la DSP2 transposée en droit national et l’application, mi-2019, des normes techniques de réglementation concernant l’authentification et la communication (RTS SCA & CSC).
Certains travaux sont en cours pour préparer cette échéance, tels que :
- L’information du client, notamment la mise à jour des conventions de comptes et contrats cartes,
- La mise en place et la diffusion de la procédure de réclamation, avec des exigences resserrées de délai et de complétude de réponse et la révision de la franchise (50€ au lieu de 150€),
- La mise à jour des tarifs (gratuité des demandes de recherche…) et la gestion partagée des frais entre Prestataires de Paiements,
- Le monitoring des incidents et le reporting à la Banque de France sur les incidents majeurs,
- L’information du client en cas d’incident susceptible d’avoir des répercussions sur ses intérêts financiers…
Toutefois, il sera compliqué de respecter les exigences de janvier sans remise en cause ou adaptation du « web scraping », actuellement utilisé par les Agrégateurs et Initiateurs de Paiement :
Comment concilier cette solution, basée sur l’appel aux sites de Banque en Ligne des Gestionnaires de Comptes, et les exigences de Janvier ?
- Sécuriser les données de sécurité personnalisées de l’utilisateur (identification / authentification),
- Limiter l’accès aux informations provenant des comptes de paiement uniquement,
- Identifier le Prestataire de Paiements dans les échanges avec le Gestionnaire de Compte.
Les solutions ont certes déjà été discutées dans la communauté, au cœur même des débats sur les RTS SCA & CSC (Open API ou « Web Scraping sécurisé »), mais elles ne s’imposeront aux acteurs que dans 18 mois…
Alors, quelle sera la stratégie des acteurs à partir du 13 janvier ?
C’est donc bien une part d’incertitude qui plane sur la période transitoire, avec sur le fond, la question de l’attitude choisie par les acteurs, Banques et Fintech :
- Tolérance et anticipation de la mise en œuvre des solutions discutées, sans attendre l’échéance réglementaire des normes techniques ?
- Ou affrontement sur la base des exigences non respectées ?
Les décideurs y répondront, sans doute en revenant à l’esprit de la Directive : créer les conditions d’un nouveau marché, avec de nouveaux services rendus possibles par l’apport de tous les acteurs, dans le respect des conditions de sécurité et de protection pour l’utilisateur.
ls devraient alors y voir de nouveaux territoires à conquérir et privilégier l’initiative, la créativité et la capacité d’adaptation. En un mot : l’esprit de conquête !