19 juin 2019
– 3 min de lecture
Agnès Cheval
Si la mise en place de la DSP2 semble prendre l’apparence d’une querelle entre anciens et modernes – les banques contre les fintech – la réalité s’avère plus complexe…
Ouvrir à des tiers l’accès aux données et à l’initiation de paiement pour stimuler la concurrence tout en consolidant la sécurité des paiements. C’est l’ambition de la DSP2 (directive européenne sur les services de paiement) entrée en vigueur en janvier 2018 et dont la mise en œuvre est jalonnée par de grandes étapes définies dans les normes techniques et réglementaires (aussi appelées RTS), notamment sur les interfaces d’accès (API) et l’authentification forte.
Une première échéance est tombée le 14 mars 2019, date à laquelle les banques devaient avoir déployé un portail d’API afin de mettre à disposition la documentation et un bac à sable permettant aux TPP (Tiers Prestataires de Paiement) de les éprouver. Une autre suivra le 14 septembre 2019 avec l’ouverture officielle des APIs de production. Dans le contexte de tension entre fournisseurs d’API (teneurs de comptes) et consommateurs (nouveaux acteurs), cette échéance a relancé le débat sur la capacité des banques à respecter le calendrier…
La DSP2, une transformation lourde à marche forcée
Dans ces débats, un même coupable est souvent pointé du doigt : les banques. Qui complexifieraient la sécurité ou encore publieraient des API bien trop partielles pour être exploitables. La réalité est un peu plus… complexe. Et les enjeux ne peuvent se résumer à une querelle entre les anciens (les banques installées) et les modernes (les acteurs de la fintech). Rappelons que la DSP2 est un sujet plutôt nouveau, qui concerne « juste » la sécurité des paiements et la protection des données du client. Et comme pour toute transformation lourde, les acteurs impliqués découvrent en marchant les clarifications qui doivent encore être apportées.
Oui, les différents textes, de la directive aux RTS, ont bien posé des fondamentaux. Trois catégories ont été définies pour les fameux TPP (Tiers Prestataires de Paiement), des agrégateurs de comptes aux initiateurs de paiement en passant par les émetteurs de moyens de paiement.
Des obligations pour les tpp et les banques
Pour entrer dans le jeu, ces TPP doivent remplir des conditions : obtenir un agrément auprès d’une autorité nationale, un certificat (dit « eIDAS ») auprès d’une autre autorité ou encore renoncer (quand des API sont disponibles) au webscraping. Pour rappel, cette technique consiste à collecter les données à partir des sites de banque en ligne, en utilisant les identifiants et mots de passe des clients. Les banques pour leur part doivent respecter le calendrier de déploiement et mettre à disposition les API de production pour les trois catégories de TPP le 14 septembre prochain après avoir mis en ligne, en mars dernier, bac à sable (sandbox) et documentation.
Si les règles du jeu et le calendrier sont là, que manque-t-il ? Nous pourrions résumer en disant « des délais plus cohérents et des modalités plus précises ». À défaut, pour les TPP comme pour les banques, la route manque de lisibilité.
Quelques exemples pour comprendre :
- Globalement, le planning de l’autorité de régulation (ACPR, Autorité de Contrôle Prudentiel et de Résolution) a été publié fin décembre pour des actions à lancer mi-janvier et des mises en production mi-avril. Un planning plus que tendu.
- Sans surprise, dans ces délais les progiciels bancaires ne sont pas prêts pour intégrer les spécificités de la DSP2.
- Selon les prestataires impliqués, les certificats eIDAS ne pourraient entrer en production qu’au 3e trimestre. Compliqué dans ce contexte d’être prêt pour le 14 septembre.
- Pas simple non plus pour les TPP de suivre le rythme pour revoir leur mode d’accès aux données (passer du webscraping aux API) ou encore obtenir les certificats adéquats.
- Le Fallback et son exemption cristallisent aussi les critiques. Le « Fallback » désigne un mécanisme de secours en cas d’indisponibilité ou de mauvais fonctionnement des API. Les banques peuvent demander une dérogation à ce sujet. Mais le planning n’a pas été aligné en cohérence avec l’échéance 14 mars 2019 et le dossier à fournir demeure complexe. Le mécanisme de Fallback lui-même souffre d’imprécisions.
- Comment recueillir le consentement des clients ? Selon quel parcours ? En imposant une redirection vers l’établissement teneur de compte ? Évidemment, ce n’est pas du goût des TPP. Pour l’heure, même à l’échelle française, aucun consensus n’émerge vraiment sur le sujet.
- Le renouvellement de l’authentification ? Les RTS prévoient actuellement d’obliger les utilisateurs à se réauthentifier tous les 90 jours auprès de leurs banques. Les TPP estiment le mécanisme incompatible avec une expérience utilisateur digne de ce nom.
Gageons justement que cette expérience client, un peu perdue de vue au fil des textes réglementaires, devrait s’imposer comme l’alpha et l’oméga des discussions à venir. Et comme un objectif commun à l’ensemble des acteurs. Parce que chacun a autant à perdre qu’à gagner. Parce que, aussi, cette expérience dépend de business modèles à caler de part et d’autre.
Une certitude : la DSP2, sujet restructurant à l’échelle bancaire, appelle des investissements lourds dans des délais serrés. Et seule la coopération permettra à chacun d’y trouver des bénéfices – et pas seulement financiers –, en apportant au client final, les nouveaux services fluidifiant le paiement dans son parcours utilisateur.
