Article co-écrit avec Marine Bauchère, consultante senior, Ghislain Boulnois, senior manager et Alice Georget, senior manager.

Il y a un an précisément, la Directive sur les Paiements n°2 (DSP2) entrait en vigueur avec une promesse : ouvrir l’ère de l’Open Banking en favorisant la concurrence. Un an après, le monde des services financiers déchante un peu : l’ouverture promise ne semble pas être vraiment au rendez-vous, et la DSP2 alourdirait le parcours client et tendrait à brider les activités des nouveaux acteurs du marché, de l’agrégateur de compte à l’initiateur de paiement. La DSP2 ne serait-elle qu’un cadeau empoisonné ?

DSP2 : de quoi s’agit-il ?

Entrée en vigueur le 13 janvier 2018, la DSP2 régule les nouveaux acteurs du paiement. Son objectif : mieux protéger les clients dans un contexte de cyber criminalité accrue, où les fraudes et usurpations d’identité se multiplient, et favoriser l’innovation, la concurrence et l’efficience du marché. A noter que cette directive ne porte que sur les comptes de paiement (les comptes épargne ne sont pas concernés).

Elle porte sur 3 sujets majeurs :

1. Communication sécurisée entre les banques et les Third Party Provider (TPP), tels que les agrégateurs de comptes et initiateurs de paiements (entre en vigueur au 14 septembre 2019). Les banques devront ainsi développer des API mettant à disposition des TPP les données de paiement de leurs clients.

2. Authentification forte pour la consultation des comptes et opérations engageantes (entre en vigueur au 14 septembre 2019) :

> L’authentification forte est la combinaison de deux éléments d’authentification indépendants l’un de l’autre parmi les trois catégories suivantes :

 – Possession : Ex. Smartphone / carte SIM / Clé physique…
 – Connaissance : Ex. mot de passe / date de naissance d’un tiers / nom du chien…
 – Inhérence (biométrie) : Ex. reconnaissance faciale / vocale / empreintes digitales …

> L’authentification forte sera dorénavant nécessaire pour accéder aux comptes de paiement et les partager avec des tiers ; ainsi que pour réaliser des opérations dites « engageantes » tels que les virements par exemple, hors exemptions.

> Le client devra renouveler tous les 3 mois son authentification forte pour accéder à ses comptes.

3. Le renforcement des droits des consommateurs : remboursement sans délai des opérations contestées, interdiction des surfacturations, abaissement de la franchise payée par le client en cas de paiement frauduleux…

Un manque d’harmonisation à l’échelle européenne et une interprétation « a minima » de la réglementation

Pour les Fintech, la DSP2 devait être synonyme d’ouverture massive du marché aux données bancaires. Or le texte européen ainsi que ses règles d’application ont laissé une part importante à l’interprétation. Conséquence : une absence d’harmonisation de la mise en œuvre de la DSP2 au niveau européen et des travaux importants de lobbying auprès des autorités françaises et européennes.

La France a opté pour une mise en place « à minima » de la DSP2 : les agrégateurs et initiateurs de paiement devront se plier aux solutions d’authentification forte proposées par chaque banque, et n’auront pas accès à la liste des bénéficiaires « de confiance » du client, limitant a priori la gamme de services qu’ils peuvent proposer.

Agrégateurs de comptes et initiateurs de paiement : une expérience client qui se complexifie et perd en fluidité

Les agrégateurs de comptes, tels que Bankin, Budget Insight ou encore Linxo, proposent à leurs clients d’agréger, au sein d’une interface unique, l’ensemble de leurs comptes bancaires (de paiement et d’épargne). Aujourd’hui l’expérience client proposée est simple et rapide : un client peut agréger ses comptes et initier des paiements en quelques clics en fournissant ses identifiants de connexion et mot de passe permettant d’accéder à ses comptes bancaires depuis sa banque en ligne.

Avec l’entrée en vigueur le 14 septembre 2019 de l’authentification forte, les choses risquent de se complexifier quelque peu… Désormais, des dispositifs d’authentification forte seront mis en place pour chaque banque agrégée et seront à renouveler tous les trois mois. A noter que ces authentifications seront propres à chaque partenaire et opérations, et se cumuleront donc pour le client. Résultat : une expérience client plus complexe et un risque de perte de clientèle pour les agrégateurs de comptes.


 

Les pure players spécialisés dans l’initiation de paiement (MyBank, Slimpay, Trustly, Sofort, WorldPay…) seront également touchés par la DSP2 et rencontreront les mêmes obstacles que les agrégateurs de compte.

Pour les banques : complexité technique et projets couteux

Si la DSP2 a permis une prise de conscience de la part des banques françaises de la dérégulation de leur marché et de la nécessité d’offrir à leurs clients des interfaces plus agréables ainsi que de nouveaux services d’agrégation de compte, elle présente également de forts enjeux financiers et organisationnels.

La mise en conformité DSP2 représente en effet pour chacune des banques française un chantier de plusieurs dizaines de millions d’euros. Si certaines banques utilisent d’ores-et-déjà des API internes, elles doivent aujourd’hui « API-ser » vers l’extérieur leurs systèmes d’information et organiser les phases de tests avec les futurs utilisateurs de leurs API. Si certaines grandes banques françaises commencent à sortir la première version de leur API et à les faire tester par des TPP de la place, d’autres ne seront probablement pas prêtes à exposer les API de DSP2 pour l’échéance réglementaire.

Autre challenge pour les banques : développer les dispositifs d’authentification forte des clients, les mettre en œuvre et préparer les plans de conduite du changement auprès des clients.

Enfin, elles doivent depuis janvier 2018 intégrer les impacts organisationnels de cette nouvelle réglementation : mise en place de nouveaux reportings (notamment sur les connexions des TPP via les API), modification des outils de gestion de la fraude et mise en place de nouveaux processus (mise en place d’obligations en termes de service client, remboursements, analyses à postériori, gestion réclamations…).

La DSP2 ne sera finalement pas forcément le catalyseur d’innovation que nous attendions. Elle sera peut-être même un frein au développement de nouveaux services des nouveaux acteurs du marché. En stimulant l’innovation des banques traditionnelles, en complexifiant l’expérience client des services proposés par les nouveaux acteurs, et compte-tenu de la réticence latente des français au partage de leurs données, elle a réduit le marché des nouveaux acteurs BtoC. 

Néanmoins, la DSP2 a ouvert de nouvelles perspectives. D’abord, le développement pour les nouveaux acteurs de nombreux cas d’usages BtoB, ouvrant de nouveaux marchés pour les agrégateurs et pour leurs clients potentiels. Ensuite, une accélération de l’innovation pour fluidifier les solutions et parcours d’authentification forte. Enfin, la directive a permis aux acteurs traditionnels de prendre davantage conscience de la nécessité de mieux gérer et exploiter les données clients.