DSP2 : Des opportunités à saisir dans un marché plus innovant et plus concurrentiel

Article paru le 2 février 2018 | Partager sur les réseaux sociaux

Classé dans : Banque, Finance

La deuxième directive européenne sur les services de paiements - entrée en vigueur ce 13 janvier 2018 - vise à promouvoir la concurrence sur le marché européen des paiements d’une part et d’autre part à définir un cadre réglementaire pour les relations entre établissements bancaires et Fintechs. Ces dernières se sont en effet développées de façon rapide ces dix dernières années offrant des services innovants aux consommateurs mais soulevant aussi de nouvelles questions en termes de régulation du secteur et de protection des données personnelles.

Principes de la directive

Principale mesure du texte, la directive reconnaît et définit un statut pour deux nouveaux types d’acteurs sur le marché :

  • Les prestataires de services de paiement (ou PIS – Payment initiation services) qui permettent aux utilisateurs de demander à un tiers de réaliser des opérations de paiement en leur nom auprès de leur banque (cas du service Paylib)
  • Les prestataires de services sur le compte (ou AIS – Account information services) qui permettent par exemple aux consommateurs disposant de plusieurs comptes bancaires de bénéficier d’une vision consolidée sur une interface unique (cas du service Linxo). D’autres exemples de services incluent la proposition d’un plan d’épargne pour réaliser un projet ou encore le calcul d’un score de crédit afin d’identifier les meilleures offres de prêts du marché.

La directive instaure ainsi un modèle d’Open Banking et vise à mettre fin à la pratique actuelle du « Scraping » (i.e. le fait pour le client de donner ses codes d’accès bancaires à une Fintech afin de bénéficier de ses services, la Fintech se connecte au système d’information de la Banque et récupère à l’aide d’un robot l’ensemble des données du client).

En lieu et place, un système plus sécurisé d’API (Application programming interface) s’imposera désormais aux acteurs et le Scraping devrait être interdit à l’horizon de Septembre 2019. Mises à disposition par les établissements bancaires, ces API sont attendues au moins six mois avant cette échéance afin de permettre une phase de tests et de double run.

Par ailleurs, les nouveaux prestataires reconnus seront désormais soumis aux mêmes normes de réglementation et de surveillance que tous les autres établissements. Des agréments auprès de l’ACPR leurs seront exigés : le PISP pour les initiateurs de paiements et l’AISP pour les agrégateurs de comptes.

L’authentification forte

L’authentification forte est une autre mesure majeure de la DSP2, elle est basée sur une identification de l’utilisateur avec au moins deux éléments parmi les trois suivants : « ce que je sais », « ce que je suis » et « ce que je possède ».

La consultation des comptes, l’ajout de bénéficiaires, les paiements en ligne, la création de virements permanents et les autorisations de prélèvements feront l’objet d’une authentification forte. Les paiements inférieurs à un certain montant ou les virements à une liste pré-validée de bénéficiaires « fiables » ne sont quant à eux pas soumis à ce mode d’authentification.

Au-delà des procédures existantes d’envoi d’un code PIN par SMS ou d’un mot de passe à usage unique, d’autres moyens innovants d’authentification seront utilisés à l’avenir. On peut citer notamment la biométrie classique (validation de l’identité de l’utilisateur, par empreintes digitales par exemple) ou comportementale (détection des fraudes grâce à une intelligence artificielle en exploitant des données telles que la géo-localisation, le périphérique utilisé, l’objet du paiement ou même la façon de manipuler l’écran tactile ou la souris).

Le Big Data sera aussi de plus en plus utilisé dans l’analyse de risques afin de reconnaître certaines opérations sûres ne nécessitant pas d’authentification forte et ainsi alléger le parcours client tout en garantissant la sécurité des transactions.

Evolution des business modèles

Pour les établissements bancaires, le risque est de perdre le monopole de la connaissance du client sur leurs métiers, ils doivent donc prendre les devants en proposant eux-mêmes les services innovants que les utilisateurs attendent.

Néanmoins, le nouveau modèle induit par la DPS2 peut également présenter un intérêt en procurant une nouvelle source de revenus : la vente de données.

Les acteurs non-bancaires tels que les GAFA sont de leur côté intéressés par l’utilisation des API bancaires afin de collecter plus d’informations sur les clients en général. Les données de consommation bancaire sont en effet très utiles car elles fournissent des indications détaillées du comportement d’achat des individus.

Par ailleurs, les e-commerçants ou les plateformes de type AirBnB pourront demander et obtenir le rôle de « prestataire de service de paiement » afin d’intégrer ce service à leurs applications comme le fait déjà Uber.

Enfin, et même si le champ d’application de la DSP2 se limite aux comptes de paiement (les comptes d’épargne et les comptes-titres ne sont pas concernés), les Fintechs qui sont souvent aujourd’hui spécialisées dans un seul segment y voient une grande opportunité de se diversifier et de se développer : un agrégateur de comptes peut ainsi intégrer directement des services additionnels de paiement par exemple.

mc²i Groupe accompagne plusieurs établissements bancaires français dans leur transformation digitale et assure une veille permanente des évolutions réglementaires ainsi que des innovations technologiques du secteur.

Partagez cet article sur les réseaux sociaux