Communiqué de presse (15/01/2019)
Entrée en vigueur pour partie le 13 janvier 2018, la Directive sur les Paiements n°2 doit permettre d’atteindre un double objectif : mieux protéger les clients dans un contexte de cybercriminalité accrue, où fraudes et usurpations d’identité se multiplient, mais aussi favoriser l’innovation, la concurrence entre les acteurs du paiement et l’efficience du marché. Alors que la DSP2 annonçait l’avènement de l’Open Banking, il semblerait bien que ses effets puissent être d’abord d’alourdir le parcours clients et de brider les activités des nouveaux acteurs du marché, de l’agrégateur de compte à l’initiateur de paiement.
La DSP2 : une intention louable
La nouvelle Directive Européenne sur les Paiements adresse 3 sujets majeurs pour les acteurs du paiement, anciens comme nouveaux :
1/ Les banques doivent mettre à disposition des Third Party Provider (agrégateurs de comptes, initiateurs de paiements…), via le développement d’API spécifique, les données de paiements de leurs clients.
2/ Pour la consultation des comptes et l’initiation de paiements de plus de 30 € en ligne et de 50 € en boutique, ainsi que pour réaliser des opérations engageantes, une authentification forte, c’est-à-dire combinant au moins deux facteurs entre un code/mot de passe, un appareil possédé (smartphone, carte SIM, clé physique…) et une donnée biométrique (reconnaissance facile, vocale, empreintes digitales) sera désormais nécessaire. Celle-ci devra par ailleurs être renouvelée tous les 3 mois par l’utilisateur pour la consultation des comptes et des opérations.
3/ Les droits des consommateurs sont renforcés avec : l’interdiction des surfacturations en cas de paiement par carte de débit ou de crédit, l’abaissement de 150 à 50 € de la franchise payée par le client en cas de paiement frauduleux par carte et des délais de remboursement raccourcis…
Actuellement, seul le renforcement de la protection des droits des consommateurs est entré en application. Les autres dispositions et notamment l’accès aux données par des acteurs tiers, ainsi que l’authentification forte pour l’accès aux comptes ne seront obligatoires qu’à partir du 14 septembre 2019. Et ce sont elles qui risquent d’être les plus handicapantes pour un certain nombre d’acteurs du marché.
Des risques prévisibles pour les agrégateurs et les initiateurs de paiement
Budget Insight, Linxo ou encore Bankin sont ce que l’on appelle des agrégateurs de compte, ils permettent à leurs clients d’agréger, au sein d’une interface unique, l’ensemble de leurs comptes bancaires, de paiements comme d’épargne. L’utilité de ce service est de faciliter la gestion de son budget au quotidien via, notamment, des fonctionnalités de catégorisation de dépenses et de calcul de solde prévisionnel. Certains offrent également des fonctionnalités d’initiation de paiement, autorisant des virements entre comptes agrégés sur l’application sans passer par l’interface de la banque. Globalement, l’expérience client est simple et rapide. Tout se passe en quelques clics après que l’utilisateur ait fourni ses identifiants de connexion et son mot de passe.
Il en va de même pour les initiateurs de paiement tels que MyBank, Slimpay, Trustly ou encore Sofort qui proposent aujourd’hui des processus efficaces, simplifiant considérablement les émissions d’ordre de paiement. Un service qui se révèle notamment fort utile pour le e-commerce, en facilitant les transactions, en réduisant les délais de paiement et en faisant barrière aux non-paiements.
A partir du 14 septembre 2019, la DSP2 imposera de sécuriser l’accès aux comptes, ainsi que l’initiation de paiement, ajoutant de nouvelles étapes d’authentification forte pour chaque banque agrégée, à renouveler tous les 3 mois. Celles-ci viendront s’ajouter aux autres dispositifs déjà en place. Cet ajout risque de freiner fortement le développement de nouveaux services et représentera un risque réel de perte de clientèle pour ces acteurs.
De plus, alors que la nouvelle directive devait être synonyme d’ouverture massive du marché aux données bancaires, le texte européen ainsi que ses directives d’application (NB : RTS = règles techniques et de sécurité) laissent une grande part à l’interprétation. On note en effet une absence d’harmonisation concernant la mise en œuvre de DSP2 au niveau européen, tandis que la France l’envisage « à minima », ce qui obligerait les FinTechs à se plier aux solutions d’authentification forte proposées par chaque banque, avec des parcours plus ou moins fluides. Elles ne devraient par ailleurs pas pouvoir modifier la liste des bénéficiaires dits de confiance du client, limitant a priori la gamme de services qu’ils pourront proposer. Enfin, la réglementation aux comptes de paiement sera certainement conscrite, sans volonté majeure de la part des banques françaises d’élargir le périmètre des API exposées aux tiers.
Pour les banques, une mise en conformité contraignante
Les banques se retrouvent elles-aussi confrontées à un certain nombre de difficultés. Si la DSP2 leur a permis de prendre conscience de la dérégulation de leur marché et de la nécessité d’offrir à leurs clients des interfaces plus agréables, ainsi que de nouveaux services d’agrégation de compte, elle présente également de forts enjeux financiers et organisationnels.
Depuis janvier 2018, les banques intègrent les impacts organisationnels de DSP2 avec la mise en place de reportings (notamment sur les connexions TPP via les API), la modification des outils de gestion de la fraude, la mise en place de nouveaux processus (obligations en termes de service client, remboursements, analyses a posteriori, gestion des réclamations…).
Cette mise en conformité complexe va encore se renforcer en septembre avec l’ouverture à des tiers d’une partie de leur système d’informations. Pour cela, il leur faut APIser et ouvrir à l’extérieur leur système d’information, et organiser des phases de tests avec les futurs consommateurs de ces API. Si toutes ont déjà engagé cette démarche, nombreuses sont celles qui ne seront probablement pas prêtes au moment de l’échéance réglementaire. Enfin, elles doivent également développer les dispositifs d’authentification forte, les mettre en œuvre et préparer les plans de conduite du changement auprès de leurs clients.
En stimulant l’innovation des banques traditionnelles sur leur domaine et compte tenu de la réticence latente des Français à partager leurs données, la DSP2 risque de réduire le marché des nouveaux acteurs en BtoC. Néanmoins, la DSP2 a ouvert la voie à de nouvelles perspectives. D’abord, le développement pour les FinTechs de nombreux cas d’usages BtoB, propices à adresser de nouveaux marchés pour les agrégateurs et pour leurs clients potentiels. La directive accélère également l’innovation pour fluidifier les solutions et parcours d’authentification forte. Enfin, elle présente l’intérêt de faire prendre conscience aux acteurs traditionnels de la nécessité de mieux gérer et exploiter leurs données clients, explique Julien Maldonato, Associé Conseil, Industrie Financière.
A propos de Deloitte
Deloitte fait référence à un ou plusieurs cabinets membres de Deloitte Touche Tohmatsu Limited (DTTL), société de droit anglais (« private company limited by guarantee »), et à son réseau de cabinets membres constitués en entités indépendantes et juridiquement distinctes. DTTL (ou “Deloitte Global”) ne fournit pas de services à des clients. Pour en savoir plus sur notre réseau global de firmes membres :www.deloitte.com/about. En France, Deloitte SAS est le cabinet membre de Deloitte Touche Tohmatsu Limited, et les services professionnels sont rendus par ses filiales et ses affiliés. © 2019 Deloitte SAS, Membre de Deloitte Touche Tohmatsu Limited