La DSP2 a été mise en application le 14 septembre 2019. Son arrivée a été annoncée comme une révolution et une avancée en matière de protection des consommateurs. Pour le secteur bancaire, cela implique aussi de répondre à des exigences techniques pour se mettre en conformité avec cette nouvelle directive européenne. Définitions, objectifs et point sur la situation, on vous dit tout.
La DSP2 est la nouvelle Directive sur les Services de Paiement. Il s’agit d’une directive européenne. Elle a deux objectifs principaux :
La DSP2 démocratise ainsi le secteur bancaire et encourage la compétitivité et l’innovation. Il s’agit ici de mettre un véritable frein au monopole des banques sur les données des clients. Avec la DSP2, les consommateurs seront mieux protégés face à la cybercriminalité, au vol de données et aux fraudes. Ils seront également mieux informés.
À l’heure du tout numérique, les consommateurs s’éloignent progressivement des banques traditionnelles. Si l’on pense bien sûr à des services comme PayPal ou aux néobanques exclusivement en ligne, d’autres émergent peu à peu, comme les agrégateurs de comptes bancaires qui permettent de réunir en un seul endroit tous les produits financiers d’un consommateur.
D’une manière générale, c’est tout le secteur bancaire qui connaît une révolution, avec d’un côté des consommateurs de plus en plus friands des services en ligne, et de l’autre des banques qui luttent pour conserver leur monopole.
Face à ces nouvelles pratiques, le monopole des banques traditionnelles n’est plus envisageable, cela représente un frein à une concurrence saine et est contraire aux intérêts des consommateurs.
Pour profiter des offres avantageuses proposées par des services financiers en ligne, les consommateurs doivent communiquer leurs coordonnées bancaires. Sans cadre juridique international strict pour encadrer ce type de démarches, il est impossible de protéger les consommateurs contre les risques les plus courants, tels que le vol ou l’utilisation frauduleuse de leurs données bancaires, ou plus simplement, tous les risques de sécurité liés à la communication sur Internet de données à caractère sensible.
Le fait que les banques conservent le monopole des données de leurs clients empêche également ces derniers de profiter librement d’un agrégateur de comptes bancaires qui pourrait les aider à mieux gérer leur argent au quotidien. Cela ralentit aussi les paiements et la transmission d’informations bancaires.
Il devenait ainsi nécessaire de mettre en place un vrai cadre juridique pour encadrer les nouvelles pratiques et protéger les consommateurs. Avec la DSP2, les banques sont désormais dans l’obligation de permettre à des tiers autorisés l’accès aux comptes de leurs clients et aux informations liées. En résumé, les clients peuvent à présent décider eux-mêmes qui peut accéder à leurs données.
Par exemple, cela pourrait permettre à des entreprises de commerce en ligne de proposer directement le paiement sur leur site au lieu de rediriger les clients vers des services de paiement comme PayPal.
La DSP2 s’annonce comme une excellente nouvelle pour les consommateurs, les nouveaux venus dans le secteur bancaire ainsi que pour de nombreuses entreprises. Elle pose cependant de nombreuses contraintes pour les banques traditionnelles, qui doivent veiller à la sécurité des données de leurs clients.
Pour être en conformité avec la DSP2, le secteur bancaire doit trouver des solutions pour ces trois sujets majeurs :
D’autres points sont évoqués dans la DSP2, comme la nécessité de faciliter la transmission de l’information pour les consommateurs. Par exemple, il faut pouvoir garantir que pour chaque transaction ou utilisation de leurs données, ils donnent leur consentement, ou encore qu’en cas de paiement refusé, un motif de refus leur soit donné.
Le secteur bancaire avait donc fort à faire pour se mettre en conformité avec la DSP2 avant son application en septembre 2019.
Pour rappel, une API est une interface de programmation qui permet d’établir une connexion entre plusieurs logiciels ou applications indépendants dans le but d’échanger des données. Ici, l’API est donc ouverte et elle fait le lien entre les banques et les tiers autorisés à accéder aux données de leurs clients. Via l’API, on pourra par exemple permettre :
Si la France s’en est sortie correctement comparée à d’autres pays d’Europe, de nombreuses banques ont tardé à proposer des APIs fiables. Selon le sondage mené par Tink, en septembre 2019, 75 % des API des banques européennes étaient disponibles, mais seuls 10% étaient en réalité opérationnelles. Bien que certaines problématiques persistent aujourd'hui, la majorité des banques sont équipées et opérationnelles.
Cependant, plusieurs standards ont été retenus par les banques concernant leurs API. Ainsi, dans certains pays comme la France, les banques ont majoritairement opté pour les normes de la STET, tandis que dans d’autres, comme la Belgique, elles se sont plutôt tournées vers les normes NextGenPSD2.
Des banques ont également opté pour du multistandard, mais elles sont minoritaires. On peut cependant penser qu’il s’agit là d’une situation transitoire et que toutes les banques utiliseront à terme des standards identiques.
Actuellement, il reste donc beaucoup de travail à effectuer du côté des API.
Dans le cadre de la directive DSP2, les banques doivent également mettre en place une authentification forte du client (en anglais SCA, pour Strong Consumer Authentication) afin d’éviter les transactions frauduleuses. Certaines exceptions.
Il s’agit de pouvoir garantir que la transaction est bien effectuée par le client, ceci au moyen de deux vérifications qui correspondent à au moins l’un des critères suivants :
On peut citer comme exemple la double authentification sur Paypal, qui implique que le client entre d’abord son mot de passe sur le site ou l’application, puis fournisse un code d’accès unique d’une durée limitée qui lui est envoyé par mail, téléphone ou SMS.
En ce qui concerne la mise en place d’une authentification forte dans le cadre de la DSP2, deux principaux modèles s’opposent :
Il existe également un troisième modèle : le modèle découplé. Ici, c’est le TPP (Third Party Provider) qui se charge de transmettre à la banque les données d’authentification du client pour s’assurer de leur validité.
Le premier modèle, celui qui implique une redirection, a pour le moment la faveur des banques. C’est au détriment des TPP qui préfèrent le modèle intégré, notamment parce qu’il leur offre un meilleur contrôle sur le parcours utilisateur en intégrant directement sur leur interface l’intégralité de l’expérience client, sans redirection.
Le choix du modèle de redirection pose également un souci : si certaines banques offrent à leurs clients un portail ergonomique, intuitif et riche de toutes les informations nécessaires, d’autres optent pour un portail très basique et souvent peu intuitif pour l'utilisateur, ce qui s'ajoute à l’agacement des TPP.
Dues aux contraintes techniques que l'authentification forte implique pour les différents acteurs concernés par cette réforme, les autorités françaises avaient annoncé un report de la date limite. L'entrée en vigueur devrait se faire en mai 2021, début mars 4 paiements sur 10 ne sont toujours pas conformes.
La DSP2 oblige les banques traditionnelles à repenser leur fonctionnement et à s’adapter à de nouvelles contraintes techniques. Si son application n’est pas encore optimale, on peut s’attendre à ce que le secteur bancaire continue ses efforts, non seulement parce qu’il n’a plus le choix, mais aussi parce qu’il en va de l’intérêt des consommateurs en favorisant la concurrence, en améliorant leur expérience bancaire et en protégeant leurs données.