DSP 2 : la bataille de l’accès aux données bancaires

UN NOUVEL ÉCOSYSTÈME

Le cabinet de conseil en banque TNP accompagne et encadre les banques à suivre les dernières directives afin de se conformer au mieux aux dernières réglementations. Dernièrement,  la nouvelle directive sur les services de paiement (DSP2) récemment entrée en application dans les pays membres de l’Union Européenne, abroge depuis le 18 janvier la 1ère version de 2007. Le marché des paiements voit officiellement arriver de nouveaux acteurs : les prestataires de services d’initiation de paiement (PSIP – initiateur) et les prestataires de services d’information sur les comptes (PSPIC – agrégateur), rôles occupés par des fintechs. Les banques ont l’obligation de collaborer avec eux en leur donnant accès aux informations des clients pour lesquels ils tiennent des comptes de paiement. Cette directive, en proposant un cadre législatif à l’open banking, favorise la concurrence et l’innovation, tout en améliorant le niveau de sécurité des moyens de paiements via de nouvelles normes d’authentification forte. Avec la DSP2, les clients pourront utiliser leur banque en ligne soit directement, comme ils le font aujourd’hui, soit indirectement en passant par un initiateur pour émettre un ordre de paiement, ou un agrégateur pour consulter leurs opérations et soldes.

L’autorité bancaire européenne (EBA) a été chargée de définir les conditions techniques de mise en œuvre de ces nouvelles conditions du marché via des RTS (Normes techniques de réglementation) soumis à approbation de la Commission Européenne et adoption par le Parlement Européen. Pendant plusieurs mois, les banques et les nouveaux acteurs se sont opposés sur le contenu de ces RTS.

LE WEBSCRAPING EST MORT, VIVE LE WEBSCRAPING

La DSP2 est venue réglementer des services préexistants en Europe, les initiateurs et les agrégateurs ont jusqu’alors accédé aux comptes en ligne des utilisateurs via la technique du webscraping. Cette technique consiste à recueillir auprès des clients les identifiant et mot de passe de leur compte bancaire en ligne et à les réutiliser via des connexions automatiques.

Le maintien ou non de cette pratique a cristallisé les débats entre l’EBA et la Commission Européenne durant de long mois avant d’arriver à une solution de compromis fin novembre dernier; Les banques devront fournir des interfaces de programmation applicative (API) permettant aux PSIC et PSIP d’accéder de manière sécurisée aux données bancaires. Les fintechs ont ainsi pour interdiction d’utiliser le webscraping tant que cet accès dédié fonctionne et leur assure un niveau de service équivalent à celui offert aux clients finaux. Par exception, en cas de dysfonctionnement de l’interface d’accès dédiée (c’est-à-dire 5 échecs de connexions dans un laps de 30 secondes), les PSIC et les PSIP pourront recourir au webscraping.

Cette solution de compromis positionne le webscraping comme une pratique de replis, comme une garantie pour les PSIC et PSIP de pouvoir fournir leurs services. Les banques sont par la même occasion encouragées à construire des interfaces d’accès dédiées efficaces, pour éviter le recours au webscraping sur lequel elles n’ont aucune maîtrise. Ce compromis est d’autant plus acceptable que les acquis de la DSP2 permettent de pallier aux défauts sécuritaires du webcraping.

LES ACQUIS DE LA DSP2

La DSP2, en régulant les pratiques des fintechs, peut à première vue apparaître comme un carcan freinant la capacité d’innovation des nouveaux acteurs. Cependant, derrière cette apparence, on constate que la DSP2 présente des effets positifs dont le premier est la reconnaissance juridique des activités des PSIC et des PSIP. En leur accordant un statut règlementé et en les astreignant au contrôle des autorités de supervision européenne telle que l’ACPR en France, le régulateur permet aux fintechs d’acquérir un capital confiance auprès des utilisateurs, qui est primordial lorsqu’il est question d’argent.

On constate ainsi qu’en France, avant la régulation par la DSP2, le service d’agrégation a largement percé avec des prestataires tels que Linxo et Bankin’ qui revendiquent respectivement 1 et 1,8 millions d’utilisateurs, sans compter les banques et les assureurs qui lancent leur propre solution d’agrégation.

A l’inverse, les offres d’initiation de paiement peinent à trouver leur public. La grande différence entre ces deux services est que l’agrégateur ne peut pas initier un mouvement de débit sur le compte de l’utilisateur, contrairement à l’initiateur. Pour autoriser un tiers à agir ainsi, il faut nécessairement un solide capital confiance.

Le régulateur a intégré les différents niveaux de sensibilité des services proposés et encadre ces activités proportionnellement aux risques qu’elles représentent.  Ainsi, les initiateurs devront obtenir un agrément de prestataire de service de paiement tandis que les agrégateurs seront uniquement soumis à une obligation d’enregistrement. Pour obtenir leur agrément, les prestataires de services d’initiation de paiement devront apporter des garanties de sécurité et de fiabilité plus importantes.

Cette nouvelle barrière à l’entrée permettra d’éliminer du marché les entités offrant trop peu de garanties. Le capital confiance est également renforcé car la DSP2 prévoit que les PSIC et les PSIP doivent systématiquement s’identifier auprès des établissements teneurs de comptes, ce qui assure la sécurisation de la chaîne de traitement.

VERS UNE NOUVELLE TRANSFORMATION DES BANQUES

En mettant en avant une interface standard d’accès à chaque banque, l’EBA facilite l’accès aux données bancaires pour les nouveaux entrants sur le marché, leur évitant ainsi de développer la technologie du webscraping.

L’arrivée de nouveaux acteurs régulés sur le marché des paiements vient bousculer les offres traditionnelles des banques qui doivent désormais composer avec un potentiel risque de rupture de relation directe avec leurs clients. Les fintechs, championnes de la digitalisation, offrent des parcours clients étudiés dans le moindre détail qui amènent déjà les banques à repenser leurs interfaces de communication à distance et à innover pour offrir une gamme de services concurrentiels.

Par ailleurs, comme seuls les comptes de paiement sont dans le champ d’application de la DSP2, les banques doivent prendre position quant à l’accès aux données des autres comptes (ex : compte épargne, livret et autres produits financiers). En effet, avec le webscraping, les initiateurs et les agrégateurs peuvent aujourd’hui accéder à l’ensemble des données banque en ligne des clients, indifféremment qu’il s’agisse de compte de paiement ou non. Face à ce vide juridique, les banques pourraient choisir d’aller au-delà de la DSP2 et de mettre à disposition des API donnant accès à l’ensemble des typologies de comptes. A défaut, les fintechs continueront d’utiliser le webscraping pour accéder aux données des autres comptes, en parallèle des API dédiées aux comptes de paiements. Des stratégies mixtes sont également imaginables, par exemple des offres bancaires premiums permettant d’accéder à l’ensemble des informations bancaires à côté d’offres standards gratuites ne donnant accès qu’aux comptes de paiement.

Après l’arrivée des établissements de paiement et les établissements de monnaie électronique avec la DSP1 de 2007, voilà que les banques doivent se positionner par rapport aux fintechs. On observe que la coexistence de tous ces acteurs ne conduit pas nécessairement à une confrontation. Les collaborations et les participations financières entre banques et fintechs sont en effet déjà courantes.

La DSP2 sécurise le marché des paiements via l’enregistrement des agrégateurs et l’agrément des prestataires de services de paiement et structure les échanges entre les différents acteurs en imposant le recours des API. Cependant, en ne couvrant que les comptes de paiement, cette directive n’adresse pas les autres typologies de comptes et laissent les acteurs du marché s’autoréguler et définir leur positionnement.