Alors que la DSP2 (Directive sur les Services de Paiement) est entrée en vigueur depuis janvier 2018, le mois de mars 2019 correspond à la phase de test des API (Application Programming Interface) avant la phase finale prévue pour le 14 septembre 2019 et l’entrée en vigueur des RTS (Regulatory Technical Standards).
Devant tout ce verbiage technique et ces dates limites, que se cache-t-il vraiment ? Les banques sont-elles prêtes ? Quelles en sauront les conséquences pour le consommateur final? Comment les fintech se comportent-elles face à cette réglementation ?
Au départ, la mise en place de la DSP2 est un projet européen qui, au delà d’harmoniser les règles et les usages au sein de l’Union Européenne, met en avant le renforcement des droits des consommateurs en augmentant le niveau de sécurité des données financières. Il s’agit également d’ouvrir le marché des services bancaires à de nouveaux acteurs afin de facilité l’innovation par le biais entre autre de l’Open Banking.
La DSP2 se focalise sur trois sujets principaux. Le premier concerne les droits du consommateur avec notamment l’interdiction des surfacturations ou le remboursement sans délai des opérations contestées. Le second point repose sur la sécurisation des communications entre les banques et les TPP (Third Party Provider). Sur ce point, les banques doivent fournir des API aux TPP afin qu’ils puissent récupérer les données de paiement des clients. Enfin le dernier thème et sûrement le plus important gravite autour de l’authentification forte avec l’utilisation de deux facteurs d’authentification différents entre ce que nous possédons (téléphone, clé physique,…) ce que nous savons (mot de passe, prénom de la grand-mère,…) et ce que nous sommes (voix, empreinte digitale, …). Une mise à jour sera demandée tous les 3 mois.
Cette mise en place théorique reçoit un écho quelque peu différent sur le terrain que ce soit du côté des TPP que des banques. En effet, le fait d’ouvrir à la concurrence les services bancaires semble une bonne idée et une opportunité pour les fintech. Quand il s’agit de rentrer concrètement dans le sujet, les choses se compliquent. Le propre d’une fintech est d’aller vite, de créer, d’être innovante, mais avec la mise en place de cette réglementation les délais s’allongent, les différentes étapes de validation pour obtenir l’agrément de prestataire de service de paiement prend du temps et le caractère flou de son interprétation ne facilite pas les choses.
De plus, les TPP doivent développer des technologies capables de s’adapter à différentes API. Ensuite, le fait de disposer d’un texte réglementaire complexe suscite différentes interprétations ce qui n’est pas fait pour simplifier sa compréhension. Enfin, la fintech travail sur cette mise en place, mais au final, c’est la banque qui décide avec qui elle veut travailler et les informations qu’elles communiqueront. La complexité de la situation est loin de l’esprit des fintech.
Au niveau des banques, la problématique est différente, mais les contraintes sont bien là. Au niveau technique, le fait de mettre en place des API s’avère très dispendieux. Tout cela pour mettre à disposition les données de leurs clients à leurs partenaires, mais également à leurs concurrents. De plus, toutes les données clients étaient utilisées en interne. Il faut maintenant convertir ces données pour produire des données vers l’extérieur.
La protection du consommateur impacte la banque qui doit pouvoir rembourser en un jour ouvré toute opération frauduleuse, ce qui s’avère être un réel challenge. Enfin, les banques devront communiquer auprès de leur client afin de leur expliquer la nouvelle directive et ses impacts au niveau de l’authentification forte.
Sur le papier, la DSP2 est une solution qui vise à sécuriser les paiements et limiter la fraude. L’enjeu est louable, mais la mise en place est plus compliquée qu’il n’y paraît. Les banques ou les fintech peinent à la déployer. Cela dit, le verdict tombe le 14 septembre 2019. Tout le monde ne sera peut-être pas prêt.
Certains TPP attendront sûrement la mise en place la DSP3, qui subira quelques ajustements, pour se lancer dans la course. Sera-t-il trop tard ?!… Et dans tout cela, le consommateur va-t-il accepter ou rejeter ses nouvelles mesures ?
CapexFi, cabinet de conseil en finance et management de transition, peut vous aider en vous proposant de vous faire accompagner par nos managers de transition dont certains sont des experts en paiement. Ils sauront vous guider vers les choix le plus aboutis correspondant à vos besoins.
En tout cas, nous n’avons pas fini d’en entendre parler.
Blog Finance et Management de transition – DSP2, Réglementation, Banque, fintech, TPP, API, authentification, consommateur, paiement