Paris 01 83 81 81 61 - Lyon 04 81 68 52 40 - Bordeaux 05 33 52 11 23 - Rennes 02 20 06 01 78 - Marseille 04 12 29 01 32 - Toulouse 05 25 53 00 07

La DSP2 est entrée en vigueur : ce qui change pour l’Open Banking

La Directive européenne sur les Services de Paiement 2e version (DSP2) est entrée en vigueur le 13 janvier 2018. Elle remplace la DSP1 qui avait harmonisé en 2009 les moyens de paiements en zone SEPA (IBAN, SCT, SDD…).

L’accès aux informations bancaires, clé pour les Fintech

La DSP 2 établit un cadre juridique pour l’open banking, qui permettra à de nouveaux acteurs d’accéder au marché des paiements sans barrières à l’entrée.
La directive oblige les banques à fournir à des tiers l’accès aux données bancaires des clients (avec l’accord de ces derniers, bien sûr). Le client récupère ainsi la main sur ses données financières, et a la liberté de les partager avec qui il le souhaite.
Il pourra autoriser au cas par cas des fournisseurs tiers à effectuer certaines actions et les révoquer quand il le souhaite. Parmi ces différentes actions : accès à l’historique des transactions bancaires, réalisation d’un paiement…
Cela ouvre la voie à la création d’applications de gestion de trésorerie multi-banques, de conseil en investissement ou de gestion de budget par exemple.

Les banques doivent se réinventer… encore une fois

Pour permettre l’open banking, les banques seront contraintes de créer des interfaces de programmation standardisées, utilisant des identifiants spécifiques permettant les seules actions autorisées par le client plutôt que les codes personnels du client comme c’est souvent le cas avec les agrégateurs actuels.
Ces développements doivent nécessairement s’accompagner d’une sécurité renforcée, car l’obligation d’ouvrir les données à de multiples nouveaux acteurs européens augmente le risque de fraude.
Investissements majeurs, perte d’un monopole… Les banques devront encore une fois faire évoluer leur business model et à aller au-delà des simples obligations de conformité pour concevoir de nouveaux services.
La Commission Européenne estime que la directive permettra aux consommateurs d’économiser près de 550 millions d’euros par an tout en bénéficiant d’une protection accrue.

Le 3D Secure devient obsolète

La DSP2 met aussi l’accent sur la protection du consommateur.
La mesure plus concrète concerne l’authentification forte, qui devient obligatoire pour les paiements à distance supérieurs à 30 euros. L’authentification forte consiste à valider une transaction par deux éléments indépendants parmi :

  • ce que je possède : un téléphone, une clé USB, un token…
  • ce que je sais : un mot de passe, un code PIN…
  • ce que je suis : une empreinte digitale, une reconnaissance faciale ou vocale…

Le 3D Secure actuel ne répond qu’à un seul de ces critères (le code envoyé par SMS valide la possession d’un téléphone). Il devra donc évoluer vers un nouveau protocole.

Les prochaines étapes

Ces mesures seront obligatoires à partir de septembre 2019 : la directive prévoit un délai d’adoption maximum de 18 mois après publication des normes techniques au Journal Officiel de l’Union Européenne.
Un délai destiné à laisser le temps aux banques de créer les interfaces et de valider leur sécurité…
…mais rien n’empêche les Fintech et les GAFA (Google, Apple, Facebook, Amazon…) de proposer de nouveaux services financiers bien plus tôt !