Les Echos – 8 décembre 2017 :

Ce lundi 27 novembre, la CE a adopté les standards techniques de réglementation, RTS, qui permettent l’application de la Directive des Services de Paiement DSP2. L’Autorité Bancaire européenne, EBA, avait proposé un texte le 23 février dernier.

Depuis, ces RTS faisaient l’objet d’un bras de fer par communiqués de presse interposés entre les différents acteurs concernés, banques et FinTechs en tête, sur des sujets critiques tels que le « screen scraping » ou les solutions de « fall back ».

La DSP2 pour assurer la protection du consommateur et favoriser la concurrence des acteurs de services de paiement.

La DSP2 offre un cadre législatif aux nouveaux usages d’agrégation de comptes et d’initiation de paiement et reconnait les nouveaux acteurs intermédiaires qui proposent ces services.

Elle garantit un fort niveau de sécurité indispensable avec :

  • La généralisation de l’authentification forte pour la sécurité des utilisateurs ;
  • La mise en place de normes de communication ouvertes, communes et sécurisées (API), pour la sécurité des échanges de données entre les acteurs ;
  • Le respect du consentement du client et du droit à l’oubli, en lien avec la GDPR.

Un texte final avec plus de sécurité ?

L’extension de l’authentification forte à de nombreux usages était au centre des discussions. Basée sur une identification à deux facteurs parmi les trois suivants : ce que je sais, ce que je suis ou ce que je possède, elle permet de s’assurer de l’identité du client.

Le texte final reste dans la lignée de la proposition de février. La consultation des comptes via le site de la banque ou un agrégateur, l’ajout de bénéficiaire, les paiements en ligne, la création de virement permanent et les autorisations de prélèvement feront l’objet d’une authentification forte. La CE a conservé les exemptions pour la consultation des comptes, les paiements inférieurs à un 30 EUR ou encore lors de virements à une liste de bénéficiaire fiable.

Le screen scraping, qui permet de récupérer des données client en masse, a finalement été interdit

C’est le sujet qui catalysait toutes les tensions ces derniers mois. La CE s’est positionnée : le screen scraping sera bien interdit dès septembre 2019. Ce processus consiste pour le client à donner son identifiant et mot de passe de connexion et ainsi permettre à une entreprise tierce de restituer dans sa propre application les comptes du client. Cette pratique, exploitée massivement par les agrégateurs et proscrite dans les conditions d’utilisation des banques, permettait de récupérer un spectre de données bien plus important que les seules données nécessaires. Les banques devront désormais fournir des API pour permettre aux FinTechs de récupérer les informations bancaires ciblées de leurs clients.

Carte blanche pour les banques, au détriment des FinTechs ?

Les FinTechs craignent désormais que les banques ne réalisent pas les API dans le temps imparti, et donc de ne plus disposer de moyens pour récupérer les données du client et donc assurer leurs services. D’ici la date butoir de mise en conformité, en septembre 2019, les banques devront se conformer à un processus en deux étapes pour réaliser des interfaces d’échange d’information (API). Que les API soient dédiées ou non, elles devront être accessibles six mois avant leurs lancements sur le marché : 3 mois sur des environnements de tests et 3 mois supplémentaires en conditions réelles. Pour suivre la disponibilité des API, les banques devront fournir des indicateurs de performance transparents et des niveaux de services cibles.

La solution de secours « fall back », une autre déconvenue pour les FinTechs

Les FinTechs réclamaient un système de secours « fall back », identique au screen scraping, pour continuer à capter les informations de leurs clients en cas d’incident sur les API. Les banques se voient finalement exemptées de fournir ce mécanisme de « fall back » en cas de validation des API par une autorité nationale.

L’exemption pourra cependant être revue si la banque n’est plus en capacité d’assurer une qualité de service optimale pendant deux semaines consécutives. Il lui faudra mettre en place ce système dans un délai de 2 mois.

Poursuite du screen scraping pour les autres comptes

Le champ d’application de la DSP2 se limite aux comptes de paiement. Il n’y a finalement pas eu d’extension du cadre aux autres types de comptes, comme l’épargne, l’assurance vie ou les titres. Ces comptes continueront donc de faire l’objet de screen scraping en toute légalité. Une limitation étrange tant la philosophie de la DSP2 était ancrée dans les esprits de l’ensemble des acteurs. Un calendrier réglementaire, entre une rapide adoption de la philosophie de la directive (DSP2) et un lent consensus autour des standards techniques (RTS) …

La DSP2 a été adoptée définitivement par le parlement européen le 25 novembre 2015. La DSP2 devait ensuite être transposée dans les États membres avant le 18 janvier 2018. Avec un temps d’avance, c’est chose faite pour la France qui a transposé le texte cet été le 9 août 2017 par l’ordonnance n°2017-1252 publiée au Journal Officiel.

S’agissant des RTS, l’EBA a ensuite publié une proposition finale des RTS sur la DSP2 le 23 février 2017 dernier. Suite aux différentes discussions, la Commission européenne a finalement adopté les RTS DSP2 ce lundi 27 novembre 2017. Désormais, le parlement européen et le conseil européen ont 3 mois renouvelables pour objecter, soit jusqu’au 27 février ou au 27 mai 2018. Après cette période d’examen, les RTS seront publiés au Journal officiel de l’Union Européenne. Les banques, FinTechs et tous les autres acteurs auront ensuite 18 mois pour mettre en oeuvre les RTS.

… sans grande dextérité

Il reste donc encore deux ans à l’ensemble des acteurs pour se mettre en conformité, selon les examens parlementaires, autour de septembre à novembre 2019. Si le marché des paiements est en constante et rapide évolution, les textes qui les légifèrent suivent le rythme des navettes parlementaires.

Par Audrey Dhellemmes senior manager et Thomas Bérard consultant du cabinet VIATYS conseil

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.