Suite à la mise en application de la nouvelle directive européenne sur les services de paiement (DSP2) en janvier 2018, l’association Eestel a souhaité faire un point sur les objectifs de la réforme ainsi que ses enjeux. Le 19 juin 2018, Maître Pierre Storrer, avocat et membre actif de l’association, a mené une conférence relative à l’Open Banking réunissant nos membres autour de ce sujet, à la fois source de transformation pour les acteurs déjà en place et d’opportunités pour les autres.

 

1 – Les objectifs de la DSP2

La DSP2 a pour objectif d’encadrer les nouveaux acteurs de paiements. Ils sont apparus en sus de l’écosystème « traditionnel » des établissements de paiement et des banques. Il s’agit d’un texte très complet qui comprend la directive elle-même mais également une dizaine d’actes délégués. Son élaboration et sa gouvernance sont gérées sous l’égide de l’EBA (autorité bancaire européenne).

Voulue par le législateur, la DSP2 a essentiellement pour but de stimuler la concurrence et l’innovation dans le domaine des services de paiements en favorisant l’arrivée de nouveaux acteurs (TPP – Third Party Provider), souvent issus des Fintechs. Le texte définit les règles selon lesquelles ces TPPs pourront avoir accès aux données bancaires de leurs clients en vue de leur proposer des services complémentaires.

2 – Trois nouveaux types d’acteurs

La directive identifie trois nouveaux types d’acteurs tiers (TPP) :

  • Les émetteurs d’instruments de paiement,
  • Les prestataires de services d’initiation de paiement (PISP – Payment Initiation Service Provider),
  • Les prestataires de services d’information sur les comptes (AISP – Account Information Service Provider).

Même si les émetteurs d’instruments de paiement sont très peu évoqués dans la directive, il s’agit, par exemple, des émetteurs de comptes sans cartes (type Amex), la DSP2 devrait leur donner les moyens de mieux gérer leur risque. Elle prévoit, notamment, de leur donner la capacité de connaître l’état des comptes de leurs clients. Les PISP et les AISP correspondent à des acteurs déjà existants tels que Bankin, Linxo, Sofort, etc.

3 – Les questions qui font débat

Cette nouvelle directive et son application ne sont pas encore claires et plusieurs questions restent encore ouvertes.

 

3.1 – Les questions relatives aux données

Le contenu des données rendues accessibles aux TPPs : Les données seront-elles limitées aux services de paiement comme le souhaitent les banques ou bien s’agit-il d’un accès à toutes les données bancaires (souhait des TPP) ?

L’usage de ces données par les TPPs : Le modèle économique de certain TPP (gratuité) repose sur l’exploitation des données de leurs clients : Est-ce fait en conformité avec la DSP2 et le RGPD ?

La responsabilité en cas de contentieux : Les gestionnaires de comptes (ASPSP – Account Servicing Payment Service Provider) sont responsables vis-à-vis de leurs clients et devront éventuellement se retourner contre les PISPs en cas de contentieux.

 

3.2 – Les questions de sécurité liées à l’authentification forte

Une authentification forte est requise. Il s’agit donc fin du web scraping (technique qui permet, à l’aide d’un script, d’extraire le contenu d’une page web dans le but de le réutiliser) même si des cas d’exemptions sont prévus. Par ailleurs, il n’est pas nécessaire de procéder à une réauthentification forte dans un délai de 30 jours après une authentification forte réussie. Si ce délai est dépassé, l’authentification forte sera à nouveau requise.

 

3.3 – Un point sur les paiements

Cela tourne principalement autour de l’initiation de paiement :

  • Paiement sans contact en point de vente (avec plafond opération unitaire et cumul).
  • Paiement électronique à distance (avec plafond opération unitaire et cumul).
  • Paiement vers une liste de bénéficiaires de confiance.

 

3.4 – Les autres interrogations

L’application de ces dérogations est de la responsabilité du gestionnaire de compte (ASPSP). Les exigences de sécurité sont explicitées dans les RTS (Regulatory Technical Standard) applicables à compter de septembre 2018.

 

En conclusion, la DSP2 rend obligatoire l’authentification forte pour les paiements au-delà de 30 euros. Les nouvelles dispositions sur l’accès aux données sont au cœur d’une négociation féroce entre les banques et les nouveaux acteurs de la Fintech et nombre de questions restent encore en suspens. L’association Eestel est vigilante sur ce nouveau texte qui vise à réguler l’Open Banking en renforçant l’encadrement des services de « facilitateurs » bancaires tout en apportant une meilleure protection au consommateur.

Partager sur :
X