DSP2 : vers un nouvel écosystème du paiement ?
Alors que l’ordonnance de transposition de la nouvelle directive européenne sur les paiements (DSP2) a été publiée le mois dernier au journal officiel, pour une entrée en vigueur en janvier 2018, le débat reste animé entre banques et fintechs autour des normes techniques réglementaires (RTS) visant à définir la mise en œuvre concrète de la directive. C’est l’occasion pour nous de revenir sur les enjeux de la DSP2
Une transformation profonde de l’univers des paiements
La DSP2 est une adaptation du cadre réglementaire des services de paiement, qui vise à accompagner les nouveaux usages et les innovations de services en matière de paiement.
La principale évolution est l’introduction de 2 nouveaux services dans le champ réglementaire :
- Le Service d’Initiation de Paiement (SIP) : « un service consistant à initier un ordre de paiement à la demande de l’utilisateur […] concernant un compte de paiement détenu auprès d’un autre prestataire de services de paiement »
- Le Service d’Information sur les Comptes (SIC) : « un service en ligne consistant à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l’utilisateur […] soit auprès d’un autre prestataire de services de paiement, soit auprès de plus d’un prestataire de services de paiement »
L’activité des prestataires de ces services (par exemples Sofort, Trustly, Bankin ou encore Linxo) ainsi que les modalités de « coopération » avec les autres acteurs du paiement, notamment les banques, seront donc désormais réglementées et supervisées. Nouveauté suffisamment rare pour être soulignée, le partage de données entre le prestataire gestionnaire de comptes (les banques) et les tiers prestataires de services (SIP, SIC) sera obligatoire et réglementé.
Autre évolution de taille, la DSP2 généralise l’authentification forte du client pour plus de sécurité dans les opérations. Au-delà des impacts sur les processus et la coordination entre prestataires, l’authentification forte généralisée fera évoluer les parcours clients… au risque d’en diminuer la simplicité. Les cas d’usage et conditions de déclenchement sont encore à préciser.
Par ailleurs, la nouvelle directive renforce la protection des consommateurs. Par exemple en diminuant de 150 à 50€ la franchise en cas d’utilisation frauduleuse suite à la perte ou le vol. Ou encore en imposant un remboursement a priori et sans frais en cas de litige sur un paiement par la banque. Elle étend également son champ d’application aux opérations en toutes devises, y compris lorsqu’un seul des prestataires est situé dans l’UE (one leg transaction).
Des impacts majeurs pour les banques, poussées vers l’Open Banking
Si les fintechs sont impactées…
- Simple enregistrement ou agrément délivré par l’ACPR, en fonction de la complexité des services proposés
- Dispositifs renforcés de sécurité et de protection des données, notamment en incitant l’usage d’API à la place du screen scrapping (utilisation de l’ID et mot de passe client). Le sujet est encore en débat entre la Commission Européenne (CE) et l’Autorité bancaire européenne (EBA).
- Evolution des parcours clients, notamment avec la généralisation de l’authentification forte
… les banques sont fortement challengées par cette directive et font face à 3 types de risques :
- La baisse des revenus liés aux paiements: moins de paiements par carte, aujourd’hui plus rémunérateurs, remplacés potentiellement par des virements (à l’instar d’iDeal aux pays bas)
- La perte de la relation client: moins de contacts directs avec ses clients qui passeront par des applications tierces, et donc une diminution de la connaissance des comportements et des opportunités commerciales associés aux contacts
- L’augmentation des coûts opérationnels pour adapter les systèmes d’information et les processus afin d’assurer la communication aux tiers prestataires de services tout en maintenant la sécurité des données
Elles sont donc invitées à repenser leur modèle économique autour des paiements et à construire un nouvel écosystème. Loin d’être uniquement une menace pour les banques, cette transformation est porteuse d’opportunités :
- Monétiser l’accès aux informations complémentaires: la contrainte de partage portera uniquement sur un certain nombre d’informations liées aux comptes de paiement, quid des autres informations et des autres comptes (compte titres, épargne, assurance vie) ?
- Enrichir leur proposition de valeur : avec de nouveaux services, elles-mêmes en tant que prestataires SIC et SIP, et un enrichissement des fonctionnalités et des données liées aux paiements (catégorie de paiement, géolocalisation, …)
- Développer l’open-banking : à travers la mise en place de partenariats, la création de plateformes d’API (telles que celles de BPCE ou BBVA) pour limiter les coûts de développement internes et accéder aux meilleures pratiques en termes d’UX
Un rapport de force entre banques et fintechs autour de la mise en œuvre technique
La définition des normes techniques réglementaires (RTS) mettant en œuvre la DSP2, portée par l’EBA (en charge de la mise en œuvre technique de la DSP2), cristallise aujourd’hui les débats entre fintechs et banques. Le début de l’été a été l’objet d’un fort lobbying médiatique et politique de part et d’autre.
Le principal point de désaccord porte sur l’encadrement des API utilisées pour interfacer les systèmes des gestionnaires de comptes (banques) avec ceux des tiers prestataires de services (fintechs) : quelles données seront accessibles gratuitement ? avec quels niveaux de performance (rapidité, fréquence) ? quelles données seront payantes ou resteront inaccessibles ?
L’enjeu est de taille puisqu’il impacte autant la proposition de valeur faite à l’utilisateur (en fonction de la disponibilité et du coût d’accès des données) que le poids des banques dans la chaine de valeur du paiement (contrôle de l’accès aux données), en passant par le partage des coûts d’infrastructures.
Le débat reste ouvert puisque la Commission Européenne n’a pas encore adopté les normes techniques proposées par l’EBA et que le délai d’application est de 18 mois après l’adoption… de quoi challenger l’impact réel de l’entrée en vigueur de la DSP2 en janvier 2018.