Des progrès, mais pas de révolution : DSP2, six mois après ! 

Programmes de conformité DSP2

Comme l'a montré notre enquête menée l'automne dernier, les programmes DSP2 se concentrent à ce jour sur le respect des exigences de conformité réglementaire. Il n'est donc pas surprenant que la plupart des ASPSP que nous avons rencontrés à travers l'UE estiment être globalement conformes aux exigences de la législation DSP2.

Des retards ont cependant été constatés dans la transposition de la DSP2 dans la législation nationale au sein de plusieurs États membres de l'UE. En outre, certaines lignes directrices, telles que les directives de l'Autorité bancaire européenne (ABE) sur la fraude, sont encore en suspens et les programmes de conformité devront être revus dès leur publication^[1].

Les programmes de conformité des entreprises visant à mettre en œuvre les exigences de la Norme technique de réglementation (RTS) sur l'authentification forte du client (SCA) et la communication commune et sécurisée (CSC) semblent également progresser de manière satisfaisante et prendre de l'ampleur. Pour rappel, les ASPSP doivent publier les spécifications techniques de leurs interfaces de communication (API), mettre leurs environnements de test à la disposition des fournisseurs tiers (TPP) d'ici mars prochain et être prêts pour toutes les autres exigences d'ici septembre 2019.

Cependant, l'absence continue de normes communes pour les interfaces de programmation d'application (API) à utiliser pour les interfaces de communication dédiées entraîne une fragmentation du marché. Il n'existe pas de consensus à l'échelle de l'UE, et parfois même pas au niveau national (exemples de standards nationaux : Berling Group, UK Open Banking, STET) sur les normes à adopter ; et certains ASPSP ont choisi de développer des API sur mesure, seules ou en partenariat.

Nous pensons que l'absence de normes communes réduira le niveau d'interopérabilité et, au moins à court et à moyen terme, constituera un obstacle au développement de services et de produits compatibles DSP2.

On ne sait pas encore quels seront les critères permettant d’exempter les ASPSP à la mise en place d’un mécanisme de secours (c'est-à-dire l'obligation d'ouvrir les interfaces utilisateur existantes en tant que canal de communication via le « screen scraping », si l’interface dédiée est indisponible ou sous-performante). Un éclairage est en effet attendu des autorités nationales compétentes (ANC) sur ce que les tests et la supervision des interfaces dédiées signifieront dans la pratique.

Cette question est liée, de manière plus large, à la manière de réconcilier DSP2 avec le nouveau règlement général sur la protection des données (RGPD). Bien que l'ABE ait apporté plus de clarté sur certains aspects du SCA, les ASPSP continuent d'être concernés, notamment en ce qui concerne les données de paiement sensibles et la manière dont elles devraient être protégées à la fois par DSP2 et RGPD. Nous avons exploré ces questions plus en détail ici, mais là encore, les régulateurs et les superviseurs devront fournir des orientations plus claires et plus pratiques.  

^[1] Les lignes directrices finales de l'ABE sur la déclaration des fraudes au titre du DSP2 ont été publiées le 18 juillet 2018

Développer une stratégie DSP2

Pour l'instant, les programmes de conformité restent la priorité la plus immédiate pour les établissements de la plupart des États membres. Cependant, les réorientations stratégiques liées à la DSP2 ont fait l’objet au cours des six derniers mois d’une attention et d’investissements sensiblement accrus.

De nombreux ASPSP travaillent actuellement sur des proof of concept et des programmes pilotes, en se concentrant principalement sur des cas d'usage liés aux services d'information sur les comptes : services d'agrégation de comptes, applications de gestion des finances personnelles, programmes de fidélisation, crédits, ou encore services aux petites et moyennes entreprises. Bien que nous n'observions pas encore l'émergence de business modèles clairs basés sur DSP2, nous commençons à voir de plus en plus d'ASPSP aller au-delà des limites étroites de DSP2 (notamment en termes de périmètre puisque la DSP2 se limite aux seuls comptes de paiement) et investir dans la création de nouveaux « écosystèmes » de partenariats avec des TPP. Ils s'appuient pour cela sur des API « premium » pour offrir à leurs clients une expérience de marché adaptée à leurs besoins financiers plus larges, à la fois au niveau national et international.

La volonté de devenir un TPP agréé, en particulier un fournisseur de services d'information sur les comptes (AISP), se renforce dans l'ensemble de l'UE. Dans les pays où les ANC (Autorités Nationales Compétentes) ont ouvert la possibilité de demander un agrément, la demande a été très forte et très rapide. Par exemple, la Financial Conduct Authority du Royaume-Uni a autorisé plus de 25 AISP depuis le début de 2018. Cependant, l'octroi des agréments a été entravé dans de nombreux États membres en raison du retard dans la transposition de la DSP2. En France, 4 AISP étaient agréés fin juin 2018 auprès de l’ACPR ; l’ACPR annonçait également avoir reçu une notification au titre du passeport européen pour 5 établissements de paiement et de monnaie électronique proposant des services d’agrégation et d’initiation de paiement.

Dans l'ensemble, bien que l'industrie soit de plus en plus stimulée par les opportunités stratégiques découlant de la DSP2, la sensibilisation des consommateurs aux produits et services de la « banque ouverte » demeure faible. Le baromètre Deloitte et Harris Interactive « Les Français et les nouveaux services financiers » montre ainsi une stagnation du nombre d’utilisateurs d’agrégateurs de comptes à 9% des français entre 18 et 70 ans. Ce manque de sensibilisation peut être aggravé par une méfiance latente envers les nouveaux produits et services basés sur le partage de données personnelles et sensibles, en particulier s’agissant de marques moins connues. Un effort important de la part des entreprises sera donc nécessaire pour améliorer la sensibilisation, l'intérêt et la confiance des consommateurs.