Other parts of this series:
L’application des exigences techniques de la DSP2 était prévue le 14 septembre 2019, mais leur mise en œuvre est retardée à fin 2020. Point sur ce démarrage réglementaire ancré dans la progressivité.
La seconde Directive sur les Services de Paiement (DSP2) est entrée en vigueur le 13 janvier 2018. L’application de ses exigences techniques (les RTS, Regulatory Technical Standards) était prévue le 14 septembre 2019 : la majorité des acteurs n’étant pas prêts, leur mise en œuvre est retardée à fin 2020.
Rappel du contexte et des jalons clés
En mars dernier, les banques ont mis à disposition leurs API (Application Programming Interface) pour les TPP (Third Party Provider) afin d’initier la phase des tests d’intégration. Nous avions anticipé dans un précédent blog post qu’un problème d’accès aux API des banques pourrait se présenter : c’est désormais confirmé par les résultats d’utilisation des API.
Le TPP français Budget Insight, a publié les résultats de ses tests concernant les institutions financières 1. Uniquement 8% des API sont conformes aux RTS et 23% partiellement fonctionnelles. Quelques jours avant la date butoir du 14 septembre, 50% des API n’étaient pas utilisables. Même constat pour Tink2, qui mentionne que seulement 15% des acteurs étaient conformes au 21 Août 2019.
Pour expliquer ce retard, les banques mettent en avant l’arrivée tardive des RTS (13 mars 2018)3. S’ajoutent à cela les mises à jour récurrentes des solutions techniques proposées au niveau national notamment avec la STET en France, qui a repéré une faille de sécurité le 4 février 2019 et proposé un correctif dans sa version 1.4.6.2 diffusée le 25 février 2019.
La pression est également montée d’un cran côté e-commerçant face aux impacts de l’authentification forte sur les parcours clients en ligne. Pour rappel, l’authentification forte vise à renforcer la sécurité du paiement en ligne grâce à une identification du client à double facteur (ce que l’on sait, ce que l’on est, ce que l’on possède) entraine des modifications sur le parcours client.
Comme le précise le rapport Stripe3 publié en mai 2019, les pertes d’activité économiques en cas de non-report, tout secteur confondu, se chiffreraient en dizaines de milliards d’euros dès la première année. Redoutant ce scénario catastrophe où une majorité de leurs transactions en ligne se verraient rejetées, les associations d’e-commerçants sont ainsi montées au créneau4.
L’ABE a finalement publié un rapport5 le 21 juin 2019 dans lequel elle reconnait la difficulté de mise en conformité dans les délais impartis. Elle explique qu’elle conçoit que les autorités compétentes nationales travaillent conjointement avec les parties prenantes et leur accordent un temps additionnel limité pour assurer la transition vers les nouveaux standards de l’authentification forte.
Dans une audition tenue le 25 septembre6, la Commission Européenne semble ne pas soutenir entièrement les décisions des autorités locales et préconise plutôt un délai de 12 mois.
Enfin le 18 octobre, l’Autorité Bancaire Européenne a annoncé que les banques et les commerçants disposaient jusqu’au 31 décembre 2020 pour mettre en place une authentification forte du client conforme à la directive lors d’un paiement par carte en ligne.
Un enjeu crucial pour l’adoption de l’Open Banking en Europe
Face au report de la mise en œuvre, nous pouvons nous demander si un simple « délai de grâce » sera suffisant pour un déploiement effectif et optimisé.
Sans un véritable effort d’intégration de bout en bout, réalisé conjointement par tous les acteurs de la place, nous pouvons craindre que la situation n’évolue pas et risquons de faire face aux mêmes difficultés rencontrées aujourd’hui.
En premier lieu, les portails développeurs doivent être suffisamment accessibles et utilisables. Ces-derniers sont les points d’entrée des TPP : les partenariats se développeront grâce à l’accessibilité. Les portails doivent donc être clairement documentés, dans l’optique de faciliter la qualité des tests et d’accélérer les travaux d’intégration.
Il faut aussi une réelle coordination des acteurs au niveau national, des rapports d’audits et de contrôles réguliers, des tests de performances en situation réelle et à minima une roadmap d’intégration partagée entre tous les acteurs de la place. Il faut promouvoir le décloisonnement des travaux de mise en conformité et favoriser le dialogue entre les parties prenantes. La date officielle d’ouverture des flux et des nouveaux services au grand public ne doit être qu’une étape supplémentaire dans le plan d’intégration entre API bancaires et TPP comme le montre cet extrait du rapport de l’ABE7 :
“… Il est indispensable que tous les acteurs, incluant les marchands et les réseaux de paiement par carte, prennent les actions nécessaires pour appliquer ou demander un SCA, évitant ainsi les situations où les transactions de paiements sont rejetées, bloquées ou interrompues…”
En complément des axes d’améliorations listés ci-dessus, il sera également important d’accompagner les utilisateurs afin de s’assurer de leur bonne compréhension et de leur adoption des nouvelles normes apportées par la directive. Les commerçants semblent notamment surestimer le niveau d’information des consommateurs (90% des commerçants pensent que leurs clients sont parfaitement ou suffisamment informés8). Les clients n’ont certainement pas appréhendé les bénéfices d’une agrégation de compte par un Tiers pour bénéficier d’offres plus pertinentes. L’accompagnement des clients est primordial pour favoriser le développement des nouveaux usages (partage de données pour bénéficier d’offres personnalisées de sa banque ou de tiers, initiation de paiements via des tiers…).
Au-delà des aspects purement réglementaires, l’application de la DSP2 est une étape clé pour soutenir le développement de l’Open Banking au sein de l’Union Européenne. Ce délai supplémentaire est une réelle opportunité pour tous les acteurs de mettre en place des expériences bancaires innovantes et permettre une transition progressive vers ces nouveaux usages. Des initiatives, comme celles de BBVA ou ING par exemple, qui créent des expériences client différenciantes (simplicité, instantanéité, personnalisation d’offre…) devraient continuer à inspirer les banques en Europe à tirer parti de l’Open Banking.
1DSP2 : une entrée en vigueur le 14 septembre 2019 délicate. Consulté le 30 septembre 2019.
2 Tink. Zero PSD2 APIs are compliant with just weeks left before the deadline. Consulté le 30 septembre 2019.
3 Rapport Stripe – The impact of SCA shaking up europe’s online economy. Consulté le 1er octobre 2019.
4 Communiqué de presse de la Fevad. Consulté le 1er octobre 2019.
5 Rapport ABE – Opinion of the European Banking Authority on the elements of strong customer authentication under PSD2. Consulté le 1er octobre 2019.
6 Euractiv. EU divided over implementation of payments directive. Consulté le 1er octobre 2019.
7 Rapport ABE – Opinion of the European Banking Authority on the elements of strong customer authentication under PSD2. Consulté le 01 octobre 2019.
