Avec la Directive sur les services de paiement (DSP2), nous sommes entrés dans l’ère de l’open Banking. La directive a eu pour conséquence de faire apparaître une multitude de nouveaux acteurs qui proposent leurs services ou leurs technologies. Cette ambition est donc respectée : d’une part pour favoriser l’innovation au sein de la zone Euro pour redynamiser le marché et le rendre plus compétitif, et d’autre part de renforcer la sécurité des paiements pour ’enrayer la hausse constante de la cyber criminalité.
Les nouveaux entrants proposent des promesses très alléchantes pour leurs clients (B2C ou B2B) et certains joueraient même le rôle de tiers de confiance auprès de ces derniers. Au vu de la nature de la directive, favorisant les échanges de données sécurisées et l’ouverture aux acteurs tiers, ces derniers seraient donc très proches d’endosser (volontairement ou involontairement) un rôle d’opérateur Marketplace. Voici quelques explications sur les synergies notables entre la DSP2 et le modèle Marketplace.
Rappel de la réglementation DSP2
La directive (UE) 2015/2366, dite DSP2, est une directive révisée sur les services de paiement. Elle vient amender la première version de cette réglementation qui a été publiée un peu plus de 10 ans auparavant, en 2007. La DSP2 actualise le cadre réglementaire des paiements sur le vieux continent depuis début 2016, et sa mise en œuvre progressive a commencé en janvier 2018. Cette loi s’inscrit dans une démarche globale, de la part du législateur européen, de faire face aux évolutions et innovations technologiques, ainsi qu’à l’émergence des initiatives dans le secteur bancaire et des paiements numériques. La sécurité est également un point majeur de la directive, dont les normes de sécurité s’appliquent, depuis septembre 2019, marquant ainsi la fin de la période transitoire.
On peut ainsi dire que l’application de la loi s’articule en 2 grandes étapes distinctes.
DSP2 1er volet
La DSP2 impose depuis maintenant plus d’un an et demi, une ouverture globale des comptes bancaires des particuliers. Par conséquent, les données bancaires sont désormais accessibles gratuitement par n’importe quel service tiers. C’est dans ces conditions que de nombreux nouveaux acteurs sont apparus depuis quelques mois, modifiant ainsi considérablement le paysage économique bancaire. C’est notamment le cas des agrégateurs de comptes bancaires, comme Bankin’, Lydia, Budgea ou encore Linxo. Ces applications permettent de regrouper les données de plusieurs comptes bancaires sur une seule et même interface. En France, ces nouveaux acteurs sont contrôlés par l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) et sont soumis à des règles très strictes.
Cela constitue une mini-révolution pour les acteurs traditionnels qui voient toutes les données de leurs clients exposées au grand jour et surtout qui imposent aux grandes banques d’effectuer des évolutions majeures et coûteuses de leur système d’information. De plus, la DSP2, du fait des règles de sécurité sur les authentifications, alourdirait le parcours client des utilisateurs,
Cette libéralisation du secteur bancaire confère cependant de nombreux avantages pour les clients, toujours plus désireux d’innovations bancaires, notamment sur les paiements et leurs sécurités. Ces applications ou agrégateurs de comptes bancaires (un ou plusieurs établissements), se positionnent en intermédiaires tiers de confiance et offrent une couverture fonctionnelle plus riche et une ergonomie plus user-friendly : consultation des soldes, gestion du budget optimisée, classification automatique des dépenses, prévisionnel fin de mois, coach virtuel, système d’alertes (push notification ou email) ou encore virements de compte à compte (entre le même établissement bancaire ou entre deux différents). Autrement dit, ces acteurs tiers également appelés Third Party Provider(agrégateurs de comptes ou initiateurs de paiement) sont en capacité de transmettre un ordre de paiement, au nom et pour le compte du client, à l’établissement teneur de compte. Ces derniers utilisent la technique du « web scraping », qui leur permet, sous la seule responsabilité des clients qui ont communiqué leur accès (identifiants + mot de passe), de récupérer leurs données bancaires et ainsi de les exploiter.
Pour répondre aux exigences du législateur européen concernant cette « harmonisation des flux monétaires », les grands établissements bancaires (à leur grand dam) ont dû faire évoluer leurs systèmes d’information et concevoir des interfaces de type API (Application Programming Interface) afin d’exposer leurs données clients aux acteurs tiers. Les banques réalisant déjà depuis des années de nombreux investissements afin de maintenir un niveau de sécurité élevé de leurs systèmes et de leurs infrastructures.
DSP2 second volet
Entrée en vigueur depuis le 14 septembre 2019, la seconde étapes de la DSP2 a pour ambition de sécuriser davantage les transactions bancaires.
La multiplication des acteurs bancaires, des nouveaux produits issus des innovations technologiques et le volume toujours croissant de paiements, ont engendré une augmentation des risques de sécurités liés aux paiements électroniques. Preuve de ce fléau, le nombre de cyberattaques qui a explosé ces dernières années, notamment pendant la période transitoire. Les services de paiement sont essentiels au bon fonctionnement des activités économiques et sociales dans le monde entier. La sécurité et la sûreté de ces paiements doivent donc être irréprochables pour protéger de manière efficace les utilisateurs contre ces risques. L’Union Européen, en fixant un ensemble relativement strict, prône une protection des consommateurs et le développement d’un environnement sain pour le commerce électronique.
Plus concrètement, le second volet de la DPS2 impose une sécurité maximale pour les transactions de cartes bancaires pour tout montant supérieur à 30€ mais également une communication sécurisée entre les prestataires de services de paiement. Désormais, une authentification ou double authentification (deux facteurs) est souvent nécessaire pour effectuer certaines transactions avec une combinaison de deux éléments parmi 3 typologies d’authentification :
Des éléments cognitifs (ce que l’on sait) : PIN, mot de passe, questions de sécurité etc. ;
- Hardware (ce que l’on possède) : Ordinateur, smartphone, tablette etc. ;
- Biométrie (mesure du vivant) (lien article biométrie) : voix, empreintes digitales, yeux, Face ID veine etc.
Toutes les technologies qui permettent de garantir une authentificationsure à 100% sont plébiscitées par les acteurs du secteur bancaires pour améliorer la sécurité des transactions et de ce fait les risques de fraudes.
Les Third Party Provider bancaires, nouveaux opérateurs Marketplace ?
Du fait de leur rôle d’intermédiaire, les agrégateurs de comptes ou initiateurs de paiement jouent un rôle assimilé à celui des opérateurs Marketplace. Par analogie, ces Third Party Provider (TPP) jouent un rôle central dans la chaine de valeur des flux bancaires et sont positionnés en qualité de tiers de confiance (lien article Alexandre). Ce statut particulier impose à ces acteurs, vis-à-vis de leur clients, de la transparence, de proposer une plateforme sécurisée, d’être garant des flux monétaires et une confidentialité accrue des données bancaires.
Il est fort à parier que ces acteurs intermédiaires viennent concurrencer directement voire d’ « uberiser » les établissements bancaires traditionnels. Ils apportent une véritable promesse aux utilisateurs, que ce soit la simplicité d’utilisation, sur la richesse fonctionnelle de leur plateforme, ou encore sur le bouquet de services financiers offerts par ces derniers.
La croissance soutenue de la « Bank-as-a-service” et des acteurs de la Fintech renforce le positionnement des TPP. Dans un futur proche, nous pourrions imaginer ces intermédiaires agréger des comptes issus des banques traditionnelles (ou des néo-banques), ainsi que des fonctionnalités ou services provenant des acteurs de la Fintech (ex : comparateur de crédits, transfert d’argent, porte-monnaie électronique, achat de devise, etc.), voire, imaginer des services extra-bancaires divers et variés (ex : comparateur d’assurances ou de mutuelles, système de cagnotte, application VTC etc.). Nous pouvons tout imaginer à ce stade, le champs des applications est illimité. Ces nouveaux acteurs se transformeraient alors en agrégateur de flux, de services ou de produits, vocation première des opérateurs Marketplace.
Les opérateurs Marketplace, futurs agrégateurs de compte ?
A l’inverse, les opérateurs Marketplace pourraient se muer en agrégateurs de compte ou initiateurs de paiement. Les places de marché sont par essence des plateformes centralisatrices de flux et ont été pensées pour communiquer d’un point de vue technique avec des acteurs tiers (vendeurs, agrégateurs de flux, logisticiens etc.) notamment via les APIs.
Dans un tel scénario, certains opérateurs en profiteraient pour faire évoluer leurs plateformes avec de nouvelles fonctionnalités bancaires. Imaginez deux minutes si Amazon, dans une volonté d’extension de services, proposait à ces clients historiques d’agréger leurs comptes bancaires ou encore de faire des virements bancaires. Pour aller plus loin, ce nouveau service d’Amazon pourrait même contrecarrer les plans des opérateurs de paiement (PSP), si les clients étaient en mesure d’effectuer des virements à Amazon directement sans passer par les PSP. Sous réserve tout de même que ce dernier crée une structure indépendante et bénéficie des agréments bancaires requis. Ou encore Uber qui pourrait se transformer en initiateur de paiement pour proposer un service de paiement à ses utilisateurs. Nous pouvons imaginer une multitude de cas d’usage concrets (et à forte valeur ajoutée) où des opérateurs Marketplace existants se positionneraient en agrégateurs de compte ou d’initiateurs de paiement pour le bien de leurs clients. A voir quelle sera la réponse des opérateurs de paiement face à ce nouveau risque.
Encore au stade embryonnaire mais tout de même en plein essor, les Marketplace dans le secteur bancaire se sont généralisées et tendent à se démocratiser dans les années à venir. Les prochaines étapes de la DPS2 comme notamment l’ « instant payment » (virement partout en Zone Euro en 10 secondes) vont maintenir l’intensité concurrentielle à un niveau très élevé (avec une hausse constante du nombre de nouveau entrants) mais également renforcer l’attrait des opérateurs de places de marché sur le secteur bancaire. Une chose est sûre, c’est que la réglementation DSP2 y est pour quelque chose. Réponse d’ici quelques années…
Alexandre Onufryk – Managing Consultant