La reconversion, parent pauvre des politiques d…
La mise à jour de la Directive de Services de Paiement (DSP 2), qui a été adoptée par le parlement européen le 8 octobre 2015, vise à renforcer les acquis de la DSP 1 en termes de sécurité, protection des consommateurs et régulation des nouveaux entrants.
Les pays membres ont jusqu’au 25 Novembre 2017 pour transcrire ses dispositions aux législations nationales.
Parmi les différents changements introduits par la Directive, la reconnaissance juridique des entreprises d’agrégation d’information et d’initiation de paiement en tant que prestataires de service de paiement est une grande évolution. Ces Fintechs, également dénommées prestataires de services de paiement tiers (PSP tiers), existent depuis plusieurs années en Europe et proposent des services innovants. Elles exerçaient jusque-là une activité non-réglementée à la lisière des lois existantes. Dorénavant ces entreprises seront régies par les dispositions de la DSP 2 et seront soumises en particulier à des exigences de demande d’agrément et d’enregistrement auprès des autorités compétentes. Cependant, leurs obligations diffèrent légèrement de celles applicables aux établissements de paiement.
Que signifie la présence de ces acteurs pour les banques ? Leur activité, complémentaire à celle des banques, permet d’enrichir l’expérience client. Cependant, l’accès de ces acteurs à des données bancaires soulève des enjeux de sécurité à ne pas négliger.
Il est intéressant de noter que les services proposés par les PSP tiers ne s’attaquent pas directement à la chaine de valeur bancaire, mais s’inscrivent en complément. En effet, ces acteurs prennent la forme de plateformes intermédiaires qui se couplent aux opérations bancaires classiques. Ces entreprises ne s’attaquent pas aux commissions, mais se positionnent en tant qu’intermédiaire, provoquant l’évolution du circuit des paiements vers une relation tripartie entre banques, clients et PSP tiers.
Les agrégateurs d’informations, comme Bankin ou Linxo, proposent aux clients une vision consolidée de tous leurs comptes. En plus de cette prestation, qui est perçue comme une véritable valeur ajoutée pour certains clients, ces plateformes développent d’autres services induits comme la gestion des finances personnelles (analyse des dépenses et gestion prédictive), le conseil en investissement (robo-advisory) ou encore la gestion documentaire (factures, notes de frais…). Ainsi, les agrégateurs d’information développent une stratégie de valeur qui dépasse le domaine bancaire. Ils visent à simplifier la vie des clients en proposant une offre intégrée de services de gestion administrative et financière. Les données qu’ils collectent complètent ce modèle avec des capacités de personnalisation et d’analyse comportementale. Les banques peuvent également se positionner sur ces services qui constituent un véritable axe de différenciation. L’acquisition récente de Fiduceo par Boursorama en 2015 illustre parfaitement ce potentiel, les services d’agrégation et de gestion documentaire étant désormais parfaitement intégrés à leur offre bancaire.
Les entreprises d’initiation de paiement comme Sofort en Allemagne, iDeal dans les Pays-Bas et Trustly en Suède sont des solutions particulièrement intéressantes pour le e-commerce car elles simplifient les transactions et permettent de raccourcir les délais de livraison tout en diminuant le risque de non-paiement pour les commerçants. De la même manière que les agrégateurs, ces applications peuvent se coupler à d’autres fonctionnalités pour proposer des services de plus en plus élaborés comme Trustly qui offre une vision sur le solde des différents comptes disponibles (épargne ou compte courant) et permet de choisir lequel va être utilisé pour le paiement. Trustly a par ailleurs élargi son réseau pour inclure des plateformes de jeu, des marketplaces et même des services de transfert d’argent. Ces initiateurs de paiement créent de la valeur pour les utilisateurs dès lors qu’ils enrichissent leur expérience et les opérations possibles depuis leur plateforme.
La Directive des Services de Paiement soulève un défi concernant la sécurité des données bancaires. En effet, le texte de loi prévoit que les banques autorisent l’accès aux comptes de leurs clients sans entraver leur activité. Ainsi, une problématique de sécurité des systèmes d’information émerge car les PSP tiers vont avoir accès aux informations confidentielles des clients et vont être autorisés à générer des paiements depuis leurs comptes. Ceci constitue un risque opérationnel d’autant plus important que la loi européenne ne définit aucune obligation contractuelle entre les PSP tiers et les banques. De plus les dispositions et responsabilités en cas de fraude ne sont pas clairement définies par la Directive. Assurer cet accès facilité aux comptes tout en respectant les exigences d’authentification forte, l’autre sujet crucial de ce texte de loi, représente une difficulté supplémentaire.
Face à cet enjeu, les banques vont devoir déployer des dispositifs de sécurité complémentaires pour ouvrir leurs systèmes tout en maîtrisant les risques de lutte contre la fraude : évolution des systèmes d’information, renforcement des contrôles et monitoring des transactions sont autant d’initiatives opérationnelles à mettre en œuvre pour se conformer à ces nouvelles dispositions.
La DSP 2 n’exempte pas pour autant les PSP tiers qui devront au même titre que les banques se conformer aux standards de sécurité bancaires qui seront définis dans un règlement à venir de l’Autorité Bancaire Européenne (ABE). Ce document, attendu au plus tard le 23 décembre 2016, permettra de clarifier le cadre de fonctionnement des échanges entre les banques et les PSP tiers.
La reconnaissance des acteurs d’initiation de paiement et d’agrégation d’information par la DSP 2 génère des impacts opérationnels importants, principalement liés à l’ouverture des processus et systèmes bancaires à des prestataires externes. Mais les enjeux pour les banques ne s’arrêtent pas là puisque les nouveaux entrants questionnent également l’offre de service en ouvrant la voie à une plus forte intégration des services bancaires dans les parcours d’achat et dans les activités de gestion administrative. Même si pour l’instant les PSP tiers ne s’attaquent pas au cœur de métier des banques, ces dernières doivent se positionner sur l’évolution des services de paiement et développer une stratégie de réponse qui peut passer par de nouvelles acquisitions et partenariats.