DSP2 : Quelles évolutions pour les banques et les clients ?

Adoptée en 2015, la DSP2 est entrée en vigueur depuis le 13 janvier 2018. Son application induit de multiples enjeux dans les 28 pays membres de l’Union Européenne.
Elle vise à favoriser l’innovation et la concurrence. L’ambition est aussi de développer un marché européen des paiements compétitifs, ainsi que la protection client, à travers la sécurisation des paiements.

Authentification

La DSP2, comprend plusieurs volets instaurant de nouvelles règles à destination du consommateur :

Elle rend obligatoire l’authentification forte – SCA Strong Customer Authentication – pour les paiements de plus de 30 euros. Elle interdit la surfaturation. Toute application de suppléments en cas de paiement par carte de débit ou de crédit, aussi bien en magasin physique que numérique, est proscrite.

Toutefois, les dispositions ci-après, sur l’accès aux données font débat entre les banques et les startups de la FinTech. Elles seront effectives à partit du 14 septembre 2019 :

• L’ouverture du marché à de nouveaux acteurs, donnant accès aux informations sur les comptes par un canal de communication sécurisé.
• Le renforcement des droits des consommateurs, comprenant l’abaissement de la franchise, de 150 à 50 euros. Cette dernière reste à charge du client en cas de fraude à la carte (avant opposition). La réduction des délais de remboursement ou encore l’introduction d’un droit au remboursement inconditionnel pour les prélèvements en euro, sont aussi prévus.
• La légalisation du cash-back, déjà effectif en Europe. Il s’agit de donner la possibilité aux clients de retirer des espèces chez un commerçant au moment d’un paiement. Aucune disposition spécifique ne l’autorise mais l’article 3 (alinéa-e) du texte précise qu’il ne s’agit pas d’un service de paiement en tant que tel. Le projet de loi ratifiant l’ordonnance de transposition en droit français de la directive, en discussion au Parlement, prévoit d’encadrer cette pratique du cash-back,  en fixant un montant maximum.

La DSP2 oblige les banques à fournir l’accès aux données de leurs clients – avec l’accord de chacun –  à des acteurs tiers que sont les PSP – initiateurs de services de paiement – à l’image de SoFort, Adyen, HiPay ou PayPal.
Il en est de même pour les prestataires de services d’informations sur les comptes (les agrégateurs présentant des tableaux de bord et outils de gestion des finances personnelles).
Ce sont souvent des FinTech mais parfois aussi d’autres banques (elles sont nombreuses à proposer un agrégateur) ou des assureurs. Nous pouvons entre autre citer la MAIF et son agrégateur Nestor.

Adapter les interfaces bancaires

Les banques devront “assurer une communication sécurisée et standardisée” en adaptant leur interface bancaire en ligne. Une autre alternative est possible : celle de créer une interface spécifique (une API, une interface de programmation interopérable).

Dans le cas contraire, les agrégateurs et prestataires de paiement pourront continuer à accéder aux données en pratiquant le “screen-scraping” (capture de données d’écran), à l’aide des codes d’accès du client.
Cette technique n’est néanmoins pas idéale du point de vue de la sécurité informatique.

Ce sera limité dans le temps (tolérance jusqu’en septembre 2019) et encadré :

« La DSP2 interdit aux PSP d’accéder à toute autre donnée du compte de paiement du client, que celles pour lesquelles le client a donné son autorisation explicite. Les clients devront consentir à l’accès, à l’utilisation et au traitement de ces données » explique la Commission.

Un compromis traçant la voie de l’open banking, et qui satisfait à la fois les banques et les clients. Il laisse un délai de transition, et souhaite en finir avec le flou juridique.

La première FinTech à obtenir l’agrément DSP2 est un établissement de paiement, l’agrégateur Bankin’. Sa maison-mère Perspecteev a obtenu  deux agréments d’initiation de paiement et d’information sur les comptes, de l’ACPR – Autorité de Contrôle Prudentiel et de Résolution.

Transaction SCA et conformité

Le processus d’authentification forte doit permettre de récolter au minimum deux des informations suivantes :

• Une chose que vous connaissez : Mot de passe, question secrète, code secret, numéro d’identification ou schéma.
• Quelque chose que vous possédez : Appareil connecté (dont mobile), Token (dont carte à puce, badge) ou Apps mot de passe temporaire.
• Quelque chose qui vous caractérise : Empreinte palmaire, empreinte ADN, reconnaissance faciale, reconnaissance vocale, ou reconnaissance Iris.

Dans le passé, les banques émettrices devaient souvent se limiter à demander aux utilisateurs un mot de passe unique et statique, ou devaient fournir un objet connecté permettant l’usage de code éphémère unique.

Cette pratique vise à pérenniser les mots de passe et à éviter l’utilisation d’objets connectés, comme les calculatrices, qui généraient un coût financier et environnemental non négligeable.

Pour se conformer à la réglementation, les entreprises vont devoir réinventer leurs processus d’authentification. Il est donc souhaitable d’adopter progressivement des technologies biométriques.

Arnaud