De DSP2 à DSP3, quels changements et corrections à prévoir ?
La Commission européenne a publié, le 28 juin 2023, une proposition de textes pour une DSP3 (Directive sur les Services de Paiements 3). Ces textes, qui devraient être votés par le Parlement européen d’ici fin 2024, entreraient en application à horizon fin 2026. Quels sont donc les changements à prévoir avec DSP3 ?
Si vous souhaitez en savoir plus sur le nouveau cadre législatif instauré par DSP3 et FIDA,
regardez notre Webinaire en replay ici !
La DSP3 pour délier l’Open Banking et corriger les écueils de la DSP2 :
La DSP3 a pour enjeu de corriger les obstacles de la DSP2, afin de permettre à l’Open Banking d’exprimer l’entièreté de son potentiel. En effet, les banques et fintechs ont identifié de nombreux écueils lors de
la mise en place de la DSP2 :
#1 : Les API ne fonctionnent pas toujours correctement, ce qui crée une certaine frustration pour les utilisateurs. Avec la DSP3, le fonctionnement des API devra être rendu transparent, via la publication de statistiques de performance trimestrielles. En cas d’indisponibilité, les banques devront communiquer aux PSP (Prestataires de Service de Paiement) la cause de l’incident, ainsi que les mécanismes de correction (article 35 du RSP).
#2 : Savoir qui a accès aux données reste une question obscure pour les Français. Avec la DSP3, les utilisateurs pourront, en temps réel et via leur espace client bancaire, surveiller et retirer facilement les autorisations d’accès aux données (article 43 du RSP).
#3 : Les règles et parcours d’authentification forte sont trop contraignants, ce qui complexifie l’expérience client. Avec la DSP3, les parcours seront accélérés afin de faciliter l’usage des services de paiement. Les PSP pourront appliquer leur propre solution d’authentification forte en lieu et place de la banque (article 86 du RSP).
#4 : Les Français sont méfiants par rapport au partage des données, dans un contexte où les nouveaux scenarios de fraude ne cessent de se développer. Avec la DSP3, afin de lutter plus efficacement contre les fraudeurs, les banques et les PSP sont incités à déployer un fichier de place via lequel seront partagés les IBAN frauduleux (article 83 du RSP). De plus, les prestataires de services de communications électroniques devront coopérer pour lutter plus efficacement contre les nouveaux cas de fraude (article du 59 RSP), par exemple le spoofing1, en permettant l’identification de la ligne appelante ou l’adresse de courrier électronique.
#5 : Aucune sanction coercitive n’impacte les acteurs qui ne respectent pas les standards de la DSP2. Avec la DSP3, cela n’est plus vrai. Le règlement qui accompagne la DSP3 impose, en cas de violation ou de contournement des dispositions, une amende d’au moins 10% du chiffre d’affaires annuel total et l’interdiction provisoire, pour tout membre de l’organe de direction, d’exercer des fonctions de direction. Des astreintes représentant 3% du chiffre d’affaires journalier moyen sont également prévues (articles 97 et 98 du RSP).
Mais il serait réducteur de considérer que ce nouveau cadre législatif aura pour unique ambition de corriger les imperfections de la DSP2. En remettant en lumière l’enjeu de l’ouverture des données de paiement et en en abrogeant les obstacles, la DSP3 s’inscrit dans un environnement propice au partage de la donnée financière.
Retour sur la genèse de la réglementation DSP :
Il est important de rappeler que la DSP3 est l’aboutissement de plus de 15 années de travail sur les données de paiements. Entrée en vigueur en 2008, la DSP1 visait à ouvrir le marché des paiements à de nouveaux acteurs. DSP1 introduisait officiellement le statut de Prestataire de Services de Paiement (PSP). Des sociétés non bancaires ont ainsi eu le droit de proposer des services autour des données de paiement. De nouveaux acteurs sont alors apparus. Par exemple, Linxo a lancé son offre gestion des finances pour les particuliers en 2010 et Lydia a proposé les premiers paiements entre amis et cagnottes en ligne en 2011. Puis, tout un écosystème les a suivi.
Avec ces nouveaux services a émergé l’enjeu de la sécurité des paiements. C’est la raison pour laquelle est entrée en vigueur la DSP2 en 20192. Elle visait notamment à renforcer la sécurité du partage des données de paiement et à introduire l’authentification forte.
Cependant, force est de constater que l’ouverture des données de paiement n’a pas été le vecteur de création de valeur et de transformation espéré. Plusieurs éléments l’expliquent : règles et parcours d’authentification forte trop contraignants, freins culturels au partage des données. On constate aussi des retards dans la mise à disposition des API, défauts de performance, etc. Au final, la valeur perçue par les utilisateurs n’était pas au rendez-vous de l’effort à fournir pour donner accès à ses données. C’est la raison pour laquelle la DSP3 vient en corriger les écueils.
Mais malgré tout, de nouvelles perspectives ont déjà été ouvertes. De nombreux cas d’usage ont pu être dépoussiérés, comme la simplification de l’octroi de crédit via l’analyse de critères de flux plutôt que des critères de revenus, ou encore l’intégration d’agrégateurs de comptes aux ERP (Entreprise Ressources Planning) pour simplifier la gestion de trésorerie des entreprises. Surtout, les acteurs traditionnels ont pris davantage conscience de l’importance de la donnée.
Avec la DSP3, l’Europe pose le cadre final de l’Open Banking, et prépare le passage à l’Open Finance :
Depuis plusieurs années, l’Europe pose les différents jalons de l’Open Finance.
L’Open Finance, c’est une réelle structuration de la donnée financière, la sécurisation des transactions digitales, et l’émergence de propositions de valeur innovantes et souveraines. La DSP3 avec l’Open Banking n’est finalement que « the top of the iceberg » de l’édifice européen de la donnée financière. Ce n’est d’ailleurs pas un hasard que, le 28 juin 2023, jour de la sortie de la DSP3, la Commission Européenne ait publié une autre réglementation : FIDA (Financial Data Access). Un vote définitif du Parlement européen est attendu d’ici fin 2024. S’il s’avère positif, l’entrée en vigueur aura lieu fin 2026.
Vous désirez en savoir plus sur ces sujets et échanger avec nos experts ? N’hésitez pas à nous contacter !
1 = Cas d’usurpation d’identité, où le fraudeur se fait passer pour un conseiller et demande par téléphone ou mail au client de partager ses données personnelles et/ou de réaliser un virement.
2 = L’ensemble des normes techniques qui définissent les exigences constituant la DSP2 (appelées RTS) sont entrées en vigueur le 14 septembre 2019 au niveau européen.