La DSP2 : objectifs et état des lieux

Tristan Leteurtre

La DSP2 a été mise en application le 14 septembre 2019. Son arrivée a été annoncée comme une révolution et une avancée en matière de protection des consommateurs. Pour le secteur bancaire, cela implique aussi de répondre à des exigences techniques pour se mettre en conformité avec cette nouvelle directive européenne. Définitions, objectifs et point sur la situation, on vous dit tout.

   Cartes corporate : Le guide pour comparer les offres  Télécharger le guide

 

La DSP2 : définition et objectifs

Qu’est-ce que la DSP2 ?

 

La DSP2 est la nouvelle Directive sur les Services de Paiement. Il s’agit d’une directive européenne. Elle a deux objectifs principaux :

  • Mieux protéger les consommateurs ;
  • Garantir un accès équitable et ouvert aux marchés des paiements.

 

La DSP2 démocratise ainsi le secteur bancaire et encourage la compétitivité et l’innovation. Il s’agit ici de mettre un véritable frein au monopole des banques sur les données des clients. Avec la DSP2, les consommateurs seront mieux protégés face à la cybercriminalité, au vol de données et aux fraudes. Ils seront également mieux informés.

 

Dans quel contexte cette mesure arrive-t-elle ?

 

À l’heure du tout numérique, les consommateurs s’éloignent progressivement des banques traditionnelles. Si l’on pense bien sûr à des services comme PayPal ou aux néobanques exclusivement en ligne, d’autres émergent peu à peu, comme les agrégateurs de comptes bancaires qui permettent de réunir en un seul endroit tous les produits financiers d’un consommateur.

 

D’une manière générale, c’est tout le secteur bancaire qui connaît une révolution, avec d’un côté des consommateurs de plus en plus friands des services en ligne, et de l’autre des banques qui luttent pour conserver leur monopole.

 

Face à ces nouvelles pratiques, le monopole des banques traditionnelles n’est plus envisageable, cela représente un frein à une concurrence saine et est contraire aux intérêts des consommateurs.

 

Pour profiter des offres avantageuses proposées par des services financiers en ligne, les consommateurs doivent communiquer leurs coordonnées bancaires. Sans cadre juridique international strict pour encadrer ce type de démarches, il est impossible de protéger les consommateurs contre les risques les plus courants, tels que le vol ou l’utilisation frauduleuse de leurs données bancaires, ou plus simplement, tous les risques de sécurité liés à la communication sur Internet de données à caractère sensible.

 

Le fait que les banques conservent le monopole des données de leurs clients empêche également ces derniers de profiter librement d’un agrégateur de comptes bancaires qui pourrait les aider à mieux gérer leur argent au quotidien. Cela ralentit aussi les paiements et la transmission d’informations bancaires.

 

Il devenait ainsi nécessaire de mettre en place un vrai cadre juridique pour encadrer les nouvelles pratiques et protéger les consommateurs. Avec la DSP2, les banques sont désormais dans l’obligation de permettre à des tiers autorisés l’accès aux comptes de leurs clients et aux informations liées. En résumé, les clients peuvent à présent décider eux-mêmes qui peut accéder à leurs données.

 

Par exemple, cela pourrait permettre à des entreprises de commerce en ligne de proposer directement le paiement sur leur site au lieu de rediriger les clients vers des services de paiement comme PayPal.

 

La DSP2 s’annonce comme une excellente nouvelle pour les consommateurs, les nouveaux venus dans le secteur bancaire ainsi que pour de nombreuses entreprises. Elle pose cependant de nombreuses contraintes pour les banques traditionnelles, qui doivent veiller à la sécurité des données de leurs clients.

 

cyber-security-2765707_1920-1

 

État des lieux de la DSP2

 

Pour être en conformité avec la DSP2, le secteur bancaire doit trouver des solutions pour ces trois sujets majeurs :

  • Mettre en place une communication sécurisée entre les banques et les Third Party Provider (TPP), ce qui passe par la mise en place d’API (Application Programming Interface).
  • Proposer une authentification forte pour sécuriser l’accès aux comptes bancaires et aux données de paiement.
  • Fournir une plus grande sécurité aux consommateurs : remboursement des opérations frauduleuses, interdiction des surfacturations...

 

D’autres points sont évoqués dans la DSP2, comme la nécessité de faciliter la transmission de l’information pour les consommateurs. Par exemple, il faut pouvoir garantir que pour chaque transaction ou utilisation de leurs données, ils donnent leur consentement, ou encore qu’en cas de paiement refusé, un motif de refus leur soit donné.

 

Le secteur bancaire avait donc fort à faire pour se mettre en conformité avec la DSP2 avant son application en septembre 2019.

 

Les enjeux des APIs

 

Pour rappel, une API est une interface de programmation qui permet d’établir une connexion entre plusieurs logiciels ou applications indépendants dans le but d’échanger des données. Ici, l’API est donc ouverte et elle fait le lien entre les banques et les tiers autorisés à accéder aux données de leurs clients. Via l’API, on pourra par exemple permettre :

  • Un service d’accès aux comptes pour les acteurs AISP (Account Information Service Provider), dont font partie les agrégateurs.
  • Un service d’initiation de paiement pour les acteurs PISP (Payment Initiation Services Provider).
  • Un service de fourniture de cartes de paiement reliées au compte bancaire pour les acteurs PIISP (Payment Instrument Issuer Service Provider).

 

Si la France s’en est sortie correctement comparée à d’autres pays d’Europe, de nombreuses banques ont tardé à proposer des APIs fiables. Selon le sondage mené par Tink, en septembre 2019, 75 % des API des banques européennes étaient disponibles, mais seuls 10% étaient en réalité opérationnelles. Bien que certaines problématiques persistent aujourd'hui, la majorité des banques sont équipées et opérationnelles.

 

Cependant, plusieurs standards ont été retenus par les banques concernant leurs API. Ainsi, dans certains pays comme la France, les banques ont majoritairement opté pour les normes de la STET, tandis que dans d’autres, comme la Belgique, elles se sont plutôt tournées vers les normes NextGenPSD2.

 

Des banques ont également opté pour du multistandard, mais elles sont minoritaires. On peut cependant penser qu’il s’agit là d’une situation transitoire et que toutes les banques utiliseront à terme des standards identiques.

 

Actuellement, il reste donc beaucoup de travail à effectuer du côté des API.

 

eye-5814965_1920

 

Authentification forte

 

Dans le cadre de la directive DSP2, les banques doivent également mettre en place une authentification forte du client (en anglais SCA, pour Strong Consumer Authentication) afin d’éviter les transactions frauduleuses. Certaines exceptions.

 

Il s’agit de pouvoir garantir que la transaction est bien effectuée par le client, ceci au moyen de deux vérifications qui correspondent à au moins l’un des critères suivants :

  • Une information connue uniquement du client, comme un code PIN ou un mot de passe ;
  • Une information que seul le client possède, comme un code envoyé par SMS sur son Smartphone ;
  • Une information directement liée au client, comme les données biométriques (ex. : une empreinte digitale).

 

On peut citer comme exemple la double authentification sur Paypal, qui implique que le client entre d’abord son mot de passe sur le site ou l’application, puis fournisse un code d’accès unique d’une durée limitée qui lui est envoyé par mail, téléphone ou SMS.

 

En ce qui concerne la mise en place d’une authentification forte dans le cadre de la DSP2, deux principaux modèles s’opposent :

  • Le modèle de redirection : l’utilisateur est redirigé vers sa banque pour s’authentifier. Il doit par conséquent quitter momentanément la plateforme sur laquelle une action est en cours pour s’authentifier auprès de sa banque, avant d’être à nouveau redirigé vers le site de départ. Cette méthode sort donc virtuellement le client du site sur lequel il effectue une transaction pour l’amener vers une interface qui lui donne l’impression d’être sur le portail habituel de sa banque.
  • Le modèle intégré : l’authentification se fait directement sur l’interface, sans redirection vers la banque de l’utilisateur. Ici, la transaction se fait sans que le client soit mis directement en contact avec sa banque.

 

Il existe également un troisième modèle : le modèle découplé. Ici, c’est le TPP (Third Party Provider) qui se charge de transmettre à la banque les données d’authentification du client pour s’assurer de leur validité.

 

Le premier modèle, celui qui implique une redirection, a pour le moment la faveur des banques. C’est au détriment des TPP qui préfèrent le modèle intégré, notamment parce qu’il leur offre un meilleur contrôle sur le parcours utilisateur en intégrant directement sur leur interface l’intégralité de l’expérience client, sans redirection.

 

Le choix du modèle de redirection pose également un souci : si certaines banques offrent à leurs clients un portail ergonomique, intuitif et riche de toutes les informations nécessaires, d’autres optent pour un portail très basique et souvent peu intuitif pour l'utilisateur,  ce qui s'ajoute à l’agacement des TPP.

 

Dues aux contraintes techniques que l'authentification forte implique pour les différents acteurs concernés par cette réforme, les autorités françaises avaient annoncé un report de la date limite. L'entrée en vigueur devrait se faire en mai 2021, début mars 4 paiements sur 10 ne sont toujours pas conformes.

 

La DSP2 oblige les banques traditionnelles à repenser leur fonctionnement et à s’adapter à de nouvelles contraintes techniques. Si son application n’est pas encore optimale, on peut s’attendre à ce que le secteur bancaire continue ses efforts, non seulement parce qu’il n’a plus le choix, mais aussi parce qu’il en va de l’intérêt des consommateurs en favorisant la concurrence, en améliorant leur expérience bancaire et en protégeant leurs données.

 

Télécharger le comparatif sur les cartes corporate Télécharger gratuitement

Êtes-vous exposé au risque de burn-out ?
Consultez l’édition 2023 de notre étude sur le bien-être au travail et découvrez si vous êtes exposé au même risque que 48 % des cadres interrogés.
Télécharger l'étude

Besoin de plus d’informations ?

Notre équipe est disponible du lundi au vendredi de 9h à 19h pour vous présenter la solution Mooncard et concevoir avec vous un devis sur-mesure correspondant aux besoins de votre entreprise.

Demander une démo