La DSP2 : objectifs et état des lieux

La DSP2 a été mise en application le 14 septembre 2019. Son arrivée a été annoncée comme une révolution et une avancée en matière de protection des consommateurs. Pour le secteur bancaire, cela implique aussi de répondre à des exigences techniques pour se mettre en conformité avec cette nouvelle directive européenne. Définitions, objectifs et point sur la situation, on vous dit tout.

Optimisez votre choix de carte bancaire d'entreprise grâce à notre fiche comparative !

La DSP2 : définition et objectifs

Qu’est-ce que la DSP2 ?

La DSP2 est la nouvelle Directive sur les Services de Paiement. Il s’agit d’une directive européenne. Elle a deux objectifs principaux :

  • Mieux protéger les consommateurs ;
  • Garantir un accès équitable et ouvert aux marchés des paiements.

La DSP2 démocratise ainsi le secteur bancaire et encourage la compétitivité et l’innovation. Il s’agit ici de mettre un véritable frein au monopole des banques sur les données des clients. Avec la DSP2, les consommateurs seront mieux protégés face à la cybercriminalité, au vol de données et aux fraudes, et ils seront également mieux informés.

En quoi consiste la DSP2 ?

Dans quel contexte cette mesure arrive-t-elle ?

À l’heure du tout numérique, les consommateurs s’éloignent progressivement des banques traditionnelles. Si l’on pense bien sûr à des services comme PayPal ou aux néobanques exclusivement en ligne, d’autres émergent peu à peu, comme les agrégateurs de comptes bancaires qui permettent de réunir en un seul endroit tous les produits financiers d’un consommateur.

D’une manière générale, c’est tout le secteur bancaire qui connait une grande révolution, avec d’un côté des consommateurs de plus en plus friands des services en ligne, et de l’autre des banques qui luttent pour conserver leur monopole.

Face à ces nouvelles pratiques, le monopole des banques traditionnelles n’est plus envisageable : c’est un frein à une concurrence saine, et c’est contraire aux intérêts des consommateurs. En effet, pour profiter des offres avantageuses proposées par des services financiers en ligne, les consommateurs doivent communiquer leurs coordonnées bancaires.

Sans cadre juridique international strict pour encadrer ce type de démarches, il est impossible de protéger les consommateurs contre les risques les plus courants, tels que le vol ou l’utilisation frauduleuse de leurs données bancaires, ou plus simplement, tous les risques de sécurité possibles dès lors que l’on communique sur Internet des données à caractère sensible.

Le fait que les banques conservent le monopole des données de leurs clients empêche également ces derniers de profiter librement d’un agrégateur de comptes bancaires qui pourrait les aider à mieux gérer leur argent au quotidien. Cela ralentit aussi les paiements et la transmission d’informations bancaires.

Il devenait ainsi nécessaire de mettre en place un vrai cadre juridique pour encadrer les nouvelles pratiques, mais surtout pour protéger les consommateurs. Avec la DSP2, les banques sont désormais dans l’obligation de permettre à des tiers autorisés l’accès aux comptes de leurs clients et aux informations liées. En résumé, les clients peuvent à présent décider eux-mêmes qui peut accéder à leurs données.

Cela pourrait par exemple permettre à des entreprises de e-commerce de proposer directement le paiement sur leur site au lieu de rediriger les clients vers des services de paiement comme PayPal.

Ce qui s’annonce comme une excellente nouvelle pour les consommateurs et pour les nouveaux venus dans le secteur bancaire, mais aussi pour de nombreuses entreprises, pose cependant de nombreuses contraintes pour les banques traditionnelles, puisqu’elles doivent veiller à la sécurité des données de leurs clients.

Les objectifs de la nouvelle mesure DSP2

État des lieux de la DSP2

Pour être en conformité avec la DSP2, le secteur bancaire doit trouver des solutions pour ces trois sujets majeurs :

  • Mettre en place une communication sécurisée entre les banques et les Third Party Provider (TPP), ce qui passe par la mise en place d’API (Application Programming Interface) ;
  • Une authentification forte pour sécuriser l’accès aux comptes bancaires et aux données de paiement ;
  • Une plus grande sécurité des consommateurs : remboursement des opérations frauduleuses, interdiction des surfacturations...

D’autres points sont évoqués dans la DSP2, comme la nécessité de faciliter l’information pour les consommateurs. Par exemple, il faut pouvoir garantir que pour chaque transaction ou utilisation de leurs données, ils donnent leur consentement, ou encore qu’en cas de paiement refusé, un motif de refus leur soit donné.

Le secteur bancaire avait donc fort à faire pour se mettre en conformité avec la DSP2 avant son application en septembre 2019.

API

Pour rappel, une API est une interface de programmation qui permet d’établir une connexion entre plusieurs logiciels ou applications indépendants dans le but d’échanger des données. Ici, l’API est donc ouverte et elle fait le lien entre les banques et les tiers autorisés à accéder aux données de leurs clients. Via l’API, on pourra par exemple permettre :

  • Un service d’accès aux comptes pour les acteurs AISP (Account Information Service Provider), dont font partie les agrégateurs ;
  • Un service d’initiation de paiement pour les acteurs PISP (Payment Initiation Services Provider) ;
  • Un service de fourniture de cartes de paiement reliées au compte bancaire pour les acteurs PIISP (Payment Instrument Issuer Service Provider).

Si la France s’en sort correctement comparée à d’autres pays d’Europe, le développement des API laisse tout de même à désirer. En septembre 2019, de nombreuses banques n’étaient pas encore prêtes. Selon le sondage mené par Tink, en septembre 2019, 75 % des API des banques européennes étaient disponibles.

Rappelons que disponibles ne signifie pas opérationnelles ! Par exemple, si la France est un très bon élève et affichait en septembre 2019 80 % d’API disponibles, seuls 10 % étaient en réalité opérationnelles.

Ajoutons à cela une autre problématique : plusieurs standards ont été retenus par les banques pour leurs API. Ainsi, dans certains pays comme la France, les banques ont majoritairement opté pour les normes de la STET, tandis que dans d’autres, comme la Belgique, elles se sont plutôt tournées vers les normes NextGenPSD2.

Des banques ont également opté pour du multistandard, mais elles sont minoritaires. On peut cependant penser qu’il s’agit là d’une situation transitoire et que toutes les banques utiliseront à terme des standards identiques.

Actuellement, il reste donc beaucoup de travail à effectuer du côté des API.

Quelles sont les solutions apportées par la DSP2 ?

Authentification forte

Dans le cadre de la directive DSP2, les banques doivent également mettre en place une authentification forte du client (en anglais SCA, pour Strong Consumer Authentication) afin d’éviter les transactions frauduleuses.

Il s’agit de pouvoir garantir que la transaction est bien effectuée par le client, ceci au moyen de deux vérifications qui correspondent à au moins l’un des critères suivants :

  • Une information connue uniquement du client, comme un code PIN ou un mot de passe ;
  • Une information que seul le client possède, comme un code envoyé par SMS sur son Smartphone ;
  • Une information directement liée au client, comme les données biométriques (ex. : une empreinte digitale).

On peut citer comme exemple la double authentification sur Paypal, qui implique que le client entre d’abord son mot de passe sur le site ou l’application, puis fournisse un code d’accès unique d’une durée limitée qui lui est envoyé par mail, téléphone ou SMS.

En ce qui concerne la mise en place d’une authentification forte dans le cadre de la DSP2, deux principaux modèles s’opposent :

  • Le modèle de redirection : l’utilisateur est redirigé vers sa banque pour s’authentifier. Il doit par conséquent quitter momentanément la plateforme sur laquelle une action est en cours pour s’authentifier auprès de sa banque, avant d’être à nouveau redirigé vers le site de départ. Cette méthode sort donc virtuellement le client du site sur lequel il effectue une transaction pour l’amener vers une interface qui lui donne l’impression d’être sur le portail habituel de sa banque.
  • Le modèle intégré : l’authentification se fait directement sur l’interface, sans redirection vers la banque de l’utilisateur. Ici, la transaction se fait ainsi sans que le client soit mis directement en contact avec sa banque.

Il existe également un troisième modèle : le modèle découplé. Ici, c’est le TPP qui se charge de transmettre à la banque les données d’authentification du client pour s’assurer de leur validité.

Le premier modèle, celui qui implique une redirection, a pour le moment la faveur des banques. C’est au détriment des TPP qui préfèrent le modèle intégré, notamment parce qu’il leur offre un meilleur contrôle sur le parcours utilisateur en intégrant directement sur leur interface l’intégralité de l’expérience client, sans redirection.

Le choix du modèle de redirection pose également un souci : si certaines banques offrent à leurs clients un portail ergonomique, intuitif et riche de toutes les informations nécessaires, d’autres optent pour un portail très basique, voire pas du tout user friendly, au détriment de l’expérience utilisateur, ce qui ajoute à l’agacement des TPP.

La DSP2 oblige les banques traditionnelles à repenser leur fonctionnement et à s’adapter à de nouvelles contraintes techniques. Si son application n’est pas encore optimale, on peut s’attendre à ce que le secteur bancaire continue ses efforts, non seulement parce qu’il n’a plus le choix, mais aussi parce qu’il en va de l’intérêt des consommateurs en favorisant la concurrence, en améliorant leur expérience bancaire et en protégeant leurs données.

New call-to-action

carte de paiement

Mooncard s'occupe de la gestion des notes de frais pour vous. Demandez une démo gratuite.

  • checkbox

    N'avancez plus vos notes de frais

  • checkbox

    Gardez le contrôle des dépenses

  • checkbox

    Automatisez les écritures comptables

Demander une démo