DSP2 : les géants de la tech placent leurs pions
Depuis plusieurs mois, banques et fintech se livrent une petite guerre sur les modalités de la directive européenne sur les services de paiement DSP2, qui entrera en vigueur en janvier 2018. Les premières devront partager une partie des données de leurs clients à des tiers et les deuxièmes veulent continuer à utiliser le scrapping, une technique qui permet d'accéder aux données d'un client d'une banque en utilisant ses codes d'accès.
Mais d'autres acteurs se sentent aussi concernés par cette nouvelle réglementation. Les Gafa pourront volontiers se lancer dans le paiement en se connectant, comme les fintech, aux API des banques et accéder aux données de paiement de leurs clients. "Les Gafa et BATX (Baidu, Alibaba, Tencent, Xiaomi, les géants chinois, ndlr) n'ont pas vraiment envie de développer des services dans le paiement car cela ne rapporte pas d'argent. En revanche, c'est un bon moyen pour collecter plus d'informations sur les clients des banques. Les données de consommation bancaire sont très intéressantes car elles donnent des indications sur le quotidien des individus", souligne Julien Maldonato, associé chez Deloitte.
"Facebook a intérêt à se lancer dans le paiement car de nombreux autres acteurs vont se battre pour être le WeChat occidental"
Facebook vient justement d'annoncer le lancement de son service de paiement dans Messenger au Royaume-Uni et en France. La filiale Facebook Payments International Ltd avait obtenu un agrément de prestataire de paiement et d'émetteur de monnaie électronique auprès de la Banque centrale d'Irlande en octobre 2016. Grâce au système de "passporting" européen, cet agrément est automatiquement valable dans les 27 autres pays de l'Union européenne. Le réseau social avait tenté de créer sa propre monnaie numérique il y a dix ans mais le projet n'avait pas abouti. "A l'époque, les barrières à l'entrée dans le paiement étaient fortes et les consommateurs n'étaient pas prêts à faire confiance à Facebook sur ce domaine. Aujourd'hui, le timing est plus favorable", estime Julien Maldonato. "Facebook a intérêt à se lancer dans le paiement car de nombreux autres acteurs vont se battre pour être le WeChat occidental (une application chinoise qui permet à la fois de discuter avec ses amis et de payer un tas de produits et services, ndlr)", poursuit-il.
Les e-commerçants, les plateformes de type AirBnB et Deliveroo sont aussi concernés par la DSP2. "Pour survivre dans le futur et créer de la valeur, quelle que soit l'industrie, il va falloir alimenter la pompe à données. Pour cela, il faudra inclure du service financier, un peu comme l'a fait Uber en incluant son service de paiement dans l'application", illustre Julien Maldonato. "Demain, les consommateurs posséderont une multitude de moyens de paiement. Ils auront dans leur mobile une carte Orange Bank pour payer OCS (Orange Cinéma Séries, les chaînes séries et cinéma de l'opérateur français, ndlr), une carte Uber pour régler leurs trajets…", prédit Julien Maldonato. Cette incursion dans le paiement devrait ouvrir la marche à d'autres services financiers plus rentables comme le crédit et l'assurance. "A terme, on verra probablement une concentration des acteurs et la naissance d'une méga-plateforme", pronostique Julien Maldonato.
Renforcer l'authentification en ligne
Collecter des données de paiement n'est pas le seul intérêt des acteurs non-bancaires dans la DSP2. La directive européenne soulève aussi des questions autour de la protection des données des consommateurs. C'est pourquoi l'alliance Fido (Fast identity online) s'est immiscée dans le débat de la DSP2 à la rentrée 2017. Créé en 2013, ce consortium de 250 membres internationaux, travaille sur des méthodes d'authentification en ligne interopérables et plus sécurisées. Parmi ses membres, on retrouve Google, Microsoft, Intel et d'autres géants de la tech. Côté Europe, on compte Gemalto et Oberthur Technologies. Quelques acteurs bancaires comme ING, USAA et PayPal font aussi partie de l'alliance.
Le 31 août dernier, l'organisme a écrit une lettre à la Commission européenne pour faire part des risques liés au scrapping, cette technique qui permet à un tiers d'accéder aux données d'un client d'une banque en utilisant ses codes d'accès. Les membres de l'organisation ne sont pas tous directement concernés par la DSP2, en particulier le volet sur le scrapping, car ils ne sont pas des prestataires de paiement mais ils sont touchés par les conséquences de cette méthode. Partager son identifiant Google avec n'importe quel acteur tiers augmente les risques de piratage. "C'est clairement pour éviter les phénomènes de phishing que l'alliance Fido est montée au créneau. Un tiers qui récupère les données d'un compte Google peut ensuite avoir accès à d'autres données. Qui dit que le prestataire ne va pas utiliser d'autres données que celles qu'ils récupèrent ?" s'interroge Luis Calleja, directeur associé responsable du secteur banque au cabinet d'Oresys.
"C'est clairement pour éviter les phénomènes de phishing que l'alliance Fido est montée au créneau dans le dossier DSP2"
La DSP2 interdit bien le scrapping mais le texte final prévoit de permettre aux fintech (en particulier les agrégateurs) d'y recourir en "solution de secours". "Nous pensons que ce n'est pas la meilleure réponse à apporter. Nous savons que ce sont des modèles de sécurité peu fiables et nous sommes anxieux de nous éloigner d'un modèle d'authentification fort. Ces technologies sont sources d'échec qui donnent lieu à des piratages informatiques chaque année", détaille au JDN Brett McDowell, executive director de la FIDO Alliance.
Comme la majorité des banques, l'alliance Fido milite pour l'open banking, l'ouverture des systèmes d'information des banques via des API (application programming interface) à des tiers. "L'open banking assure plus se sécurité pour les consommateurs que le scrapping. Nous applaudissons la position de la Commission européenne et de l'EBA sur l'amélioration de l'authentification des données dans l'industrie du paiement", indique Brett McDowell. Certaines entreprises pensent que les banques ne seront pas prêtes pour janvier 2018 et qu'il y aura donc une interruption de services qui menacerait le business des agrégateurs. L'alliance FIDO a fait une proposition pour satisfaire les deux camps. Elle ne souhaite pas supprimer le scrapping en solution de secours mais procéder à une exemption temporaire pour les cas d'usages existants, comme les agrégateurs. "Si les banques ne sont pas prêtes, nous recommandons que les régulateurs continuent à permettre le partage des identifiants et mots de passe pour une période limitée de 6 à 12 mois. Ce temps devrait suffire aux banques à être prêtes, si elles ne le sont pas, et aux fintech de se connecter à leurs API", conclut Brett McDowell.