La DSP2 un an après ? Banques : 1, agrégateurs : 0

La DSP2 un an après ? Banques : 1, agrégateurs : 0 API, authentification forte... Les groupes bancaires imposent leurs vues aux fintech sur la plupart des points de la directive européenne sur les services de paiement entrée en vigueur le 13 janvier 2018.

Les fintech sont en train de perdre la bataille des API… et peut-être même la guerre de la DSP2. Depuis l'entrée en vigueur de la directive européenne sur les services de paiement le 13 janvier 2018, les TPP (third party provider), c'est-à-dire les agrégateurs et initiateurs de paiement, continuent de lutter pour faire passer leurs revendications. "Nous nous battons sur chaque point. Mais les banques ne veulent rien lâcher. Cette attitude est contre-productive, cela ne sert pas le marché", déplore Clément Coeurdeuil, CEO de l'agrégateur BtoB Budget Insight. "Quand nous faisons des propositions pour améliorer la sécurité, elles sont systématiquement rejetées", renchérit Bruno Van Haetsdaele, patron de l'agrégateur Linxo. Même si le texte de la DSP2 est effectif début 2018, les normes techniques, baptisées les RTS, n'ont été publiées au Journal Officiel qu'en mars 2018 et entreront en vigueur le 14 septembre prochain.

"Malheureusement, les banques ont demandé à limiter le scope des API"

Le contenu global des RTS, élaboré par l'Autorité bancaire européenne (ABE), n'est pas du goût des fintech. Le texte de la DSP2 oblige les banques à ouvrir toutes les données de paiement de leur client aux acteurs tiers via un canal de communication sécurisé alors que les RTS sont plus restrictives. "Malheureusement, les banques ont demandé à limiter le scope des API sous couvert d'argument de sécurité… Pourtant, nous sommes déjà des acteurs réglementés et contrôlés par les autorités sur nos usages des données", argue Clément Coeurdeuil.

Les données de paiement qui doivent désormais être partagées par les banques sont les suivantes : le solde des comptes, le nom de l'utilisateur, les transactions, la possibilité de faire un virement et de récupérer la liste des bénéficiaires. En revanche, il ne sera plus possible pour un agrégateur de pouvoir modifier la liste des bénéficiaires (il faut donc passer par la banque). "Certaines banques se permettent même de ne pas transmettre l'IBAN car c'est un élément qu'elles considèrent comme trop sensible alors que c'est une donnée stratégique pour nous et dont l'accès augmente le niveau de sécurité", lâche Clément Coeurdeuil. "Nous nous conformons à ce que demande l'ABE", répond de son côté Catherine Duchel, directrice open banking pour le marché des particuliers chez HSBC France. "Je comprends la frustration de certains TPP mais nous devons assurer la sécurité de nos clients. Et il y aura sûrement des évolutions au fil du temps."

La force de la fédération bancaire

Les agrégateurs regrettent l'hétérogénéité des discussions au sein même des banques. "Nous avons des interlocuteurs techniques disposés à faire plus que le strict minimum réglementaire. Et d'autres départements pensent que ce n'est pas dans l'intérêt de la banque d'en faire plus", raconte Bruno Van Haetsdaele. Surtout, les agrégateurs se heurtent à une fédération très soudée. "Nous arrivons à discuter en direct avec les banques mais pas dans les forums où il y a la FBF (Fédération bancaire française, ndlr). Il y a un effet d'alignement sur le dénominateur commun. Comme c'est la FBF qui parle dans les groupes de travail, cela crée des instances plus conflictuelles", explique le CEO de Linxo. Les API des banques françaises devront reposer sur celle de la Stet, la chambre de compensation des paiements de détail en France, entité créée par… les six banques françaises. Contactée, l'entité a décliné notre demande d'interview.

"Nous arrivons à discuter en direct avec les banques mais pas dans les forums où il y a la FBF"

es banques continuent tout de même d'avancer sur les API. Quelques tests de connexion avec les TPP ont même commencé en novembre 2018. "Il y a des choses qui fonctionnent bien, mais nous accepterons de nous y connecter que si les API nous permettent de continuer notre activité dans des conditions d'accès identiques au scrapping (la technique qui permet aujourd'hui aux TPP d'accéder aux données d'un client d'une banque en utilisant ses codes d'accès, ndlr)", précise Clément Coeurdeuil. Les banques françaises assurent qu'elles seront prêtes en mars 2019. Si ce n'est pas le cas, elles devront adopter la solution de repli prévue dans le texte : le screen scraping. Une méthode qui ne plait pas aux banques car considérée comme peu sécurisée.

Le casse-tête de l'authentification forte  

Autre combat presque perdu par les TPP : l'authentification forte. Avec la DSP2, il faudra deux facteurs d'authentification différents (SMS, empreinte digitale, code…) pour qu'un utilisateur "accède à son compte de paiement en ligne, initie une opération de paiement électronique ou exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude", précise le texte. Mais les RTS obligeront les consommateurs à se réauthentifier tous les 90 jours dans les applications des banques. "Il risque d'y avoir une expérience client désastreuse pour les agrégateurs car un utilisateur connecte souvent plusieurs comptes bancaires de différentes banques", remarque Julien Maldonato, associé industrie financière chez Deloitte. "Le texte n'a pas été pensé pour l'expérience client", complète-t-il.

Or, ce que vendent les TPP… c'est justement de l'expérience client. "Nous avons proposé que le TPP fasse l'authentification tous les 90 jours pour que ce soit fluide ou que nous puissions envoyer une information à l'utilisateur pour le prévenir que nous continuons à se connecter à ses comptes. Mais ce sont finalement les banques qui feront l'authentification", regrette Bruno Van Haetsdaele. Les utilisateurs seront donc redirigés vers l'espace client de la banque, ce qui n'est pas avantageux pour les fintech.

Une croissance mitigée en 2018

Au-delà des problématiques techniques, ces normes n'ont pas permis aux fintech de développer leur business en 2018. "Nous avons passé beaucoup de temps à essayer de comprendre le texte, à assister à des groupes de travail au niveau français et européen. Autant de temps qu'on n'a pas passé à développer l'entreprise", constate Bruno Van Haetsdaele. Linxo n'a pas sorti de nouveautés l'année passée. "Les grands acteurs de la banque-assurance  ont mis en pause certains projets ou ont finalement décidé de ne pas les lancer", ajoute le CEO, dont une grosse partie de son activité est de la marque blanche. De son côté, Budget Insight est davantage satisfait de son année. La jeune société a enregistré un trafic en hausse de 150% et un chiffre d'affaires en croissance de plus de 50% pour atteindre 2,5 millions d'euros en 2018. "Nous avons développé de nombreux services, notamment dans le crédit, que nous allons commercialiser en 2019", se réjouit Clément Coeurdeuil.

Mais le temps presse, en particulier pour les agrégateurs BtoC. "On attend toujours le fameux coach financier que promettent depuis longtemps les agrégateurs. Pour ce faire, ils ont besoin d'intelligence artificielle mais la technologie n'est pas encore au point", déplore Julien Maldonato. Et s'ils ne sortent pas rapidement une nouvelle fonctionnalité, les utilisateurs iront voir ailleurs." Et la guerre serait définitivement perdue.

Et aussi

Autour du même sujet

Annonces Google