DSP2 : un cadeau empoisonné ?
Entrée en vigueur le 13 janvier dernier, la directive européenne sur les services de paiement ne remplit pas les promesses faites aux fintech.
L’optimisme de début 2018 laisse peu à peu la place à l’inquiétude. Alors que la DSP2 promettait de favoriser l’innovation dans le secteur financier tout en garantissant une plus grande protection du consommateur, la réalité est bien différente.
Des textes trop éloignés de la réalité du marché
La DSP2 est un texte rédigé "en réaction" à l'apparition de nouveaux acteurs (Third Party Provider, TPP) qui ont profité de l'attentisme des banques pour créer de la valeur et répondre à de vrais besoins marché.
Alors que la DSP2 n’apparaissait pas trop contraignante et apportait la légitimité réglementaire que ces nouveaux acteurs méritent, les différentes normes techniques réglementaires (RTS en anglais pour Regulatory Technical Standards) publiées par l’Autorité Bancaire Européenne (ABE) sont venues préciser et compléter le texte de niveau 1. Ces RTS encadrent notamment l’authentification forte et la communication entre les TPP et les prestataires de services de paiement gestionnaires de comptes (ASPSP en anglais pour Account Servicing Payment Service Providers ).
Les obligations introduites par ces RTS mettent en péril plusieurs usages qui
s’étaient développés avec l’émergence des TPP et pour lesquels la fluidité et
la simplicité des cinématiques était le premier facteur clé de succès.
Alors que la Commission européenne avait pointé les limites de la "DSP1" (2007/64/CE) qu’elle avait qualifié d’obsolète au regard de l’évolution du
marché, il y a fort à parier que la DSP2 s’inscrive malheureusement dans cette
continuité avec des textes favorisant une (trop) grande protection du
consommateur au détriment de l’innovation.
Des contraintes trop nombreuses
L’obtention de l’agrément d’établissement de paiement pour la fourniture des services d’information sur les comptes et d'initiation de paiement constituait la première obligation introduite par la DSP2 pour les TPP. Cet agrément, obtenu après un processus long et coûteux, permet notamment à ces acteurs de se structurer en interne en termes de gestion des risques et de contrôle interne. C’est aussi une preuve de leur légitimité dans un secteur où la régulation et la conformité sont essentielles et équivalent à un "vrai droit de vie ou de mort".
Alors que cette mise en conformité n’a jamais été contestée par les TPP, c’est davantage les contraintes techniques qui leur sont imposées qui concentrent leurs inquiétudes. Si être un établissement régulé ne permet pas d’exercer dans les conditions qui étaient les leurs avant la DSP2, quel est l’apport de ce texte ?
L’alourdissement des cinématiques clients, conséquence directe de l'authentification forte, et donc la potentielle disparition de services innovants sont malheureusement les conséquences les plus probables de la DSP2.
Une approche trop réglementaire et un nivellement par le bas
Aussi bien les banques que les TPP voient de plus en plus la DSP2 comme une contrainte plutôt qu’une opportunité. Une contrainte réglementaire coûteuse d’abord mais aussi une contrainte technique car limitant très clairement les usages.
Les différents groupes de travail constitués pour la mise en application de la DSP2 nous montrent que :
· Les textes (DSP2, RTS, Guidelines et Opinion de l’ABE) ne sont pas clairs et cela entretient un flou ambiant très problématique alors que la deadline du 14 septembre 2019 approche. Ajoutons que ce n’est pas l’outil de Q&A mis à disposition par l’ABE qui permettra à priori d’éclaircir la situation étant donné que la grande majorité des questions sont rejetées ;
· Ce manque de clarté ne profite pas aux TPP qui se heurtent à des interprétations conservatrices et focalisées sur ce qui est écrit dans les textes réglementaires ;
· L'échéance de septembre 2019 arrive et les TPP seront vraisemblablement confrontés à des interfaces (API) limitant leur champ d’action ;
· La situation restera ubuesque puisque les TPP continueront à récupérer les identifiants bancaires des utilisateurs finaux pour accéder en screen scraping aux autres comptes que les comptes de paiement.
Heureusement que certains acteurs ont compris le sens de l’histoire et voient au delà de la DSP2 que la Commission qualifiera sûrement d’obsolète à l’aube de la publication de la DSP3. Ce ne sera pas faute d’avoir prévenu …