DSP2 : les tensions entre régulateurs, banques et fintech persistent
Fonctionne, fonctionne pas ? La directive européenne sur les services des paiements (DSP2) fait toujours parler d'elle pour sa lenteur et sa complexité. Car depuis son entrée en vigueur en 2018, l'application de chacune de ses mesures tourne au calvaire. Pour rappel, la directive a été mise en place pour réglementer la connexion des services tiers aux comptes bancaires des clients en Europe. Les plateformes d'open-banking mobilisent les API conformes à la directive DSP2 pour proposer, entre autres, l'agrégation de comptes et l'initiation de paiement. "Aujourd'hui, on est dans l'implémentation et les banques ont encore des travaux à faire sur les API. Dès qu'une fonctionnalité est ajoutée, il faut qu'on soit capable de la tester et ça prend du temps", soupire Joan Burkovic, CEO de l'agrégateur Bankin'.
Une implémentation (presque) réussie
Exemple avec l'authentification forte, une fonctionnalité de sécurité obligatoire depuis le début de l'été 2021 et qui a contraint chaque banque à revoir ses protocoles. Le consommateur qui effectue un achat supérieur à 30 euros doit désormais mobiliser deux éléments parmi les trois suivants : un mot de passe, un appareil ou une caractéristique biométrique (empreinte digitale, reconnaissance faciale). Trois ans après l'entrée de la directive et les premiers tests, on pourrait penser que le ciel est dégagé... Mais des bugs persistent, à en croire Joan Burkovic. "Certaines banques ont encore des derniers ajustements à faire." Parmi les sujets qui fâchent, le parcours app-to-app revient régulièrement. Traduction : le fait de jongler entre l'application d'un commerçant et celle de sa banque. C'est le nerf de la guerre de la directive DSP2. Une mauvaise redirection entre les applications casse l'expérience d'achat. Plus que d'abimer le confort et la fluidité de l'opération, une mauvaise implémentation du parcours app-to-app peut mettre en échec une vente. Rien de pire pour les commerçants.
"Pour voir si une API est de qualité, il faut se pencher sur la fluidité du parcours, là il y a une amélioration"
Dans une note publiée le 20 juillet dernier, le Comité national des paiements scripturaux, une unité de concertation de la Banque de France, dressait la liste des banques dont les bugs n'étaient toujours pas résolus. Si à ce jour la plupart des acteurs ont réglé les dysfonctionnements, d'autres tardent et se fixent septembre comme ultime échéance. Pour le consultant financier Julien Maldonato de chez Deloitte, cette situation est anormalement longue : "Un délai supplémentaire avait été accordé par le régulateur. L'échéance est tout de même arrivée à son terme fin juin en ce qui concerne le paiement par carte."
Certes il y a du retard, mais il y a aussi du mieux, assure-t-on du côté des fintech. "Pour voir si une API est de qualité, il faut se pencher sur la fluidité du parcours et là il y a une amélioration", se satisfait Jérôme Albus de la plateforme d'open-banking Tink. Comme dans toutes les réglementations européennes, la plus grande difficulté se situe toujours au niveau de l'harmonisation des systèmes. "Aux Pays-Bas, l'authentification forte fonctionne très bien depuis le début de l'année. Mais le paysage bancaire européen est très fragmenté, l'accès aux banques est loin d'être un processus fluide dans les autres pays", regrette Gerald Gruber, CCO de la néobanque néerlandaise Bunq. Chaque banque dans chaque pays doit développer ses API, l'usine à gaz est assurée.
Des banques pas si open
Les blocages se font aussi ressentir sur un autre aspect de la DSP2 : l'accès libre à l'information bancaire des clients. Les fintech de l'open-banking veulent obtenir le maximum de data au travers des API des banques pour développer leurs services. Parfois un parcours du combattant selon Jérôme Albus : "Le problème, c'est la parité des données. Est-ce que les banques donnent accès à autant d'informations qu'elles n'en proposent sur leur propre application ? Certaines jouent le jeu, d'autres non."
"Est-ce que les banques donnent accès à autant d'informations qu'elles n'en proposent sur leur propre application ? Certaines jouent le jeu, d'autres non"
Sans désigner de mouton noir, le responsable insiste sur cette asymétrie, vécue comme une injustice, et qui pourrait lui faire perdre du temps. Ne pas disposer de certaines informations bancaires oblige parfois les agrégateurs à utiliser des moyens détournés pour garantir le service. "Les TPP (third party providers, ndlr) doivent avoir d'autres chemins pour les données d'épargne par exemple, en faisant du web scraping", observe Julien Maldonato. La technique consiste à récupérer les données en les extrayant directement sur le site web de la banque plutôt qu'à l'aide d'une API officielle. Rien d'illégal, mais le processus n'est pas idéal en termes de sécurité et ne plaît pas beaucoup aux banques.
La grogne des 90 jours
"Le volet sécuritaire a été poussé trop loin à cause de la défiance des banques", s'irrite Gerald Gruber. Les tensions entre banques, régulateurs et fintech sont loin de s'arrêter à la question des API. Pour certains, c'est tout le système qui est bancal et mériterait un petit remaniement. Leur cible ? L'authentification forte, une nouvelle fois au cœur de la dispute. Pour être plus précis, c'est le mécanisme obligeant les utilisateurs à reconnecter leur compte bancaire tous les 90 jours sur les plateformes d'open-banking qui est remis en cause. "La plus grande difficulté concerne l'accès aux comptes bancaires avec l'authentification forte, le service étant coupé à chaque fois", regrette Joan Burkovic de Bankin', pour qui cette disposition de la directive rigidifie son service. Les déconnexions récurrentes des comptes bancaires lui feraient perdre des clients en plus de donner du travail supplémentaire à ses équipes. "Nos coûts d'acquisition augmentent parce que les clients sont moins attirés. On développe beaucoup de moyens en interne pour maintenir la qualité de service mais ça ne marche pas. Ce n'est pas normal par rapport à loi qui parle de continuité du business."
"Je pense qu'il y aura une DSP3 pour ajuster certaines parties"
Chez les banques, ce discours est bien connu. Elles réfutent l'idée de nuire aux services tiers et se défendent en jouant la carte de la sécurité. Les données bancaires des clients étant sensibles, la règle des 90 jours reste un garde-fou indispensable. "Ce délai n'est pas sorti d'un chapeau. Il y a eu des focus group pour savoir comment protéger au mieux les banques et éviter les fraudes", se défend Claire Calmejane, directrice de l'innovation de la Société Générale. Spécialiste de ces problématiques, le CEO du cabinet de conseil Galitt, Pierre Lahbabi, pense que l'authentification régulière est indispensable pour assurer la sécurité du service. "Je ne sais pas si la règle de 90 jours est la bonne, mais il faut régulièrement sécuriser, sinon on peut ouvrir la porte à des fraudes", assure l'expert.
Les banques ont été contraintes d'ouvrir leurs données avec la directive, un mouvement qui ne pouvait pas avoir lieu sans contrepartie. "Ce délai des 90 jours évoluera probablement. C'est une dynamique de l'innovation : on essaye, on teste et puis on s'adapte aux nouveaux besoins", concède toutefois Claire Calmejane. La dirigeante aime rappeler l'intérêt précoce de la Société Générale pour l'open-banking, illustré par le rachat de Fiduceo en 2015. Joan Burkovic estime, quant à lui, que le texte établissant le standard technique de la DSP2, rédigé par l'Autorité bancaire européenne, est voué à être revu à terme : "La question, c'est d'ici combien de temps ?" Pour Gerald Gruber de Bunq, il faudrait même aller plus loin : "Je pense qu'il y aura une DSP3 pour ajuster certaines parties."
L'initiation de paiement, le bourbier de DSP2
L'histoire ne s'arrête pas là. Le deuxième chapitre de la directive concerne l'initiation de paiement grâce à des API développées par les banques. Cette procédure de paiement se veut être une alternative plus efficace et moins onéreuse au système de règlement par carte bancaire. Désormais, c'est le bénéficiaire qui déclenche l'ordre de virement. Grâce à ce système, la transaction s'effectue d'un compte à un autre sans intermédiaire. Le JDN faisait état le 23 juin 2021 d'une intégration très décevante en France avec des problèmes d'harmonisation entre les différentes solutions proposées par les banques.
"Les API des banques ne sont pas encore suffisamment fiables"
La rentrée 2021 commence à peine et la situation semble toujours stagner. "Les pays nordiques ou le Royaume-Uni ont pris de l'avance, ils ont des parcours beaucoup plus fluides et rapides. Par exemple, une initiation de paiement de bout en bout en Suède, c'est 6 secondes. Au Royaume-Uni c'est 10 secondes et dans le reste de l'Europe c'est 20 secondes", déplore Jérôme Albus de Tink. Les marges de progression sont importantes pour que le système soit opérationnel, immenses pour que le public adopte le système, selon Pierre Lahbabi : "L'initiation de paiement ne marche pas bien parce que le parcours n'est pas simple et parce que les clients utilisent encore beaucoup la carte bancaire en France. Les API des banques ne sont pas encore suffisamment fiables."
Derrière la tambouille technique, la clef serait peut-être avant tout celle-ci : rendre plus intuitifs les usages de l'open-banking et penser à l'intérêt final du consommateur. "Les API, c'est très BtoB. En BtoC il n'y a pas tellement de cas d'usage et de besoin client. DSP2 a permis de poser une brique technologique, maintenant il faut développer les usages", résume Claire Calmejane.