La directive sur les services de paiement (DSP) adoptée le 13 novembre 2007 fournit le cadre juridique nécessaire à la mise en place d’un marché européen unique des paiements en euros (SEPA). Elle vise à instaurer un ensemble complet et détaillé de règles applicables à tous les services de paiement dans l’Union européenne. Son but est de rendre les paiements transfrontaliers plus aisés, efficaces et sûrs que les paiements effectués à l’intérieur d’un État membre. La directive vise à renforcer la concurrence en ouvrant les marchés des paiements aux nouveaux entrants de manière d’en accroître l’efficacité et d’en réduire les coûts.
La directive DSP est abrogée et remplacée par le Directive sur les services de paiement 2 (DSP2), adoptée le 25 novembre 2015.
La DSP2 est au contraire une réglementation qui devance les usages. Elle prend en compte les services dits d’initiation de paiement, intervenant entre un commerçant et la banque de l’acheteur. Le paiement peut être initié directement à partir des comptes du payeur, lequel se borne à confirmer ses instructions. Le commerçant est assuré d'être réglé, tout en bénéficiant d'une réduction des coûts de transaction et d'une souplesse accrue dans les choix de mode de paiement. Cette directive pose le principe du remboursement inconditionnel des prélèvements automatiques, excepté dans le cas où le bien ou service payé a été consommé ou si les pertes sont dues à une négligence de la part de l’utilisateur. Ainsi, les consommateurs profitent d'une plus grande visibilité et d'un meilleur confort de gestion dus à l'instantanéité d’exécution des transactions et de la réduction des coûts répercutée par l'effet de concurrence.
Ce nouveaux cadres réglementaires contraignent actuellement les acteurs du secteur des paiements à repenser leur mode de fonctionnement dans un marché qui s’ouvre rapidement à de nouvelles formes de concurrence. Face à l’apparition de nouvelles solutions de paiements digitaux (Apple Pay, GooglePay…) , et à l’essor des services d’agrégation de comptes proposés par les FinTechs, cette réglementation qui se trouve actuellement dans la phase ultime de négociation, entraînera des bouleversements et ouvrira la voie à d’autres changements encore plus significatifs.
Par ailleurs, la directive précise que toute entreprise qui fournit et conserve des informations sur des comptes clients doit rendre ces dernières accessibles à des tiers, notamment à des prestataires de paiement mobile, sous réserve que le client leur en ait donné l’autorisation. Une telle mesure contraindra les banques à ouvrir à des tiers l’accès aux données de leurs comptes clients (via des interfaces de programmation applicative ou API). Pour les banques traditionnelles, une telle évolution entraîne à terme un danger important de désintermédiation, étant donné que de nouveaux acteurs pourront accéder à une base de clientèle bien plus large.
En réponse, les banques devront réinventer l’expérience paiement et devront trouver des moyens innovants pour fidéliser la clientèle : cela s’imposera comme un impératif stratégique. De plus, certains critères fondamentaux tels que la sécurité, la responsabilité en matière de défaillances et de fraudes, la connaissance du client (le « KYC ») et les contrôles de lutte contre le blanchiment d’argent (AML) gagneront en importance à l’heure où l’univers des paiements s’ouvre à de nouveaux prestataires.
Les services définis par la DSP2
La DSP2 définit deux rôles : les PIS (Payment Initiative Services) et les AIS (Account Information Services). A l'heure actuelle, lorsqu’un client utilise un système para-bancaire, il doit confier ses identifiants à cet acteur tiers/ Pour la banque, il est délicat de distinguer qui de son client du prestataire accès aux données.
Pour l'instant, les équivalents PIS, comme par exemple ,Paypal ou Slimpay utilisent des protocoles comme le prélèvement SEPA ou la carte bancaire. L'objectif pour ces sociétés est de proposer des services à moindre coût que les outils traditionnels. Et ils peuvent surtout gérer des services connexes comme la gestion d'abonnement avec prélèvement régulier.
Les AIS visent à l'amélioration de l'expérience client mais, demain, pourraient proposer des systèmes experts pour faciliter le pilotage budgétaire (privilégier le découvert là où il est le moins cher...) ou faciliter l'intégration des informations bancaires dans des outils tiers, par exemple un logiciel de comptabilité pour assurer le rapprochement.
Jusqu'ici non régulés, les initiateurs de paiement et autres « agrégateurs » de comptes deviennent sous l'égide de la DSP2 des prestataires de services de paiement. L’autorité de contrôle prudentiel du pays d’exercice délivre l’agrément qui devient indispensable pour exercer. Cette reconnaissance assure l'établissement d'un processus de sécurité bien supérieur à ce qui existait jusqu’ici.
Offre leur est également faite de devenir agent d'établissement de paiement et de bénéficier à ce titre des exigences d'honorabilité, du plus haut niveau de respect des réglementations financières et d'une organisation structurée autour de la logique bancaire.
AIS et PIS devront cependant disposer d'une licence délivrée par les autorités nationales. Et les banques devront, d'une manière qui reste à définir, plus ou moins standard, exposer des services sous forme d’API. La banque ne pourra pas refuser que son client utilise de tels services.
Le cadre juridique
En France, les prestataires de services de paiement (PSP) tiers devront en premier lieu être agréés par l’ACPR pour être habilités à fournir les services de paiement en question. Ils pourront également choisir de se mettre en conformité en devenant agent de prestataire de services de paiement, ce schéma leur permettra de jouir de l’agrément du prestataire de services de paiement mandant. Au-delà de l’obtention de l’agrément qui représente un prérequis obligatoire, les PSP tiers seront tenus à un certain nombre d’obligations. Ils devront notamment veiller à ce que les informations d'identification de sécurité personnalisées de l'utilisateur de services de paiement, provenant de son établissement teneur de compte, ne soient pas accessibles à des tiers afin de limiter les risques liés à la fraude. Ils devront également s’assurer de ne pas stocker ou utiliser des données de l’utilisateur non nécessaires à la fourniture de leur service. Le cadre sécuritaire qui devra être mis en œuvre par les PSP tiers et les banques est déjà longuement traité par le texte de la DSP2, cependant l’Autorité Bancaire Européenne (ABE) interviendra également sur ce périmètre pour en préciser les exigences.
Quels conséquences pour les banques traditionnelles?
Fournir une infrastructure sécurisée aux tiers de paiement (TPP pour third-party provider) constitue un défi majeur pour les banques. Elles doivent en effet empêcher d’une part que la lutte contre le blanchiment d’argent ne grèvent les risques opérationnels liés aux incidents de paiements ou aux paiements frauduleux, ainsi que les risques pour la sécurité. C’est aux acteurs traditionnels qu’il reviendra de supporter la charge liée à la mise à jour des legacy pour répondre aux impératifs des paiements internationaux. Mais, pour les banques, cette charge n’est pas simplement financière. La multiplication des fournisseurs tiers et des nouveaux entrants sur le marché des paiements pourraient également s’accompagner de pertes de recettes et impacter ainsi leurs marges. Compte tenu du règlement sur les commissions d’interchange de l’UE (visant au plafonnement de ces commissions), les modèles commerciaux traditionnels se trouvent donc soumis à une forte pression. Avec l’ouverture de la chaîne de valeur, il existe peut-être même de nouvelles opportunités liées à la désintermédiation du consommateur final, qui peut accéder à ses comptes via des services tiers sans avoir à traiter directement avec sa banque.
La seule façon pour les banques de s’assurer que les agrégateurs ne leur dérobent pas de parts de marchés est de revenir aux fondamentaux, de comprendre les besoins des consommateurs et de proposer à ces derniers des offres et des services de valeur leur permettant de réaliser plus simplement leurs opérations financières.
Vers la banque ouverte
Une majorité de responsables bancaires sont conscients de l'opportunité que représente la capacité d'accéder aux comptes de leurs clients par des établissements concurrents. Une bonne partie veut y voir une source de fidélisation, voire même un catalyseur du développement de services alternatifs dans le secteur des paiements.
Quelques-unes poussent le raisonnement jusqu'à la vision d'une API bancaire universelle, qui rendrait leur fonctionnement plus efficace et leur permettrait de créer leur propre « App Store » et profiter, de la sorte, des innovations produites par des tiers. Cependant, beaucoup doutent de la capacité de leurs infrastructures informatiques à supporter un modèle ouvert de ce genre.
Face à cette menace émergente, les partenariats figurent désormais à l'ordre du jour. Quoi de plus logique pour favoriser cette politique que de mettre en place des APIs stimulant la collaboration ? Le texte européen semble donc démontrer son rôle vertueux pour l’innovation au niveau européen, mais pose néanmoins la question de la position stratégique des établissements bancaires à l’égard de leur client.
Dans ce contexte, la parution attendue de l’ABE de la spécification des « open API » régissant les interfaces entre les acteurs, pourrait être le déclencheur d’une nouvelle génération de PSP émanant des établissements bancaires eux-mêmes.
Pour les agrégateurs, les deux prochaines années seront charnières pour développer de nouveaux services. Au-delà de la simple consultation de comptes, nombreux sont ceux qui espèrent proposer des services de conseil budgétaire et surtout de réaliser des opérations bancaires - virements, souscriptions, etc. - directement depuis leurs applications. Des services qui peuvent augmenter leurs revenus, qui sont aujourd'hui exclusivement constitués par la publicité poussée sur leurs applications et par une poignée d'abonnements aux versions payantes de leurs services.