Avant tout, il convient de rappeler que les banques ne disposent plus du monopole en matière de service des paiements, fin du monopole parachevé par la Directive de service de paiement 2007/64/CE du 13 novembre 2007, dite « DSP », transposée en France par l’ordonnance n°2009-866 du 15 juillet 2009.
Par conséquent, le législateur redéfinit le contour du monopole bancaire (Article L511-5 du Code monétaire et financier) en supprimant « l’émission et la gestion des moyens de paiement » de la liste des opérations de banque.
Cette directive favorise l’ouverture du marché de paiements, jusqu’alors monopolisé par les établissements de crédit, qui devient dès lors concurrentiel. Les banques se retrouvent donc obligées de composer avec des nouveaux acteurs que sont les établissements de paiement et les établissements de monnaie électronique.
Les établissements de paiement (Natixis financement, American Express, Western Union payment, Compte nickel…) ont acquis la possibilité d’effecteur des opérations décrites comme étant des services de paiement, opérations qui concernent principalement l’exécution d’opérations de virement de prélèvement, la transmission des fonds ou encore des services permettant de verser ou de retirer des espèces ainsi que la gestion d’un compte de paiement. En revanche ces établissements ne peuvent ni placer ces fonds à leur profit, ni proposer à leurs clients des produits d’épargne ou d’investissement.
La directive DSP 2, transposée en droit français par l’ordonnance du 9 août 2017 vient poursuivre cette ouverture, en venant fixer les règles encadrant l’accès à l’activité de ces services de paiement, les modalités techniques applicables aux opérations de paiement ainsi que les droits et obligations des parties.
L’un des principaux apports de cette directive réside dans la création de deux nouveaux acteurs de services de paiement « innovants » autour de l’utilisation et de l’accès aux informations des comptes bancaires : Le service d’information sur les comptes (SIC) et les services d’initiation de paiement.
Elle institue ensuite aux profits de ces deux nouveaux prestataires de services de paiement un droit d’accès direct aux compte de paiement de leurs clients ouverts auprès des établissements de crédit.
Les banques européennes se retrouveront dès le 13 janvier 2018 (date d’entrée en vigueur) dans l’obligation de fournir l’accès aux données de leurs clients à ces nouveaux acteurs entrant de la Fintech.
Ces prestataires de service de paiement devront tout comme les banques traditionnelles, disposer d’un agrément de l’ACPR pour exercer, un cadre légal qui permettra aux consommateurs de leur accorder la confiance ou pourquoi pas d’être également qualifiés de « tiers de confiance » à l’instar des banques.
Quid de la sécurité des paiements et la protection des données des clients ?
I. Des nouveaux acteurs innovants en matière de service de paiement.
Deux nouveaux services de paiement innovants seront intégrés dans le Code monétaire et financier : les services d’information sur les comptes et les services d’initiation de paiement regroupés sous l’acronyme TPP « Third party providers
Ces deux nouveaux acteurs auront pour point commun de pouvoir accéder aux comptes bancaires des clients.
A. Des nouveaux acteurs.
1. Les prestataires de services d’informations sur les comptes (PSIC).
Le service d’information sur les comptes consiste à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus auprès d’un autre, soit auprès de plusieurs prestataires de service de paiement. On parlera d’agrégateur de données. Le but étant de permettre aux consommateurs disposant de plusieurs comptes bancaires d’avoir une vue d’ensemble de leur situation financière à tout moment et donc de gérer au mieux leurs finances (Sources : l’ACPR « les principaux apports de la DSP 2 » du 26 janvier 2016).
2. Les prestataires de service d’initiation de paiements (PSIP).
Ce sont des établissements de paiement dont le rôle consiste à initier un ordre de paiement à la demande d’un utilisateur à partir d’un compte de paiement détenu auprès d’un autre prestataire de service de paiement (PSP).
Leur objectif est de permettre au consommateur d’effectuer des achats en ligne par simple virement (à l’exemple de PayPal, service de paiement en ligne qui permet d’effectuer des achats, de recevoir des paiements ou encore d’envoyer et recevoir de l’argent), tout en donnant aux commerçants l’assurance que le paiement a été initié de sorte que les biens peuvent être livrés ou les services fournis sans délai.
L’exécution de l’ordre sera répercutée par le prestataire auprès du banquier.
Quelle différence avec PayPal ? La différence réside dans le fait que le commerçant pourra procéder à la livraison du bien en cas d’achat tout en étant sûr d’obtenir le payement.
Cette perspective relève de ce qu’on appelle l’Open Banking qui est la possibilité pour les clients d’accéder à un vaste éventail de services financiers émanant d’acteurs différents dans leurs propres banques.
B. Un point commun : l’accès aux comptes bancaires des clients.
Les deux nouveaux acteurs auront pour point commun de pouvoir accéder aux données de comptes bancaires en ligne des clients. En effet, la DPS2 impose aux banques ainsi qu’aux prestataires de paiement disposant d’informations sur des comptes clients de permettre à ces nouveaux acteurs d’accéder à ces données.
Pour cela il suffira que le titulaire du compte donne son autorisation pour que ses données jusqu’à alors détenues par sa banque soient rendues accessibles à des tiers.
Cependant, l’arrivée de ces nouveaux acteurs pose des nouvelles problématiques à savoir, la nécessaire collaboration entre les banques traditionnelles et ces nouveaux acteurs, la question de la sécurité des paiements et la question de la protection des données.
II.Les nouvelles problématiques.
A. Une nécessaire collaboration entre les banques traditionnelles et ces nouveaux acteurs.
Il serait utopique de penser que l’arrivée de ces nouveaux acteurs réjouirait les banques traditionnelles, qui rappelons le, subissent le phénomène de désintermédiation, en voyant leur monopole se rétrécir de plus en plus.
Les banques traditionnelles qualifiées de « tiers de confiance » se voient alors obligées, voire forcées de composer ces nouveaux acteurs principalement en ce qui concerne la transmission des informations financières de leurs clients.
Les articles 66 et 67 de ladite directive posent un principe de droit d’accès au compte et une obligation de « communication sécurisée » entre les banques traditionnelles et ces nouveaux prestataires. Ils ne pourront pas refuser la transaction informatique entre leur système de banque et celui de ces nouveaux prestataires services.
Cependant il existe une dérogation à ce principe : le gestionnaire du compte peut refuser l’accès à un TTP « pour des raisons objectivement motivées et documentées liées à un accès non autorisé ou frauduleux au compte de paiement ».
De plus, la directive précise que la fourniture de services d’initiation de paiement et d’information sur les comptes n’est pas subordonnée à l’existence de relations contractuelles avec les établissements gestionnaires des comptes.
B. Un renforcement de la sécurité des paiements : l’authentification forte du client.
Le partage des informations personnelles des clients (codes personnels des clients et identifiants) comporte un risque sur la protection des données financières des consommateurs.
Rappelons qu’il existe déjà des systèmes de sécurité de paiement (dont le plus utilisé en France est le système 3D Secure) qui permettent l’authentification du consommateur lors d’un paiement en ligne.
La directive DSP 2 prendra tout de même en compte cette problématique. En effet, elle systématise et exige « l’authentification forte du client » (source : ACPR).
L’Autorité Bancaire Européenne mandatée par la DSPE a précisé ce qu’il faut entendre par « Authentification forte du client ».
L’authentification forte se définit comme : une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories :
connaissance (quelque chose que seul l’utilisateur connaît : Mot de passe, PIN),
possession (quelque chose que seul l’utilisateur possède (Mobile, carte),
Inhérence (quelque chose que l’utilisateur est : empreinte digitale, reconnaissance faciale).
Cette authentification forte devient donc une procédure nécessaire et constitue un challenge que doivent relever les prestataires de service de paiement afin de protéger les consommateurs contres toutes fraudes.
Il convient donc aux banques traditionnelles d’effectuer des analyses d’impact de cette directive sur leurs activités et de prendre en conséquence des décisions adaptées, voire stratégiques.
Stratégiquement, les banques peuvent profiter de cette opportunité pour concevoir des offres de paiement innovantes, des nouveaux services de paiement et élargir leurs portefeuilles afin de ne pas souffrir des effets de la désintermédiation bancaire.
