DSP2, kesako?
Le développement de la technologie et du digital dans le secteur de la banque nécessite un cadre juridique pour réguler un marché. En 2007, l’Union Européenne avait apporté une première réponse avec la directive sur les services de paiement (DSP1). Mais, face à l’apparition d’une nouvelle génération d’acteurs, notamment dans la fintech, l’Union Européenne a jugé nécessaire de mettre à jour cette régulation, dont la deuxième directive sur les services de paiement (DSP2), votée en 2015, est issue.
DSP2, ça change quoi?
1. De nouvelles obligations pour les établissements financiers
La DSP2 oblige les établissements bancaires à partager les données de leurs clients aux nouveaux prestataires de services de paiement dans le cadre des services suivants :
- les services d’information sur les comptes (comme Bankin ou Linxo) consistant à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l’utilisateur auprès d’un ou de plusieurs autres prestataires de services de paiement.
- les services d’initiation de paiement (comme Sofort en Allemagne, iDeal dans les Pays-Bas et Trustly en Suède) consistant à initier un ordre de paiement à la demande d’un utilisateur à partir d’un compte de paiement détenu auprès d’un PSP.
En obligeant les établissements financiers à mettre à disposition ces informations, la DSP2 accélère la généralisation de l’open banking.
2. Un renforcement des droits et des obligations des utilisateurs
Les utilisateurs de moyens de paiement voient leur responsabilité réduite de 150 euros à 50 euros en cas de paiements non autorisés, c’est-à-dire de paiements consécutifs à un vol, une perte ou un détournement de l’instrument de paiement.
Ils doivent désormais être informés sans délai des incidents opérationnels et de sécurité majeurs – c’est-à-dire affectant le fonctionnement de l’établissement ou la sécurité de l’opération de paiement – lorsque celui-ci est susceptible d’avoir des répercussions sur leurs intérêts financiers, lors des procédures de réclamation existantes, ainsi que des procédures de règlement extrajudiciaire en cas de litige.
3. L’authentification forte, l’avancée majeure pour la sécurité des données
La DSP2 impose désormais des dispositions sur l’authentification forte du client pour garantir la sécurité des paiements électroniques et la protection des données financières des consommateurs : au-delà des paiements de 30€, l’identité du payeur doit être vérifiée lors de l’opération de paiement, en s’appuyant sur au moins deux éléments ou plus parmi les catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est). Eléments qui doivent être indépendants, c’est à dire que l’un ne remet pas en cause la fiabilité des autres.
L’analyse de SerendpTech
Jusqu’à récemment, le modèle des banques de détail était centré autour d’un compte en banque et d’un conseiller. Une approche souvent frustrante pour les clients, sans compter que les prises de contact se passent généralement par un rendez-vous difficilement obtenu en agence et suivi d’une complexité administrative qui fait abstraction du besoin de services demandés par l’utilisateur.
La nécessité de l’authentification forte, et surtout la phase d’identification préalable qu’elle nécessite nécessite de réinventer la mise en relation entre l’établissement et son client. Cette nouvelle mesure offre ainsi l’opportunité pour les établissements bancaires, financiers et les e-commerçants de recourir à des solutions innovantes qui leur permettent de garantir à la fois la sécurité des données utilisateurs et la fluidité de la relation client lors de l’identification.