Paperjam, June 2017

PSD2: accès possible à vos comptes via des tiers

  • Share

La Directive sur les Services de Paiement révisée, ou PSD2, instaure un ensemble de règles plus adaptées à la nouvelle réalité des services de paiement et aux évolutions technologiques.

Une première Directive sur les Services de Paiement datant de 2009 visait à améliorer la transparence vis-à-vis des utilisateurs de services de paiement et à augmenter leur niveau de protection.

La PSD2 inclut, entre autres, une extension du périmètre en matière de transactions de paiement, mais avec des droits pour les utilisateurs et des exigences en matière de protection et d’authentification client plus stricts.

Autre point, deux catégories de prestataires de paiement non bancaires entrent en lice. Techniquement, cela implique une réorganisation de l’industrie financière autour d’interfaces de programmation applicative (dites «API»), une nouveauté en matière «d’open banking» et de digitalisation des services financiers.

 

De nouvelles règles de protection pour vous, consommateur

Comparé à la PSD1, la PSD2 élargit le périmètre d’application en ce qui concerne les transactions de paiement. Que cela signifie-t-il? Les règles sont désormais étendues aux transactions en toutes devises ainsi qu’aux transactions pour lesquelles un seul opérateur est domicilié dans l’espace économique européen.

Aussi, afin d’assurer une meilleure protection des utilisateurs, les critères d’authentification pour la connexion aux comptes deviennent plus contraignants. Les prestataires de services de paiement sont désormais tenus de s’assurer d’une authentification client stricte à partir du moment où le payeur accède à son compte de paiement en ligne, lance des transactions de paiement électronique à distance ou effectue toute autre action à travers les canaux à distance. D’un point de vue procédure, la directive impose l’adoption de mesures adéquates pour la résolution des plaintes clients tout en définissant le temps de traitement à dix jours maximum. Enfin, en matière de gestion des risques, la PSD2 réduit la responsabilité maximale de l’utilisateur de services de paiement en cas de transaction non autorisée.

 

Innovation PSD2: le droit d’accès aux comptes bancaires par des tiers

Sous couvert d’innovation, la PSD2 étend le périmètre d’activité des prestataires de paiement non bancaires en introduisant deux nouvelles catégories d’établissements de paiement: les prestataires exerçant un service d’initiation de paiement et les prestataires exerçant un service d’information sur les comptes.

La PSD2 instaure, au profit des deux nouveaux prestataires de services de paiement, un droit d’accès direct aux comptes de paiement de leurs clients ouverts auprès d’établissements de crédit. Les conséquences pour les banques sont multiples. Elles auront désormais l’obligation de donner accès aux données personnelles de leurs clients, une problématique majeure dans un marché de plus en plus digitalisé. Elles devront aussi supporter des obligations et des coûts supplémentaires, dans le seul but de permettre à leurs nouveaux concurrents directs d’exercer leurs activités.

Stratégiquement, les établissements financiers peuvent également avoir un intérêt à pouvoir accéder aux comptes bancaires de leurs clients ouverts auprès de leurs concurrents et à fournir les nouveaux services de paiement. Une telle décision permettra d’intensifier les services aux clients plutôt que de souffrir d’une désintermédiation.

 

Défis de mise en conformité pour les banques

Afin de faire face à ces défis, il est recommandé pour les institutions bancaires d’effectuer dès maintenant une analyse d’impacts de la PSD2 sur leurs activités, les systèmes et les procédures et de déterminer les actions correctives à mettre en place courant 2017. Les décisions stratégiques de nouveaux produits ou d’accès aux comptes sont également à mettre sur le radar dès le début des projets. Alors que d’autres projets réglementaires se mettent en place, il faut dès maintenant planifier l’allocation des ressources adéquates en nombre et en compétences. Les développements informatiques pour permettre la connexion des tiers sont à modéliser. Une revue et une adaptation des mécanismes de sécurité et de contrôles seront nécessaires. Enfin, la mise en place d’une gouvernance de projet centralisée est essentielle pour s’assurer de la cohérence des choix pour les différentes activités d’un même groupe bancaire.