La Commission européenne est en train de finaliser son examen de la directive PSD2 en vigueur et des diverses propositions qu’elle a reçues pour modifier cette réglementation au cours de la période de consultation de l’année dernière. Sachant que l’arrivée d’une nouvelle directive potentielle, osons dire la DSP3, pourrait bien se profiler à l’horizon, il n’y a pas de meilleur moment que maintenant pour nous rappeler le fiasco persistant de la DSP2 – y compris ses normes techniques réglementaires (RTS) et ses cauchemars de mise en œuvre – afin d’éviter de commettre les mêmes erreurs à l’avenir.

La DSP2, un exemple à ne pas suivre

Ce qu’il y a de bien avec la DSP2, c’est qu’elle nous a beaucoup appris sur ce qu’il ne faut plus jamais refaire.

Mais avant d’en arriver là, faisons un petit retour en arrière. Comme vous vous en souvenez peut-être, lorsque la DSP2 a été introduite, elle promettait d’encourager l’innovation dans le secteur des services financiers tout en allant plus loin dans la protection des consommateurs. Malheureusement, la réalité de la DSP2 a été bien différente.

Pour commencer, le texte de la DSP2 a été rédigé en réaction à la présence croissante de fournisseurs tiers (TPP) d’abord numériques, qui sont apparus pour répondre à l’évolution des besoins de marketing, créer de nouveaux types de valeur et innover dans les secteurs des services bancaires et financiers. Le simple fait que cette réglementation ait été élaborée comme une réaction instinctive à ces acteurs montre que l’innovation, dans sa forme la plus pure, n’était pas vraiment au cœur de la réglementation PSD2.

Pour aller plus loin, alors que la DSP2, en théorie, n’était pas censée être trop restrictive et apporter la légitimité réglementaire dont les TPP avaient besoin pour fournir des services de valeur, les RTS de niveau 1 publiées par l’Autorité Bancaire Européenne (ABE) étaient mal conçues, notamment en ce qui concerne la communication et l’authentification entre les TPP et les banques. À bien des égards, ces RTS ont compromis – et continuent de le faire – la capacité des TPP à répondre à divers cas d’utilisation dont le seul but était de simplifier, de rationaliser et, plus généralement, d’améliorer le parcours du client de bout en bout.

Les inconvénients de ces « obligations » l’emportant largement sur les avantages, l’EBA a été contrainte de publier un avis en juin 2020, plus de deux ans et demi après l’entrée en vigueur de la DSP2, abordant de front les obstacles auxquels les TPP étaient confrontés lorsqu’ils tentaient de continuer à fournir leurs services dans le cadre de cette réglementation. Si cela a permis d’aplanir quelques points douloureux, quelques questions restent encore  » épineuses  » aujourd’hui :

• De nombreuses banques exigent encore une authentification forte du client (SCA) toutes les 24 heures pour les comptes chèques des particuliers et des entreprises. Pour que les services qui s’appuient sur les API de la DSP2 fonctionnent correctement, il est essentiel que les TPP soient en mesure de rafraîchir ces données sans avoir à rappeler au client de se ré-authentifier chaque jour.
• Les chemins d’accès d’une application à l’autre n’ont pas été normalisés entre les banques, ce qui signifie que toute « redirection » au cours de l’expérience client peut souvent ressembler à un parcours du combattant pour les utilisateurs finaux. Il a été démontré à maintes reprises que cela réduisait les taux de conversion, notamment en ce qui concerne l’initiation des paiements.
• Même si les règles de renouvellement de la SCA ont été étendues de 90 à 180 jours, permettant ainsi une expérience plus transparente pour les utilisateurs finaux, le choix de mettre en œuvre cette extension, comme indiqué ci-dessus, est toujours entre les mains des banques. Cela n’aide pas non plus les taux de conversion. Toutefois, il est important de noter que les établissements de paiement agréés, comme Powens, ont mis en place toutes les précautions nécessaires pour apaiser les inquiétudes des banques et « porter le risque » associé au renouvellement de la SCA.

Cela explique pourquoi, plus de cinq ans après, la DSP2 laisse toujours un goût amer dans la bouche d’à peu près tous les acteurs du secteur des services financiers, banques et fintechs comprises.

4 pièges réglementaires à éviter à l’avenir

Si la nouvelle directive sur les services de paiement est en passe d’être adoptée, c’est l’occasion de s’assurer que ce qui se passera à l’avenir ne sera pas une répétition du passé. Voici quelques pièges que l’ensemble du secteur doit éviter si nous voulons que la transition se fasse en douceur.

1. Ne soyons pas trop hâtifs

Si nous avons appris de nos erreurs, c’est que la publication précipitée d’une directive « vide » – suivie par des RTS successifs et des avis de clarification de l’EBA – n’est une stratégie gagnante pour aucun acteur du secteur. Pour faire de l’Open Banking et de l’Open Finance des révolutions à part entière, nous devons adopter une approche réfléchie et itérative de la prochaine phase de la directive sur les services de paiement. C’est la seule façon de garantir que les réglementations mises en place favorisent réellement l’innovation et la transformation numérique continue à l’échelle du secteur.

2. Ne procédons pas de manière isolée.

Il existe aujourd’hui sur le marché une multitude de cas d’utilisation de l’Open Banking et de l’Open Finance qui peuvent guider le développement de ce cadre réglementaire de nouvelle génération. Ainsi, au lieu de créer des réglementations au hasard, puis de forcer les principaux acteurs du secteur à reconfigurer leurs produits et services pour s’adapter à ce cadre, tirons les leçons de ce qui fonctionne déjà bien pour élaborer des réglementations qui peuvent vraiment stimuler l’innovation continue. N’oubliez pas qu’un grand nombre de particuliers et d’entreprises s’appuient chaque jour sur les solutions bancaires et financières ouvertes existantes ; ne faisons pas l’impossible pour briser la chaîne inutilement.

3. Ne procédons pas sans supervision

Afin de rendre la mise en œuvre de toute nouvelle réglementation aussi transparente que possible, il est essentiel d’impliquer tous les bons acteurs – y compris les banques, les fintechs et les régulateurs du secteur – pour créer un organe de gouvernance qui pourrait minimiser tout contretemps inutile. Le simple fait de réunir toutes les parties de cet écosystème autour de la table ferait une énorme différence.

4. Ne faisons pas d’exceptions

Toute nouvelle réglementation se doit d’être applicable à tous. Avec la DSP2, par exemple, les banques italiennes ont été, d’une manière ou d’une autre, exemptées du mécanisme de repli, alors que leurs API sont parmi les plus problématiques d’Europe. En faisant ce genre d’exceptions, il est pratiquement impossible de maintenir un ensemble universel de normes. Nous vivons dans un monde beaucoup plus connecté que lors de l’entrée en vigueur de la DSP2. Si nous voulons que tous les systèmes puissent fonctionner et communiquer entre eux efficacement, tout le monde doit suivre les mêmes règles.

Soyons prêts pour la future DSP3.

Bien que rien ne soit encore gravé dans la pierre, nous pouvons commencer à envisager l’éventualité d’une nouvelle directive sur les services de paiement. C’est pourquoi l’équipe de Powens suit de près les débats afin de s’assurer que nous pouvons non seulement orienter la conversation dans une direction positive, mais aussi être mieux préparés à une exécution sans faille le moment venu.

Ne laissez pas une nouvelle réglementation vous prendre au dépourvu?

Bertrand Jeannet

CEO