Un marché des paiements en pleine mutation
Le 13 janvier 2018 a marqué l’entrée en vigueur dans les Etats membres de la directive sur les services de paiement 2015/2366 (DSP2) qui vient abroger et remplacer son prédécesseur, la directive sur les services de paiement 2007/64/CE (DSP1). Cette directive révisée marque un nouveau tournant dans le marché des services de paiements, apanage historique des banques, et vient confirmer l’avènement des fintechs sur le marché des services de paiements.
Ce terme générique largement employé à l’heure actuelle désigne ni plus ni moins ces nouveaux acteurs de la finance venant proposer des services financiers innovants en tirant profit des évolutions technologiques. Les fintechs ont ainsi contourné les barrières d’entrée d’un marché réputé difficilement accessible grâce au numérique. Force est de constater que ces acteurs viennent directement concurrencer l’offre des banques. Le marché des services de paiements en est une parfaite illustration. Les fintechs ont en effet rapidement su prendre la vague de la révolution technologique et s’appuyer sur le changement de comportement du consommateur pour faire naître une nouvelle expérience du paiement.
Tirant les enseignements de la DSP1, le régulateur a souhaité adapter le cadre réglementaire d’un marché des services de paiements en pleine mutation, alimenté par l’apparition rapide d’acteurs innovants. La DSP2 n’est que la suite logique des précédentes réglementations et affiche la volonté de créer un véritable marché des services de paiements favorisant la concurrence et l’innovation. Le mouvement de désintermédiation du secteur est donc désormais bien en marche et présente une réelle menace pour les banques. Face à ces changements, ces dernières n’ont d’autres choix que d’accepter la réalité du marché et adapter leur stratégie en conséquence.
Retour sur les premières initiatives de la DSP1
La première directive sur les services de paiement 2007/64/CE (DSP1) est adoptée en 2007 et mise en œuvre par les Etats membres à partir du 1er novembre 2009. Cette directive vise alors à établir un ensemble de règles communes régissant le secteur des services de paiements à l’échelle de l’Union Européenne, et dictait par la même occasion les bases juridiques nécessaires à la création de l’espace unique de paiements en euros (SEPA). Ce projet permet ainsi de rendre les paiements transfrontaliers plus efficaces et moins coûteux, grâce à une convergence des normes nationales débouchant sur une harmonisation des processus et des systèmes de paiements.
Toutefois, la DSP1 ne se limite pas à l’harmonisation des pratiques du marché et entame la première marche vers une ouverture du marché des services de paiement à de nouveaux entrants. C’est dans le cadre de cette directive que naît le statut de prestataire de services de paiement (PSP), regroupant six catégories d’acteurs dont les « établissements de crédit », les « établissements de monnaie électronique » et les « établissements de paiement ». Les banques, catégorisées comme « établissements de crédit » sont désormais contraintes de composer avec de nouveaux acteurs habilités à fournir des services de paiement.
La DSP2 : l’adaptation du cadre réglementaire à de nouveaux acteurs
Si la DSP1 marque la fin du monopole bancaire sur le marché des services paiement avec la création du statut de PSP, la DSP2 adapte le cadre réglementaire des services de paiement aux défis posés par l’innovation technologique et l’émergence rapide de nouveaux acteurs avec un double objectif à la clé : l’encadrement de nouveaux acteurs et la garantie d’un fort niveau de sécurité. Le développement des fintechs de paiement donne en effet naissance à de nouveaux services de paiement qui ne sont pas couverts par le périmètre réglementaire de la DSP1 : les services d’agrégation de comptes et les services d’initiation de paiement. Les établissements fournissant ce type de services opèrent jusqu’alors dans un certain flou juridique, engendrant de nouveaux risques liés à ce type d’activité.
Toujours dans la lignée de son prédécesseur, la DSP2 entend donc promouvoir la concurrence et l’innovation dans un marché des paiements en pleine transformation, tout en palliant les carences de la DSP1. La DSP2 vient donc parachever la construction d’un environnement favorable aux fintechs et vient consacrer deux nouveaux PSP que sont les prestataires de services d’information aux comptes (PSIC) et les prestataires d’initiation de paiement (PSIP). Ces nouveaux acteurs bénéficient désormais d’un statut juridique légitimant leur activité. Afin de pouvoir exercer leur activité en conformité avec le nouveau cadre réglementaire, ces acteurs doivent préalablement entamer des démarches auprès de l’Autorité de Contrôle Prudentiel et de Résolution (ACPR), chargée de procéder à un enregistrement pour les PSIC et de délivrer un agrément pour les PSIP. Plus concrètement :
- Les PSIC ont pour vocation de fournir des informations consolidées concernant des comptes détenus auprès d’autres PSP, afin de permettre au consommateur d’avoir une vue d’ensemble de sa situation financière.
- Les PSIP permettent, quant à eux, d‘initier un ordre de paiement à la demande du consommateur à partir d’un compte de paiement détenu auprès d’un autre PSP, l’objectif étant de permettre au consommateur de pouvoir envoyer ou recevoir de l’argent en ligne. Dans ce cas l’exécution de l’ordre est répercutée par le prestataire auprès de la banque.
Le point commun entre ces nouveaux acteurs est de jouir d’un accès aux données des comptes bancaire en ligne de leurs clients. Car l’obligation pour les banques d’accorder à un PSP tiers l’accès sécurisé aux informations sur les comptes de paiements de leurs clients est au cœur de la DSP2. Les banques se voient donc contraintes, a minima, de traiter toutes demandes d’accès aux données de paiement sans discrimination aucune. Tout refus de donner l’accès à des PSIC et PSIP, dès lors qu’ils sont reconnus comme tels par l’ACPR, constitue une enfreinte à la DSP2 et doit être documenté et justifié auprès des autorités de contrôle.
En plus de devoir dévoiler leur trésor à ces nouveaux acteurs, les banques devront également s’assurer de la mise à disposition d’interfaces de communication sécurisées pour assurer que le flux de données est sécurisé et contrôlé. Car jusqu’à présent, les nouveaux usages ont été permis par le recours généralisé au screen scrapping. Cette méthode simule la connexion du client, qui a préalablement confié ses données personnelles d’identification, afin de récupérer les données bancaires pour les stocker et les analyser. Largement décrié par les banques, ce procédé pose notamment des problèmes de sécurité des données et de vulnérabilité des utilisateurs. Le régulateur a ainsi souhaité encadrer ces pratiques.
L’accès au compte de paiements des clients se fera désormais par le biais d’APIs, interfaces de programmation applicative, permettant aux prestataires tiers de se connecter aux systèmes des banques. Devant la technicité du sujet, la DSP2 a confié à l’Autorité Bancaire Européenne (ABE) le soin d’établir des standards techniques de réglementation (RTS). Ces nouvelles normes doivent couvrir le volet de la garantie de sécurité mis en avant par la DSP2 en élaborant une réponse technique aux exigences suivantes :
- Généralisation de l’authentification forte de l’utilisateur
- Protection de la confidentialité et de l’intégrité des données de sécurités de l’utilisateur
- Application de normes communes sécurisées de communication
Seul point noir du tableau à ce stade, ces RTS tant attendus ont longtemps été et semblent encore être un sujet de discorde entre d’un côté, les banques et l’ABE, et de l’autre, les fintechs et la Commission Européenne. Les premières souhaitent une généralisation des APIs afin d’assurer un échange sécurisé des données, les secondes craignent que ces APIs ne soient trop contraignantes. A l’heure actuelle, la date d’entrée en application de ces nouvelles normes n’est pas certaine.
Les RTS ont été publiés en février 2017 par l’ABE et devaient initialement être validés par la Commission Européenne avant fin 2017 et officialisés par la publication d’un acte délégué européen. Selon la procédure, l’entrée en application des RTS est prévue 18 mois après la publication de l’acte. D’après les estimations, l’application devrait ainsi être reportée à septembre 2019. Bien que le secteur se soit déjà adapté en ayant recours aux APIs, les PSP pourront, dans l’attente, continuer leurs activités et recourir au screen scrapping sans que les banques ne leur refusent l’accès.
Impacts de la DSP2 sur le modèle bancaire traditionnel
Les impacts de la DSP2 sur le modèle bancaire sont considérables. En premier lieu, la DSP2 contraint les banques à transformer leurs systèmes informatiques et processus associés. Dans le cadre des RTS, celles-ci doivent notamment mettre à disposition des interfaces d’échanges sécurisées et mettre en place de nouveaux processus de contrôles et de gestion des risques, avec les coûts que cela peut engendrer.
Mais la DSP2 pourrait bien transformer de manière conséquente le secteur des services de paiement et le secteur bancaire en général. Les banques traditionnelles sont longtemps restées les acteurs forts et historiques du secteur des services de paiement car celles-ci ont le privilège de la relation directe avec le client. Elles détiennent donc une mine d’informations sur le comportement et les usages de leurs clients à laquelle d’autres acteurs ne pouvaient pas prétendre. Quelque peu restées dans le déni face aux diverses initiatives réglementaires d’ouverture du marché des paiements à la concurrence, ces dernières n’ont pas su capitaliser suffisamment sur leurs connaissances et exploiter les données dont elles disposent pour faire bénéficier leurs clients de services innovants.
Avec la DSP2, ces mêmes données de paiement sont maintenant accessibles à de nouveaux acteurs qui proposent des services de plus en plus innovants. A une époque où les données sont le nerf de la guerre, ce partage de l’information constitue une réelle menace pour les banques. Plus agiles dans leurs modes de fonctionnement et à l’affût des évolutions comportementales, les fintechs sont à même de s’implanter rapidement sur le marché des paiements. Car l’enjeu de demain n’est plus d’avoir accès aux données des clients, mais bien de savoir les exploiter. Dans ce contexte, les banques sont d’autant plus menacées par ces PSP qui proposeront rapidement de nouvelles solutions adaptées aux comportements des clients. Cette désintermédiation progressive risque de réduire la capacité des banques à proposer aux clients des produits et services adaptés à leurs besoins. Dans un scénario catastrophe, on pourrait imaginer certaines banques devenir de simples fournisseurs de services de back office : conservation de fonds et exécution d’ordres de paiements.
Quel avenir pour le modèle bancaire ?
La directive constitue certes une menace pour les banques mais elle est également porteuse d’opportunités qui dépassent le cadre de la DSP2. N’ayant d’autres choix que de se conformer à cette nouvelle directive, les banques sont contraintes d’adapter leur stratégie aux nouvelles contraintes. Ne pas agir en conséquence et subir passivement la désintermédiation reste un scénario peu probable. Certaines ne se sont d’ailleurs pas fait attendre et les initiatives d’innovation dans le secteur bancaire se sont multipliées.
Les banques ont tout intérêt à voir les fintechs comme de nouveaux partenaires et non des concurrents, pour pouvoir, ensemble, capitaliser sur des atouts complémentaires. En effet, les banques jouissent, en tant qu’acteurs historiques, d’un capital confiance et peuvent actionner des leviers de financement importants. Les fintechs proposent quant à elles une approche plus agile et génératrice d’innovation. Une approche partenariale aurait la vertu de propulser les banques sur les devants de la scène de l’innovation et permettrait de développer l’écosystème fintech. Pour ce faire, les initiatives, déjà en marche, sont de deux natures :
- Une approche classique : l’investissement dans les fintechs
Avec l’arrivée des nouveaux acteurs, le secteur bancaire a intensifié les investissements dans les start-ups financières. Cette approche semble être favorable à tous les participants. D’un côté pour les banques, qui peuvent élargir leur gamme de services en proposant de services innovants tout en gardant la propriété de leurs données ; de l’autre pour les fintechs, qui peuvent se reposer sur la solidité financière des groupes bancaires pour accélérer leur développement tout en conservant leur agilité.
- Une approche nouvelle : le développement du modèle de l’Open Banking
Avec l’arrivée des nouveaux RTS, les banques doivent mettre en place des APIs pour assurer la sécurité des données de paiement. Dans le cadre de ces développements, des APIs peuvent également être développées pour l’accès à des données hors-DSP2, tels que, par exemple, les données concernant les comptes d’épargnes classiques et les comptes d’épargne financière et d’assurance vie. Des partenariats pourraient ensuite être créés avec des acteurs sélectionnés afin de leur mettre à disposition ces APIs pour proposer des services supplémentaires. La banque capitaliserait ainsi sur un avantage comparatif de taille : la connaissance de données clients. Par la même occasion, elle se positionnerait comme un producteur de données, dont l’exploitation serait laissée au soin de partenaires. En plus d’assurer une nouvelle forme de revenu lié à la mise à disposition de données, ce modèle permet aux banques de devenir les initiateurs de nouveaux services innovants en s’appuyant sur un écosystème de fintech.
La DSP2, vécue de prime abord comme une menace, serait-elle donc un mal pour un bien ? Force est d’avouer que la directive oblige les banques à repenser leurs priorités en plaçant les besoins du client et l’innovation au centre de leurs préoccupations. La stratégie gagnante semble nécessairement passer par une approche partenariale avec les fintechs. Car le réel danger pour les banques ne vient pas de ces acteurs mais bien des GAFA (Google, Apple, Facebook, Amazon), qui en plus de disposer de moyens financiers colossaux, ont mis l’exploitation des données clients au cœur de leur business model.