« Les banques dénaturent la DSP2 ». Sous ce titre sans équivoque, le blog C’est pas mon idée (1), qui suit au jour le jour la transformation numérique du secteur bancaire, livre une critique sévère des propositions de l’EBA [voir encadré], qui « vont certainement tempérer l’enthousiasme de ceux qui voyaient [dans la DSP2, NDLR] une avancée majeure (…). »

« On ne peut (…) s'empêcher de penser », estime même le blog, « que les rédacteurs du texte, aidés par les intervenants qui ont répondu à leur appel à contribution, tendent à profiter de la recherche d'un difficile équilibre pour faire pencher la balance du côté qui leur est le plus favorable… »

Un texte « très positif »

Que reproche-t-on exactement aux propositions publiées dans le courant du mois d’août par l’ABE ? C’est pas mon idée liste un certain nombre de restrictions possibles à l’accès des prestataires de services de paiement (PSP) tiers aux données détenues par les banques : la nécessité, par exemple, pour ces PSP de demander à leurs usagers de se reconnecter au moins une fois par mois ; ou encore la limite à deux interrogations de compte par jour. Un certain flou entoure également la liste des données dont l’accès nécessitera un authentification renforcée, plus compliquée à mettre en œuvre.

« Les propositions nécessitent effectivement deux ou trois petits ajustements », confirme Joan Burkovic, le fondateur et CEO de Bankin’, un des services d’information de compte leader en France. Pour autant, celui qui est également porte-parole du regroupement des agrégateurs européens considère que le texte est « très positif » pour les nouveaux acteurs. « Il explique très clairement que les banques et les tiers auront accès aux mêmes services, sans discrimination. »

Dans la collaboration plutôt que l'affrontement

En clair : fidèle à l’esprit de la DSP2, l’ABE confirme que les banques ne pourront pas exploiter une information issue d’un compte client si elles ne la fournissent pas également aux PSP tiers dûment certifiés. Par exemple si, comme le propose l’ABE, le nombre quotidien d’interrogations du compte est limité à deux pour les tiers, cette limite vaudra également pour les services - les applications mobile par exemple - fournis en direct par les banques. On imagine que ces dernières ne verront pas cela d’un bon œil.

Résultat : le texte « nous place dans la collaboration avec les banques », estime Joan Burkovic, plutôt que dans l’affrontement. Les banques partageront-elles cette position ? On en saura plus au mois d’octobre, date de fin de la consultation publique engagée par l’ABE sur ses propositions. La DSP2, elle, doit normalement entrer en vigueur début 2018.

Des standards techniques à définir

Rappel : la Commission européenne a adopté le 8 octobre 2015 sa 2e directive sur les services de paiement. La première, en 2007, avait notamment permis la mise en place de l’espace unique de paiement en euros, le désormais fameux SEPA, et créé les établissements de paiement. Ce nouveau texte, lui, est destiné à prendre acte du boom des paiements électroniques, et notamment de l'émergence des fintechs, nombreuses sur ce créneau.

Entre autres mesures, la DSP2 prévoit d’encadrer et de sécuriser l’accès de tiers non-bancaires, les services d’informations de comptes (parfois appelés agrégateurs, ou AIS en anglais) et les services d’initiations de paiement, aux comptes bancaires des clients. C’est à l’ABE, autorité indépendante chargée de veiller au bon fonctionnement du secteur bancaire à l’échelle continentale, que l’UE a confié la mission de définir les standards techniques permettant de réussir le tour de force de sécuriser cet accès tout en le facilitant.

(1) « C’est pas mon idée » est tenu par Patrice Bernard, consultant spécialisé dans l’innovation bancaire. Lire son interview : « Les banques françaises prennent un risque à rester sur un modèle de confort »