DE LA DSP2 À L'OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRE - Viatys
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRE
DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRE Audrey DHELLEMMES, Thomas BERARD, Pierre KOLLEN, Marion TASTES
EN RÉSUMÉ
L
es changements technologiques et culturels ont
modifié la manière de « consommer » le service
bancaire traditionnel. Les clients recherchent
dorénavant la facilité de l’usage et considèrent le parcours
d’achat comme un produit à part entière.
Ces comportements impactent profondément le marché
des services financiers qui se transforme avec l’arrivée
de nouveaux entrants comme les FinTech et les GAFAM.
Ils perçoivent la donnée comme la source principale de
revenus contrairement aux acteurs bancaires traditionnels
qui restent sur des services payants.
Qui plus est, l’évolution de la réglementation, avec l’entrée en
vigueur de la DSP2, oblige les banques à mettre à disposition
leurs données auprès de tous les nouveaux opérateurs,
accélérant la remise en question de leur modèle.
Dans ce contexte, quelle stratégie d’ouverture les banques
doivent-elles adopter, pour quel modèle de rémunération :
développement des API internes, renforcement des
partenariats ou mutation en « BaaS : Bank as a Service » et
face à une désintermédiation latente, comment conserver
une relation client forte ?
Ce livret vous apporte une vision détaillée de ces sujets et
les pistes sur les actions à mener.
Chez Viatys, nous avons la conviction que les entreprises
doivent dès à présent passer dans l’ère de l’API First pour
développer leur marché. Plus spécifiquement, les banques
auront alors deux nouveaux leviers de croissance : en
interne, par la modernisation de leur SI, et en externe,
pour une extension de leurs réseaux de distribution et
l’intégration de services complémentaires.
5SOMMAIRE
1. Le contexte.................................................................................................................................................................................... 9
1.1. Des clients de plus en plus mobiles ....................................................................................................................... 9
1.2. GAFAM et fintech s’intermédient entre le client et sa banque ....................................................... 10
1.3. Ces nouveaux usages permettent aussi de collecter et d’exploiter des données .......... 12
1.4. Des usages permis grâce à des procédés de collecte de données
(screen scraping et api) et en passe d’être encadrés par le régulateur................................... 13
2. De la DSP2… ............................................................................................................................................................................. 21
2.1. Qu’est-ce que la DSP2 ? ................................................................................................................................................. 21
2.2. Quel calendrier ? ............................................................................................................................................................... 22
2.3. Des acteurs et des rôles reconnus par la DSP2.......................................................................................... 23
2.4. Des règles communes de securité prévues dans la DSP2 ................................................................. 25
2.5. Les impacts de la DSP2 pour … .............................................................................................................................. 27
3. … À l’open banking : vers de nouveaux modèles bancaires ................................................ 33
3.1. Qu’est-ce que l’open banking ? ................................................................................................................................ 33
3.2. Modèle 1 : se conformer à la réglementation DSP2 et en profiter pour
développer des API internes à la banque. ...................................................................................................... 34
3.3. Modèle 2 : modèle 1 + partenariats et / ou investissement ............................................................. 36
3.4. Modèle 3 : modèle 2 + développement de l’open banking jusqu’au modèle
bank as a service ................................................................................................................................................................ 39
3.5. Quel modèle de rémunération ? ............................................................................................................................ 41
3.6. Les points d’attention pour transformer une banque qui souhaite
s’inscrire dans l’open banking .................................................................................................................................. 43
3.7. Open banking : quelles sont les banques les plus avancées ? ....................................................... 45
4. Pour quelle relation client ? .................................................................................................................................... 47
4.1. Les API et le big data au service de l’intelligence artificielle ............................................................. 47
4.2. La nécessaire transformation des banques pour revoir l’expérience client........................ 48
4.3. Un parcours client vecteur de nouveaux services grace a l’API First ......................................... 49
4.4. Le client de demain, digital native, souhaite lui aussi parler à autre chose
qu’un robot et veut qu’on l’accompagne avec une relation humaine ..................................... 50
4.5. La banque reste un partenaire de confiance privilégié....................................................................... 53
4.6. Confiance, fiabilité, sécurité : des challenges aussi pour les fintech,
modèles des parcours client sans couture .................................................................................................... 54
5. Comment Viatys peut accompagner ses clients ?........................................................................... 57
VIATYS 78
1. CONTEXTE
1.1. phone, tablette, web, service client,
agence) durant le processus d’achat. Il
DES CLIENTS DE PLUS EN devient possible de poursuivre sur un
PLUS MOBILES autre support, tablette ou web, une
Depuis le lancement du premier action entamée sur mobile par exemple.
smartphone iPhone par Apple en Les informations des clients doivent alors
2007, les usages ont drastiquement être centralisées pour être réutilisées et
changé au travers d’une centralisation communiquées à tous les départements.
de technologies et de services sur des Cet usage tout mobile est aujourd’hui
appareils mobiles (accès à internet, démocratisé et d’innombrables
e-mail, applications pour tous types applications sont disponibles. Malgré
d’usages, reconnaissance biométrique). cette offre pléthorique, l’utilisateur
La génération Y, qui focalise beaucoup restreint souvent son usage à quelques
l’attention, est symptomatique de ces applications.
évolutions, puisqu’elle est la prochaine En quelques chiffres:
grande génération par nombre de
80% des applications téléchargées
personnes : en France 15,4 millions
sont supprimées après leur première
d’individus sont nés entre 1980 et 2000.
utilisation.
Les usages ont changé et s’adaptent à
cette nouvelle génération considérée Une application téléchargée et non
comme « Digital Native », première ouverte pendant 7 jours ne le sera
génération du numérique. jamais plus.
65% du temps passé sur des applications
Pour s’adapter à cette mobilité, ces
l’est à des fins d’amusement.
dernières années, les applications
ont même été repensées pour passer L’objectif des acteurs mobiles est donc
d’un mode multicanal à un mode de se rendre indispensables et que
omnicanal. Le marketing multicanal l’utilisation de leurs applications mobiles
implique une cohérence dans toutes perdurent dans le temps. Dans ce
les communications à destination des marché, les applications bancaires sont
utilisateurs. Pour aller plus loin, le bien positionnées. Les banques sont
marketing omnicanal permet d’acheter aujourd’hui l’un des rares acteurs sur
ou de souscrire à des offres en changeant le marché mobile à maintenir un usage
de support de communication (smart- élevé de ses applications.
VIATYS I DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRE 91.2. en 2015 19 milliards de dollars
d’investissements.
GAFAM ET FINTECH Si aujourd’hui elles sont considérées
S’INTERMÉDIENT ENTRE LE comme un danger pour les banques c’est
CLIENT ET SA BANQUE parce que ces entreprises révolutionnent
le monde bancaire, notamment pour
1.2.1. les particuliers, avec des usages plus
Fortes de leurs usages devenus la adaptés aux changements culturels en
norme pour les clients mobiles, cours.
les GAFAM proposent aussi des A n’en pas douter, pour beaucoup de
services bancaires FinTech, la véritable innovation ne provient
Les grands gagnants de ces changements pas que de la technologie mais des usages
de mode de consommation sont en réinventant l’acte de s’informer, de
évidemment les GAFAM : Google, payer, de souscrire, et en s’adaptant à des
Apple, Facebook, Amazon et Microsoft. nouveaux contextes d’achat et d’utilisation
Inconnues pour la plupart du grand des comptes bancaires.
public il y a 20 ans, ce sont aujourd’hui des Elles savent aussi tirer le meilleur parti
entreprises incontournables trustant les des données, en les exploitant, pour
premières places de la capitalisation proposer des services innovants à forte
boursière. En bâtissant leurs empires sur valeur ajoutée et qui correspondent
le digital, les GAFAM comptent maintenant aux nouveaux besoins et usages des
des centaines de millions d’utilisateurs. utilisateurs.
Les GAFAM définissent des usages qui
deviennent la norme : de la tablette 1.2.3.
d’Apple, aux assistants personnels GAFAM et FinTech
digitaux (Apple avec Siri, Google avec s’intermédient dans la relation
Google Home, Amazon avec Alexa). du client avec sa banque
Ces géants du web ouvrent désormais Les services bancaires subissent
leur horizon et explorent d’autres une disruption : adoption rapide d’un
secteurs d’activité tels que l’automobile, nouvel usage face à un usage historique.
la culture et même le secteur bancaire En effet, les GAFAM et FinTech déploient
(Google Wallet, Apple Pay, paiements aux services bancaires leurs principes :
dans Facebook Messenger, Amazon Pay, gratuité, design, qualité d’usage, valeur
WhatsApp Payment). ajoutée des produits et, pour les GAFAM,
confiance des utilisateurs, facilitant
1.2.2. l’adoption rapide de ces derniers.
Les FinTech apportent de L’un des exemples les plus concrets
nouveaux usages concerne le paiement. L’utilisateur
Depuis 2008 de nouveaux acteurs, en qui a renseigné sa carte bleue ou son
plus des GAFAM, s’intéressent au monde RIB, a accès à de nouveaux services.
de la banque : les start-up financières, Grâce à Apple Pay, Google Wallet et la
appelées FinTech. Celles-ci sont déjà fonctionnalité de Facebook Messenger,
12 000 dans le monde et représentent l’utilisateur peut facilement virer de
10 DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRE I VIATYSl’argent à ses contacts à partir du numéro sentent un intermédiaire qui vient se
de téléphone ou de l’adresse e-mail positionner entre elle et ses clients.
du bénéficiaire. Pour le même usage, La réduction des interactions avec les
l’utilisateur a aussi le choix d’accéder clients et l’utilisation des applications
aux services de FinTech telles que Slim bancaires signifient de facto, pour la
Pay (croissance de 4 068% en 4 ans) banque, une perte d’informations du
ou Leetchi (rachetée 50 Millions par le comportement des clients et de leurs
Crédit Mutuel Arkéa). Désormais, il n’est besoins. Cet éloignement peut réduire
plus nécessaire de retirer de l’argent la capacité de la banque à proposer aux
liquide ou encore renseigner un compte clients des produits et services adaptés
bénéficiaire sur son site bancaire, puis à leurs besoins. La perte de la relation
d’attendre un délai de sécurité pour client représente une menace majeure
pouvoir effectuer le virement. pour les banques. Elles ont peur de
Tous ces services sont gratuits, devenir de simples fournisseurs de
rapides, faciles à utiliser et basés sur services de back office bancaire : tenue
des informations que le client a fourni de compte, exécution de paiements,
volontairement aux « Third Party Provider », mise à disposition de liquidités, sans
TPP. Pour la banque, ces services repré- interaction directe possible avec le client.
La désintermédiation des banques
GAFAM
FINTECH
CLIENT BANQUE
1.2.4. grâce à des services gratuits et
innovants. Cependant les néobanques ne
Les néobanques viennent
bénéficient pas encore du même capital
perturber le jeu… confiance que les banques traditionnelles
Les néobanques se présentent comme comme en atteste une étude de Next
des challengers sérieux dans la course à Content. Selon cette étude, seules 24%
l’ouverture de comptes. Appelés Comptes des personnes interrogées sont prêtes à
Nickel, N26, Revolut, pour la plupart, ouvrir un compte dans une néobanque.
elles ont en commun de ne pas avoir été Pour autant, les néobanques auront
créées par des acteurs bancaires. un rôle à jouer dans l’évolution du
Le tout digital est le maître mot (à marché bancaire. Pour développer leurs
l’exception de l’ouverture de compte services et concurrencer les banques
chez Compte Nickel) pour ces nouveaux traditionnelles, elles devront, au moins
arrivants qui ont un taux de pénétration dans un premier temps, s’appuyer sur
sur le marché important, notamment des partenariats externes.
VIATYS I DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRE 11L’exemple le plus probant étant celui très nombreux pour les GAFAM. Par
de la néobanque Starling Bank qui a l’utilisation des nouveaux services, ces
lié des partenariats avec Pension Bee, nouveaux intermédiaires bancaires
Habito, WealthSimple et Kasko pour collectent les données bancaires.
étendre ses services aux pensions de Pour remettre les données en
retraite, crédits hypothécaires, solutions perspective, rappelons que chaque jour,
d’investissement et à l’assurance il est produit autant d’informations que
voyages (via API). Près de 25 services l’humanité n’en a produites jusque-là fin
devraient bientôt étayer le catalogue du 20e siècle.
de Starling Bank d’ici fin 2018. Cette C’est désormais la course à la donnée :
stratégie de partenariats fait de la sa collecte, son stockage structuré,
néobanque un challenger sérieux, avec son exploitation et sa valorisation via
une gamme de services plus complète. de nouveaux services. Nombreuses
sont les entreprises qui revoient leurs
1.2.5. infrastructures afin d’accueillir ce
… et la banque peine à suivre le changement de paradigme : Big Data et
rythme capacités analytiques.
Les entreprises exploitent les données
Rompus aux méthodologies Agile,
pour comprendre et anticiper les
GAFAM et FinTech lancent rapidement
besoins des consommateurs. Il devient
des services novateurs, qui sont ensuite
possible de valoriser les données en
améliorés en fonction des retours clients.
proposant de nouveaux services B2B/
Les banques s’inspirent des nouvelles
B2C, qui eux seront rémunérés.
méthodologies projets (Agile, Lean)
et lancent même leurs laboratoires
58 %
internes pour incuber des projets
innovants (Labs). Mais, par la multitude
de ses métiers, le nombre de produits des personnes interrogées se disent
bancaires, la complexité de ses confiantes sur l’exploitation de leurs données
processus internes et l’historique de par les banques selon Etude Next Content
ses systèmes, la banque n’est pas
aussi flexible et s’efforce de suivre, avec C’est un défi majeur pour les banques
plus de difficultés, la cadence imposée. qui possèdent une véritable mine de
données (revenus, emprunts, typologies
1.3. et moyens d’achat, dates d’opération
etc.). Elles bénéficient en plus de la
CES NOUVEAUX USAGES
confiance de leurs clients. Toujours
PERMETTENT AUSSI DE
selon l’étude Next Content, environ
COLLECTER ET D’EXPLOITER 58 % des personnes interrogées se
DES DONNÉES disent confiantes sur l’exploitation de
Comme il est d’usage, les FinTech et leurs données par les banques. Pour les
les GAFAM proposent gratuitement FinTech, la collecte de données est un
de nouveaux services bancaires à enjeu majeur, d’autant que le sentiment
l’ensemble de leurs utilisateurs, déjà de confiance est moins présent.
12 DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRE I VIATYS1.4.
DES USAGES PERMIS GRÂCE À FOCUS
DES PROCÉDÉS DE COLLECTE
QU’EST-CE QUE LE SCREEN
DE DONNÉES (SCREEN
SCRAPING ?
SCRAPING ET API) ET ENCADRÉS
En s’inscrivant à des services
PAR LE RÉGULATEUR tiers (TPP), le client communique
1.4.1. ses informations de connexion à
sa banque : identifiant et mot de
Les données bancaires récupérées passe.
par le procédé de Screen Scraping Les automates des tiers simulent
Pour assurer leurs services, les TPP l’action du client en se connectant
utilisent le procédé de Screen Scraping. à sa place sur le site de la banque.
Les automates récupèrent
Pour bénéficier des services des TPP, les
l’ensemble des données
clients doivent donner leur accord mais
disponibles sur le site et les
surtout leurs identifiants et mots de restituent à l’utilisateur.
passe, enfreignant ainsi, le plus souvent
Il n’y a pas de contrôle de l’acteur
sans le savoir, leur contrat avec leur tiers ni des données récupérées.
banque. Les informations de connexion Un automate est développé par
permettent aux TPP de se connecter aux site : cette solution est donc
sites des banques en se faisant passer sensible aux modifications de
pour les clients, par la simulation des pages Internet.
actions du client. Les données des sites
bancaires sont récupérées pour être
restituées au client ou, possiblement, l’action du client auprès de sa banque,
pour être stockées et analysées. en utilisant son identifiant et son
Le Screen Scraping a notamment mot de passe. Puisque l’action a été
permis ces deux nouveaux usages : réalisée « en son nom », le client reste
L’agrégation de comptes. Elle permet le seul responsable de l’exécution de
aux utilisateurs disposant de plusieurs l’opération.
comptes bancaires de bénéficier d’une Au-delà d’une vision exhaustive et d’une
vision consolidée et interactive de analyse de tous les revenus, de toutes
l’ensemble de leurs comptes tenus
les dépenses, les agrégateurs peuvent
dans différentes banques via une
proposer à leurs clients des services
seule et unique interface, y compris
complémentaires, par exemple :
l’historique des transactions et le solde
de leurs comptes. L’analyse des offres du marché
pour identifier les produits les plus
L’initiation de paiements. Elle offre la
possibilité aux utilisateurs de demander compétitifs et répondant le mieux à
à un intermédiaire de présenter des leurs besoins.
opérations de paiement. Par exemple, Le regroupement d’informations
un virement peut être effectué par administratives pour souscrire de
l’initiateur du paiement en simulant nouveaux produits et/ou services.
VIATYS I DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRE 13Le coffre-fort numérique, la gestion des a conscience. Même si les FinTech ont
factures, la proposition des opérations fait des efforts de sécurisation de leurs
de cashback, le conseil personnel sont systèmes, les utilisateurs restent vulné-
également envisageables en fonction rables en cas de fraudes ou de fuites de
de l’évolution des usages et de la données. Le régulateur a souhaité, par la
capacité d’innovation des acteurs. DSP2 et la RGPD notamment, encadrer
L’initiation de paiement pour optimiser les pratiques et protéger les utilisateurs.
la gestion des comptes de leurs clients
en réalisant les paiements appropriés 1.4.2.
pour éviter de payer des intérêts de dé- L’API comme prérequis à la mise
couvert, pour augmenter leur épargne… en conformité
Si le Screen Scraping est si décrié, Au cœur de la directive DSP2 se trouve
c’est que ce procédé absorbe bien l’obligation pour les banques d’accorder
plus de données que les seules à des tiers un accès sécurisé aux
données nécessaires à l’utilisation informations sur les comptes des clients.
du service et celles dont l’utilisateur L’accès sécurisé se fera à l’aide d’API
Exemples des interactio
interactions entre client, agrégateurs de comptes et banques pour consulter
l’’ensemble
ensembl
ble d
des
es comp
comptes
ptes que le client détient dans différentes banques :
Interactions actuelles Interactions actuelles pour le service Futures interactions pour le service
sans service d’agrégation d’agrégation par le biais du screen d’agrégation par API, grâce à la DSP2
scrapping
SCREEN
SCRAPING
BANQUE 1 BANQUE 1 API BANQUE 1
DONNÉES
ACCESSIBLES
SS
API BANQUE 2
CLIENT BANQUE 2 CLIENT AGRÉGATEUR BANQUE 2 CLIENT AISP
DONNÉES
ACCESSIBLES
API BANQUE 3
BANQUE 3 SCREEN BANQUE 3 DONNÉES
SCRAPING ACCESSIBLES
Le client consulte ses Le client utilise un service d’agrégation Le client utilise un service d’agrégation
comptes sur chacune pour consulter l’ensemble de ses pour consulter l’ensemble de ses
des applications de ses comptes. comptes.
banques L’agrégateur récupère l’ensemble des L’AISP s’identifie auprès des banques
données via screen scrapping. Il n’y a à agréger et ne récupère que les
aucune identification de l’acteur tiers données pour lesquelles il a le droit
auprès des banques agrégées. d’accès (via API).
14 DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRE I VIATYS(Application Programming Interface)
qui est un standard d’échange de données
entre deux applications informatiques.
En France, le standard a été initié par la FOCUS
Fédération Bancaire Française (FBF) et
LE CALENDRIER
défini par la STET, opérateur français de
RÉGLEMENTAIRE ET
plateformes de paiement de détail. L’API
NORMATIF : UNE
et ses spécifications ont été publiées le
MISE EN CONFORMITÉ
18 juillet 2017.
POUR :
7 OCTOBRE 2016
FOCUS
LOI POUR UNE
QU’EST-CE QU’UNE API ? RÉPUBLIQUE NUMÉRIQUE
API, Application Programming … avec des décrets à venir
Interface, est une interface
d’échange de données.
Le flux de données est sécurisé
et contrôlé.
L’API est nécessairement 2018
développée par le fournisseur, 13 JANVIER 2018
pour donner accès à des tiers à ENTRÉE EN
ses données. APPLICATION
Les API sont mises à disposition sur DE LA DSP2
une plateforme d’API management
9 MAI 2018
qui permet la gestion du cycle de NIS
vie de l’API, le contrôle des accès
des applications qui consomment 25 MAI 2018
les API et le suivi leur utilisation. MISE EN
APPLICATION
DE LA RGPD ET
E-PRIVACY
1.4.3.
Le calendrier normatif et
règlementaire
2019
Pour garantir la protection des utilisateurs
2E SEMESTRE 2019
et de leurs données, pour encadrer les
DSP2
nouveaux usages et face à la multiplicité
Entrée en
des risques de sécurité et d’attaques cyber application des
criminelles, le régulateur met en place RTS DSP2
des lois et des directives réglementaires.
Les contraintes impacteront l’ensemble
des acteurs. Dorénavant, les FinTech
et les GAFAM sont même associés aux
discussions sur les futures règlementations.
VIATYS I DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRE 15Formation, recherche et statistiques
Loi pour une République numérique sur les données ;
Plateformes : portabilité des données,
Promulguée le 7 octobre 2016, cette loi
loyauté et déclaration des locations
a pour objectifs principaux de :
courte durée ;
Promouvoir l’innovation dans le
Protection des internautes, avec
développement de l’économie
numérique ; notamment les sanctions CNIL jusqu’à
3 millions d’euros, la protection des
Créer un cadre de confiance clair,
hackers blancs, le droit à la mort
garant des droits des utilisateurs et
numérique ;
protecteur des données personnelles ;
Télécommunications : non-discrimina-
Construire une République numérique
tion pour l’accès au réseau, accélération
ouverte et inclusive, pour que les
du très haut débit et expérimentations ;
opportunités liées à la transition numé-
rique profitent au plus grand nombre. Nouveaux usages : l’identité
numérique, le coffre-fort numérique, le
Cette loi comprend un nombre de recommandé électronique, le statut de
décrets avec des calendriers spécifiques. joueurs de jeux vidéo, le don par SMS ;
Les thèmes légiférés sont :
Accessibilité téléphonique et numérique
Open data, au sein des services publics ; et le maintien de la connexion.
CE QU’IL FAUT RETENIR
Dans l’ensemble de ces décrets promulgués et à venir, il est important de relever pour
les activités bancaires :
Le renforcement de l’obligation d’information. Le client doit savoir que ses
données sont collectées et à quel effet elles sont exploitées.
La mise en place d’un dispositif d’exercice des droits par voie électronique. Pour
faire valoir ses droits de récupération de ses données, l’utilisateur doit pouvoir en
effectuer la demande via le site Internet, et plus uniquement par courrier postal.
L’adaptation des procédures internes, pour l’exercice des droits suites au décès
d’une personne.
Le non-respect de ces dispositions engendre une sanction avec un plafond de 3 millions
d’euros.
16 DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRE I VIATYSadopté en avril 2016 qui s’appliquera
Directive Network and Information dès mai 2018.
Security (NIS)
Il constitue le droit fondamental et
L’Union européenne (UE) a adopté inaliénable, pour chaque citoyen, de
le 6 juillet 2016 la directive NIS sur la protéger sa vie privée et ses données
sécurité des réseaux et des systèmes personnelles. La RGPD impacte toute
d’information. La directive prévoit : entreprise qui collecte, traite et
Le renforcement des capacités stocke des données personnelles
nationales de cyber-sécurité. Les dont l’utilisation peut directement ou
états membres devront se doter indirectement identifier une personne.
d’autorités nationales compétentes en
matière de cyber-sécurité, d’équipes
nationales de réponse aux incidents
informatiques et de stratégies La directive E-Privacy
nationales de cyber-sécurité. La directive E-Privacy est mise à jour pour
L’établissement d’un cadre de se conformer à la RGPD. Elle est prévue
coopération volontaire entre Etats pour le 25 mai 2018 et encadrera :
membres de l’UE, pour faciliter le Les cookies. L’internaute donnera
partage d’informations techniques sur expressément son consentement
les risques et les vulnérabilités. pour le dépôt de cookies, à l’exception
Le renforcement par l’état de la des cookies pour les communications
cyber-sécurité des opérateurs de électroniques (Internet Explorer,
services essentiels au fonctionnement Chrome, etc.), pour les services
de l’économie et de la société. Ils auxquels il a souscrit ou pour ceux
devront se conformer aux règles mesurant l’audience. L’utilisateur
établies par l’état et seront obligés devra pouvoir gérer tous les autres
de notifier les incidents ayant un cookies dans un système centralisé.
impact sur la continuité de leurs Le droit de retrait de l’utilisateur lui
services essentiels. sera rappelé tous les six mois.
L’instauration de règles européennes Les métadonnées. Pour la circulation
communes pour les prestataires de des données, elles peuvent être traitées
services numériques (Cloud, moteurs de sans le consentement de l’utilisateur.
recherche, places de marché en ligne). Les contenus devront être supprimés
ou anonymisés après réception par
Les états membres ont jusqu’au 9 mai
leurs destinataires. Les métadonnées
2018 pour transposer la directive dans
devront également être supprimées
leur droit national. Ils devront y inclure
ou anonymisées dès qu’elles ne seront
les sanctions.
plus nécessaires pour la transmission
de la communication.
Les Over The Top. Les OTT, tels
General Data Protection Regulation que Skype, WhatsApp, Facebook
(RGPD) Messenger, Viber, seront désormais
La RGPD est un règlement européen, concernés.
VIATYS I DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRE 17CE QU’IL FAUT RETENIR
LES PRINCIPES CLÉS DE LA GRPR SONT :
Précision : les données personnelles doivent être précises et mises à jour et
toutes les étapes raisonnables doivent être prises pour assurer la rectification ou
l’effacement de données inexactes sans délai.
Limitation de stockage : les données personnelles ne peuvent pas être conservées
plus longtemps que nécessaire aux fins pour lesquelles elles sont traitées.
Intégrité et confidentialité : une protection adéquate (technique et
organisationnelle) avec une sécurité et une protection appropriées contre tout
traitement, perte, dommage ou destruction non autorisés. C’est un composant de
sécurité de l’information de la vie privée.
Responsabilité : le contrôleur est responsable et doit démontrer sa conformité aux
principes ci-dessus relatifs au traitement des données personnelles.
LES OBLIGATIONS DE LA RGPD :
Consentement : lors de l’obtention du consentement pour l’utilisation des données,
les entreprises ne peuvent pas utiliser des termes et conditions incompréhensibles
remplis de jargon juridique. Il doit être aussi facile de retirer son consentement que
de le donner.
Notification de recherche : en cas de violation de données, les processeurs de données
doivent informer leurs contrôleurs et clients de tout risque dans les 72 heures.
Droit d’accès : les titulaires de données ont le droit d’obtenir la confirmation du
contrôleur de données pour savoir si leurs données personnelles sont en cours de
traitement. Le contrôleur de données doit fournir gratuitement une copie électronique
de données personnelles aux personnes concernées.
Droit à l’oubli : lorsque les données ne sont plus pertinentes par rapport à leur
but initial, les personnes concernées peuvent demander au contrôleur de données
d’effacer leurs données personnelles et de cesser sa diffusion.
Portabilité des données : elle permet aux individus d’obtenir et de réutiliser leurs
données personnelles pour leurs propres besoins en les transférant dans différents
environnements informatiques.
Confidentialité par conception : elle demande l’inclusion de la protection des
données dès la conception des systèmes et la mise en œuvre de mesures techniques
et d’infrastructures appropriées.
Responsable de la protection des données : les agents qualifiés doivent être
nommés dans les autorités publiques ou les organisations (> 250 employés) surveillant
ou traitant des données personnelles sensibles.
La RGPD comporte donc l’obligation de répondre à un client qui effectue une demande
d’information, de réclamation, voire de rectification de ses données personnelles
(suppression, modification).
Le non-respect de cette réglementation peut entrainer des amendes de 20 millions
d’euros par violation ou 4 % du chiffre d’affaires annuel mondial de l’exercice précédent
(le montant le plus important étant retenu).
18 DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRE I VIATYSLes sanctions applicables seront Dans ce contexte, les FinTech ont
similaires à celles de la RGPD. un avantage de taille : leur système
Cette règlementation offre l’opportunité d’information est jeune et repose
d’exploiter de façon plus libre et étendue souvent sur des architectures Cloud
les données personnelles une fois le bien moins contraignantes à maintenir,
consentement de l’utilisateur obtenu. à auditer et à faire évoluer que les
anciens systèmes des banques. Elles
DSP2 pourront s’adapter aux nouveaux
standards d’échange de données (API).
Le détail de la Directive de Services
Les banques, quant à elles, disposent
de Paiement n°2 (DSP2) et des RTS
(Regulatory Technical Standards) de réelles expertises dans la mise en
permettant la mise en application de la conformité et, bien que cela ne se voit
DSP2 sont présentés dans le chapitre pas toujours, en matière de sécurité
suivant. informatique.
FOCUS
DES EXEMPLES DE FAILLES DE SÉCURITÉ :
Avec la directive NIS et la RGPD, si elle avait été exploitée par des
il devient donc obligatoire pour personnes mal intentionnées.
l’entreprise de notifier des attaques
Plus récemment la société de
sur ses failles de sécurité qu’elle
partage de voiture Ouicar a été
aurait subie, et ce dans les 72 heures.
averti publiquement par la CNIL pour
C’est un changement important
puisqu’auparavant les entreprises une faille de sécurité élémentaire.
cherchaient à ne pas communiquer Une simple requête sur leurs API
sur les failles de sécurité en raison de permettait d’accéder à la liste des
leur image. données véhicules. Il était alors
En décembre 2016, un chercheur en possible d’accéder aux données
sécurité a découvert une faille de personnelles des utilisateurs à l’aide
sécurité concernant la néobanque d’une URL et de leurs identifiants
allemande N26. Cette brèche aurait (nom, prénom, adresse, téléphone,
pu coûter cher aux clients et à N26 numéro de permis de conduire, etc.).
VIATYS I DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRE 1920
2. DE LA DSP2 …
L’industrie des paiements est en pleine « Regulatory Technical Standards », RTS,
mutation. Autrefois réservée aux seules l’esprit de la directive DSP2 est ancré
banques, elle s’est ouverte aux nou- chez les acteurs.
veaux acteurs que sont les prestataires
de services de paiement (PSP).
L’Europe aspire à créer un véritable
2.1.
QU’EST-CE QUE LA DSP2 ?
marché des paiements et la DSP2
constitue la suite logique des précédentes La DSP2 poursuit plusieurs objectifs :
réglementations sur l’adoption de la mon- Favoriser la concurrence et l’inno-
naie unique, sur la création du SEPA et vation avec l’émergence de services
l’harmonisation des moyens de paiement. innovants d’agrégation de comptes et
Si les premières réglementations por- d’initiation de paiement ;
taient spécifiquement sur la monnaie Faciliter et développer l’utilisation
fiduciaire et la création de l’euro, la des services de paiement en ligne
DSP1 sur les systèmes de paiement tels sur Internet ;
que les virements, les prélèvements et
Améliorer la protection des
les paiements par carte, c’est donc fort
utilisateurs et consommateurs
logiquement que la DSP2 s’attaque aux
contre la fraude, les incidents de
services de paiement en ligne et aux
paiement et les paiements abusifs ;
prestations associées à l’environnement
bancaire, de plus en plus digital. Renforcer les droits des consom-
mateurs ;
A l’heure où nous écrivons, les discus-
sions sont toujours en cours entre les Encourager une baisse des prix sur
banques et les FinTech. Elles s’opposent les services de paiement ;
sur certains points, essentiellement la Etendre le rôle de l’European Banking
possibilité de poursuivre la pratique du Authority, EBA, pour coordonner les
Screen Scraping et ses conséquences. Si autorités de surveillance et dessiner
l’application du texte reste à acter, via les les standards techniques de demain.
VIATYS I DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRE 21CE QU’IL FAUT RETENIR
PAR LA DSP2, LA COMMISSION EUROPÉENNE ENTEND :
Offrir un cadre législatif aux nouveaux usages d’agrégation de comptes et
d’initiation de paiement ;
Donner une reconnaissance juridique aux nouveaux acteurs intermédiaires sur
la mise à disposition d’informations bancaires et sur le marché des paiements ;
Garantir un fort niveau de sécurité indispensable pour ces services :
- Sécurité des utilisateurs via la généralisation de l’authentification forte ;
- Sécurité des échanges de données entre les acteurs par la mise en place de
normes de communication ouverte, communes et sécurisées (API).
Adoptée définitivement par le parlement techniques permettant l’application de la
européen le 25 novembre 2015, elle doit directive. Ils ont été publiés en février 2017
être transposée dans leur législation par par l’EBA, et doivent être validés par la
les états membres avant le 13 janvier Commission Européenne avant fin 2017.
2018. En France, cette transposition est L’application des RTS au niveau national
réalisée par le Trésor. Celle-ci pourrait interviendra 18 mois après la validation
prévoir une extension du cadre prévu par de la Commission Européenne, soit, selon
l’UE à un périmètre de comptes plus im- les estimations, entre Juin et Septembre
portants, par exemple une extension des 2019.
comptes courants aux comptes épargne.
Adossés à la DSP2, les Regulatory Technical 2.2.
Standards, RTS, sont les standards QUEL CALENDRIER ?
DSP2 : calendrier
Draft RTS Transposition RTS adoptés Opinion de l’EBA Entrée en Transposition de Date butoir de
rédigé par de la DSP2 dans par la CE sur la période application la DSP2 dans le mise en œuvre
l’EBA le droit français transitoire de la DSP2 droit français des RTS
23 FÉVRIER 9 AOÛT 27 NOVEMBRE 19 DÉCEMBRE 13 JANVIER 5 FÉVRIER 2e SEMESTRE
2017 2017 2017 2017 2018 2018 2019
23 février 2017 : le draft des RTS, finale des RTS est adoptée par la 5 février 2018 : les premiers
rédigé par l’EBA, est proposé à la Commission Européenne amendements sur la période
Commission Européenne dans transitoire entre DSP1 et DSP2
19 décembre 2017 : l’EBA édite
sa version finale sont soumis à l’Assemblé
une opinion relative à la période
Nationale et au Sénat en France
9 août 2017 : la directive DSP2 transitoire entre la DSP1 et la
2e semestre 2019 : date butoir
est transposée dans le droit DSP2
pour les pays européens pour
français 13 janvier 2018 : la DSP2 entre en l’entrée en application des RTS
27 novembre 2017 : la version application au niveau européen de la DSP2
Règlementation française Règlementation européenne Ce calendrier a été réalisé fin février 2018.
22 DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRE I VIATYS2.3. garanti un accès équitable et ouvert au
marché des paiements, puis a renforcé
DES ACTEURS ET DES RÔLES la protection des utilisateurs. Elle a
RECONNUS PAR LA DSP2 également encouragé la concurrence
La DSP2 redéfinit les rôles de l’ensemble en permettant à des institutions non
des acteurs bancaires et offre aux financières d’entrer sur le marché des
nouveaux acteurs des possibilités paiements. Elle a défini le statut de
d’accès à des comptes dont ils ne sont Prestataire de Service de Paiement (PSP)
pas gestionnaires. en tant qu’établissements de crédit ou
établissements de paiement. Avec la
Par la DSP2, l’UE reconnaît deux
DSP2, ce statut devient le Prestataire
nouveaux acteurs : les agrégateurs
de comptes (AISP) et les initiateurs de Services de Paiement Emetteur
de paiement (PISP). Ces derniers d’Instruments de Paiement (PIISP).
seront soumis au contrôle de l’ACPR, Les Prestataires de Service de
responsable de la fourniture de ces deux Paiement Gestionnaire de Comptes
nouveaux agréments.
(ASPSP) sont les banques traditionnelles
La directive européenne sur les services qui détiennent les comptes et les fonds
de paiement (DSP1), adoptée en 2007, a de leurs clients.
Des acteurs et des rôles reconnus par la DSP2
PSU TPP ASPSP
CLIENT GAFAM
FINTECH BANQUE
Par défaut, les banques disposeront de l’ensemble des agréments ci-dessous. Les
TPP devront en faire la demande auprès de l’ACPR. Lorsqu’un TPP se connectera
à un ASPSP, l’ASPSP vérifiera que le TPP dispose bien de l’agrément (eIDAS)
AISP PISP PIISP
Account Information Service Payment Initiation Service Payment Instrument Issuer Service
Provider Provider Provider
AGRÉGATION DE COMPTES INITIATION DE PAIEMENTS FOURNISSEUR DE CARTES
DE PAIEMENT
Un client souhaite avoir sur un seul Un client, depuis un site marchand,
et même outil une vision de ses souhaite payer en effectuant un Un client veut payer avec une
comptes issus d’une ou plusieurs virement. carte de paiement. L’établissement
banques. fournisseur de cartes de paiement
pourra interroger la banque pour
savoir si le client possède suffisam-
ment de fonds sur son compte.
VIATYS I DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRE 23ACTEURS TRADITIONNELS
UTILISATEUR D’UN SERVICE DE PAIEMENT
(PAYMENT SERVICE USER – PSU)
PSU Un utilisateur est un client, particulier ou professionnel, qui
possède un ou plusieurs comptes bancaires, et / ou utilise
Particulier Professionnel
un service de paiement.
PRESTATAIRES DE SERVICE DE PAIEMENT
GESTIONNAIRE DE COMPTE (ACCOUNT SERVICING
PAYMENT SERVICE PROVIDER - ASPSP)
ASPSP
Les prestataires de services de paiement gestionnaires de
comptes sont les établissements bancaires ou de crédit qui
détiennent les comptes et les fonds de leurs clients, tels que
les banques traditionnelles.
NOUVEAUX ACTEURS RÉGULÉS PAR LA DSP2
PRESTATAIRES DE SERVICES D’INFORMATION SUR
LES COMPTES (ACCOUNT INFORMATION SERVICE
AISP
PROVIDER - AISP)
Les prestataires fournissant un service de consolidation
des informations d’un ou plusieurs comptes détenus par un
client auprès d’un ou plusieurs ASPSP.
PRESTATAIRES DE SERVICES D’INITIATION DE
PAIEMENTS (PAYMENT INITIATION SERVICE PRO-
PISP
VIDER - PISP)
Les prestataires proposant un service qui consiste à initier
un ordre de paiement à la demande d’un client payeur à
partir d’un compte bancaire détenu chez un ASPSP.
ACTEURS EXISTANTS AVEC PÉRIMÈTRE ÉLARGI PAR LA DSP2
PRESTATAIRES DE SERVICES DE PAIEMENT EMETTEUR
D’INSTRUMENTS DE PAIEMENT (PAYMENT
PIISP
INSTRUMENT ISSUERS SERVICE PROVIDER - PIISP)
Le rôle d’émetteur d’instruments de paiement, qui avait été
préalablement règlementé comme Prestataire de Service
de Paiement (PSP) dans le cadre de la DSP1, voit son
périmètre modifié par la DSP2. Avec la DSP2, ces acteurs
deviennent des PIISP et auront la possibilité d’aller interroger
directement l’établissement gestionnaire de compte (ASPSP)
afin d’obtenir une confirmation de disponibilité des fonds.
24 DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRE I VIATYSA l’évidence, l’innovation majeure
proposée par la DSP2 est la 2.4.
reconnaissance d’intermédiaires qui DES RÈGLES COMMUNES DE
se positionnent entre les clients et les SÉCURITÉ INCLUSES DANS LA
banques traditionnelles, gestionnaires DSP2
de leurs comptes. Les apports de la DSP2 sont également
Les intermédiaires, AISP et PISP, importants pour la sécurité des
bénéficient de conditions d’exercice opérations réalisées par les consom-
allégées et d’exigences assouplies par mateurs. Par les RTS, la Commission
rapport aux établissements gestionnaires Européenne spécifie les exigences en
de comptes (ASPSP). En plus de termes d’authentification forte lors
l’obtention d’agréments, ces nouveaux de l’accès du client sur son compte de
prestataires devront aussi être couverts paiement, lors de l’initialisation d’une
par une assurance responsabilité civile opération de paiement ou lors de
professionnelle sur les territoires où ils l’exécution d’une action de paiement à
fournissent leurs services. distance susceptible d’être frauduleuse.
Evolution paiements
Paiement CB ou par virement : Initiation de paiements : Paiement avec les PIISP dans le
interactions actuelles interactions actuelles avec Screen cadre de la DSP2
Scraping et DSP2 avec API
RÉSEAU RÉSEAU
MONÉTIQUE MONÉTIQUE
PAIEMENT CB PAIEMENT CB
OU OU
VIREMENT VIREMENT VIREMENT
BANQUE BANQUE DU BANQUE BANQUE DU BANQUE BANQUE DU
DU CLIENT BÉNÉFICIAIRE DU CLIENT BÉNÉFICIAIRE DU CLIENT BÉNÉFICIAIRE
INITIATEUR DE
PAIEMENTS PIISP
avec interrogation
directedes fonds
disponibles
CLIENT BÉNÉFICIAIRE CLIENT BÉNÉFICIAIRE CLIENT BÉNÉFICIAIRE
VIATYS I DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRE 25Les RTS spécifient aussi les exemptions
à l’authentification forte prenant en
compte le niveau de risque de l’opération,
FOCUS
le montant ou la récurrence, etc.
QU’EST-CE QU’UNE Quelques exemples d’opérations
AUTHENTIFICATION risquées nécessitant le recours à
FORTE ? l’authentification forte :
C’est la combinaison de 2 Pour l’inscription au service d’un AISP
facteurs d’authentification, ou PISP ;
parmi les 3 suivants : Pour la consultation d’informations
sans communication de données
confidentielles de paiement : lors de la
CE QUE J’AI première connexion puis a minima
tous les 90 jours si la banque dispose
d’un outil de lutte contre la fraude en
temps réel;
Pour l’ajout d’un bénéficiaire dans
Téléphone, calculatrice la liste blanche, sans nécessairement
token effectuer un virement ;
Pour un virement si le bénéficiaire
CE QUE JE SAIS n’est pas inclus dans la liste
préétablie des bénéficiaires ;
Pour un paiement sans contact d’un
montant supérieur à 50 € ou pour
une somme cumulée de 150 € de
Code, mot de passe, paiement sans contact ou pour plus de
date de naissance
5 paiements sans contact consécutifs ;
Pour des transactions successives
CE QUE JE SUIS d’un même montant avec le même
bénéficiaire pour la première fois
(paiement récurrent) ;
Pour un paiement électronique
supérieur à 30 € ou pour une somme
Retine, empreinte, cumulée de 100 € de paiement
voix …
électronique ou pour plus de 5
paiements électroniques consécutifs ;
Un nouveau facteur voit jour : Pour l’exécution d’une action
« ce que je fais » ou « behavior susceptible de comporter un risque
analytics » qui analyse par de fraude en matière de paiement
exemples l’utilisation de la ou pour toute autre transaction
souris, la fréquence à laquelle potentiellement frauduleuse.
l’utilisateur tape sur le clavier.
Les RTS en version finale précisent que
les banques devront impérativement
26 DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRE I VIATYSVous pouvez aussi lire
