DE LA DSP2 À L'OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRE SEPTEMBRE 2017 - Initio
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
REVUE BANQUE SEPTEMBRE 2017 DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRE
REVUE BANQUE SEPTEMBRE 2017 DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRE
REVUE BANQUE
EN RÉSUMÉ
L
es changements technologiques et culturels
ont modifié la manière de « consommer »
le service bancaire traditionnel. Les clients
recherchent dorénavant la facilité de l’usage et
considèrent le parcours d’achat comme un produit
à part entière.
Ces comportements impactent profondément le
marché des services financiers qui se transforme
avec l’arrivée de nouveaux entrants comme les
FinTech et les GAFA. Ils perçoivent la donnée comme
la source principale de revenus contrairement aux
acteurs bancaires traditionnels qui restent sur des
services payants.
Qui plus est, l’évolution de la réglementation, avec
l’arrivée de la DSP2, oblige les banques à mettre
à disposition leurs données auprès de tous les
nouveaux opérateurs, accélérant la remise en
question de leur modèle.
Dans ce contexte, quelle stratégie d’ouverture
les banques doivent-elles adopter, pour quel
modèle de rémunération : développement des
API internes, renforcement des partenariats ou
mutation en « BaaS : Bank as a Service » et face à
une désintermédiation latente, comment conserver
une relation client forte ?
Ce livret vous apporte une vision détaillée de ces
sujets et les pistes sur les actions à mener.
5REVUE BANQUE
LEXIQUE DES ABREVIATIONS
Acteurs Réglementations et normes
GAFA : Google, Apple, Facebook, Amazon GDPR : General Data Protection Regulation
FinTech : start-up financière DSP2 : Directive de Services de
OTT : Over The Top Paiement n°2
EBA : European Banking Authority, RTS : Regulatory Technical Standards
Autorité bancaire européenne SWIFT : Society for Worldwide Interbank
FBF : Fédération Bancaire Française Financial Telecommunication
CNIL : Commission Nationale de CSP : Customer Security Program
l’Informatique et des Libertés NIS : Network and Information Security
UE : Union Européenne
Autres abréviations
Rôles BAAS : Bank As A Service
PSU : Payment Service User, Utilisateur API : Application Programming Interface
de Service de Paiement MVP : Minimum Viable Product
ASPSP : Account Servicing Payment POC : Proof Of Concept
Service Provider, Prestataire
de Service de Paiement B2B : Business to business
Gestionnaire de Compte B2C : Business to customer
TPP : Third Party Provider, Prestataire
Tiers
PSP : Payment Service Providers,
Prestataires de Services de
Paiement
AISP : Account Information Service
Provider, Prestataire de Service
de Paiement d’Information de
Compte
PISP : Payment Initiation Service
Provider, Prestataire de Service
d’Initiation de Paiement
PIISP : Payment Instrument Issuer
Service Provider, Prestataire de
Services de Paiement Emetteur
d’Instruments de Paiement
6 DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIREREVUE BANQUE
SOMMAIRE
1. Le contexte.................................................................................................................................................................................... 9
1.1. Des clients de plus en plus mobiles ....................................................................................................................... 9
1.2. GAFA et FinTech s’intermédient entre le client et sa banque ............................................................. 9
1.3. Ces nouveaux usages permettent aussi de collecter et d’exploiter des données .......... 11
1.4. Des usages permis grace à des procédés de collecte de données
(screen scraping et api) et en passe d’être encadrés par le régulateur................................... 12
2. De la dsp2 ................................................................................................................................................................................... 19
2.1. Qu’est-ce que la dsp2 ? .................................................................................................................................................. 19
2.2. Des acteurs et des rôles reconnus par la DSP 2......................................................................................... 21
2.3. Des règles communes de sécurité prévues dans la DSP 2 ................................................................ 23
2.4. Les impacts de la DSP 2 pour… .............................................................................................................................. 25
3. … À l’open banking : vers de nouveaux modèles bancaires ................................................ 30
3.1. Qu’est-ce que l’open banking ? ................................................................................................................................ 30
3.2. Modèle 1 : se conformer à la réglementation DSP 2 et en profiter pour
développer des API internes à la banque. ...................................................................................................... 32
3.3. Modèle 2 : modèle 1 + partenariats et / ou investissement ............................................................. 33
3.4. Modèle 3 : modèle 2 + développement de l’open banking jusqu’au modèle
bank as a service ................................................................................................................................................................ 36
3.5. Quel modèle de rémunération ? ............................................................................................................................ 38
3.6. Les points d’attention pour transformer une banque qui souhaite
s’inscrire dans l’open banking .................................................................................................................................. 40
4. Pour quelle relation client ? .................................................................................................................................... 42
4.1. Les API et le big data au service de l’intelligence artificielle ............................................................. 42
4.2. La nécessaire transformation des banques pour revoir l’expérience client........................ 43
4.3. Le client de demain, digital native, souhaite lui aussi parler à autre chose
qu’un robot et veut qu’on l’accompagne avec une relation humaine ...................................... 44
4.4. La banque reste un partenaire de confiance privilégié........................................................................ 47
4.5. Confiance, fiabilité, sécurité : des challenges aussi pour les Fintech,
modèles des parcours client sans couture .................................................................................................... 48
5. Comment square peut accompagner ses clients ? ........................................................................ 50
SQUARE I SEPTEMBRE 2017 78
REVUE BANQUE
1. CONTEXTE
1.1. utilisateurs. Pour aller plus loin, le
marketing omnicanal permet d’acheter
DES CLIENTS DE PLUS EN ou de souscrire à des offres en changeant
PLUS MOBILES de support de communication (smart-
Depuis le lancement du premier phone, tablette, web, service client,
smartphone IPhone par Apple en agence) durant le processus d’achat. Il
2007, les usages ont drastiquement devient possible de poursuivre sur un
changé au travers d’une centralisation autre support, tablette ou web, une
de technologies et de services sur des action entamée sur mobile par exemple.
appareils mobiles (accès à internet, Les informations des clients doivent alors
e-mail, applications pour tous types être centralisées pour être réutilisées et
d’usages, reconnaissance biométrique). communiquées à tous les départements.
La génération Y, qui focalise beaucoup
l’attention, est symptomatique de ces
évolutions, puisqu’elle est la prochaine
grande génération par nombre de
1.2.
GAFA ET FINTECH
personnes : en France 15,4 millions
S’INTERMÉDIENT ENTRE LE
d’individus sont nés entre 1980 et 2000.
Les usages ont changé et s’adaptent à
CLIENT ET SA BANQUE
cette nouvelle génération considérée
comme « Digital Native », première 1.2.1.
génération du numérique. Fortes de leurs usages devenus la
Pour s’adapter à cette mobilité, ces norme pour les clients mobiles,
dernières années, les applications les GAFA proposent aussi des
ont même été repensées pour passer services bancaires
d’un mode multicanal à un mode Les grands gagnants de ces changements
omnicanal. Le marketing multicanal de mode de consommation sont
implique une cohérence dans toutes évidemment les GAFA : Google, Apple,
les communications à destination des Facebook, Amazon. Inconnus il y a 20 ans,
SQUARE I SEPTEMBRE 2017 9ce sont aujourd’hui des entreprises d’achat et d’utilisation des comptes
incontournables trustant les premières bancaires.
REVUE BANQUE
places de la capitalisation boursière. Elles savent aussi tirer le meilleur parti
En bâtissant leurs empires sur le digital, des données, en les exploitant, pour
les GAFA comptent maintenant des proposer des services innovants à forte
centaines de millions d’utilisateurs. valeur ajoutée et qui correspondent
Les GAFA définissent des usages qui aux nouveaux besoins et usages des
deviennent la norme : de la tablette utilisateurs.
d’Apple aux assistants personnels
digitaux (Apple avec Siri, Google avec
Google Home, Amazon avec Alexa et 1.2.3.
Facebook avec M). Ces géants du web GAFA et FinTech s’intermédient
ouvrent désormais leur horizon et dans la relation du client avec sa
explorent d’autres secteurs d’activité tels banque
que l’automobile, la culture et même le
Les services bancaires subissent
secteur bancaire (Google Wallet, Apple
une disruption : adoption rapide d’un
Pay, paiements dans Facebook Messenger,
nouvel usage face à un usage historique.
Amazon Pay, WhatsApp Payment).
En effet, les GAFA et FinTech déploient
aux services bancaires leurs principes :
1.2.2. gratuité, design, qualité d’usage, valeur
ajoutée des produits et, pour les GAFA,
Les FinTech apportent de
confiance des utilisateurs, facilitant
nouveaux usages
l’adoption rapide de ces derniers.
Depuis 2008 de nouveaux acteurs, en
L’un des exemples les plus concrets
plus des GAFA, s’intéressent au monde
concerne le paiement. L’utilisateur
de la banque : les start-up financières,
qui a renseigné sa carte bleue ou son
appelées FinTech. Celles-ci sont déjà
RIB, a accès à de nouveaux services.
12 000 dans le monde et représentent
Grâce à Apple Pay, Google Wallet et la
en 2015 19 milliards de dollars
fonctionnalité de Facebook Messenger,
d’investissements.
l’utilisateur peut facilement virer de
Si aujourd’hui elles sont considérées l’argent à de ses contacts à partir du
comme un danger pour les banques c’est numéro de téléphone ou de l’adresse
parce que ces entreprises révolutionnent e-mail du contact. Pour le même usage,
le monde bancaire, notamment pour l’utilisateur a aussi le choix d’accéder
les particuliers, avec des usages plus aux services de FinTech telles que Slim
adaptés aux changements culturels Pay (croissance de 4 068% en 4 ans)
en cours. ou Leetchi (rachetée 50 Millions par le
A n’en pas douter, pour beaucoup de Crédit Mutuel Arkéa). Désormais, il n’est
FinTech, la véritable innovation ne plus nécessaire de retirer de l’argent
provient pas que de la technologie liquide ou encore renseigner un compte
mais des usages en réinventant l’acte bénéficiaire sur son site bancaire, puis
de s’informer, de payer, de souscrire, et d’attendre un délai de sécurité pour
en s’adaptant à des nouveaux contextes pouvoir effectuer le virement.
10 DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRETous ces services sont gratuits, comportement des clients et de leurs
rapides, faciles à utiliser et basés sur besoins. Cet éloignement peut réduire
REVUE BANQUE
des informations que le client a fourni la capacité de la banque à proposer aux
volontairement aux « Third Party clients des produits et services adaptés
Provider », TPP. Pour la banque, ces à leurs besoins. La perte de la relation
services représentent un intermédiaire client représente une menace majeure
qui vient se positionner entre elle et ses pour les banques. Elles ont peur de
clients. devenir de simples fournisseurs de
La réduction des interactions avec les services de back office bancaire : tenue
clients et l’utilisation des applications de compte, exécution de paiements,
bancaires signifient de facto, pour la mise à disposition de liquidités, sans
banque, une perte d’informations du interaction directe possible avec le client.
La désintermédiation des banques
GAFA
FINTECH
CLIENT BANQUE
1.2.4. 1.3.
… et la banque peine à suivre le CES NOUVEAUX USAGES
rythme PERMETTENT AUSSI DE
Rompus aux méthodologies Agile, GAFA COLLECTER ET D’EXPLOITER
et FinTech lancent rapidement des DES DONNÉES
services novateurs, qui sont ensuite Comme il est d’usage, les FinTech et
améliorés en fonction des retours les GAFA proposent gratuitement
clients. Les banques s’inspirent des de nouveaux services bancaires à
nouvelles méthodologies projets (Agile, l’ensemble de leurs utilisateurs, déjà très
Lean) et lancent même leurs laboratoires nombreux pour les GAFA. Par l’utilisation
internes pour incuber des projets des nouveaux services, ces nouveaux
innovants (Labs). Mais, par la multitude intermédiaires bancaires collectent
de ses métiers, le nombre de produits les données bancaires.
bancaires, la complexité de ses Pour remettre les données en pers-
processus internes et l’historique pective, rappelons que chaque jour, il
de ses systèmes, la banque n’est pas est produit autant d’informations que
aussi flexible et s’efforce de suivre, avec l’humanité n’en a produites jusque-là
plus de difficultés, la cadence imposée. fin du 20e siècle.
SQUARE I SEPTEMBRE 2017 11C’est désormais la course à la donnée : FinTech, la collecte de données est un
sa collecte, son stockage structuré, enjeu majeur, d’autant que le sentiment
REVUE BANQUE
son exploitation et sa valorisation via de confiance est moins présent.
de nouveaux services. Nombreuses
sont les entreprises qui revoient leurs
infrastructures afin d’accueillir ce
1.4.
changement de paradigme : Big Data et
DES USAGES PERMIS GRÂCE À
capacités analytiques. DES PROCÉDÉS DE COLLECTE
Les entreprises exploitent les données DE DONNÉES (SCREEN
pour comprendre et anticiper les SCRAPING ET API) ET EN
besoins des consommateurs. Il devient PASSE D’ÊTRE ENCADRÉS
possible de valoriser les données en PAR LE RÉGULATEUR
proposant de nouveaux services B2B/
B2C, qui eux seront rémunérés. 1.4.1.
C’est un défi majeur pour les banques Les données bancaires récupérées
qui possèdent une véritable mine de par le procédé de Screen Scraping
données (revenus, emprunts, typologies Pour assurer leurs services, les TPP
et moyens d’achat, dates d’opération utilisent le procédé de Screen Scraping.
etc). Elles bénéficient en plus de la
Pour bénéficier des services des TPP, les
confiance de leurs clients. Pour les
clients doivent donner leur accord mais
surtout leurs identifiants et mots de
passe, enfreignant ainsi, le plus souvent
FOCUS sans le savoir, leur contrat avec leur
QU’EST-CE QUE LE SCREEN banque. Les informations de connexion
SCRAPING ? permettent aux TPP de se connecter au
site des banques, en se faisant passer
En s’inscrivant à des services
pour les clients, par la simulation des
tiers (TPP), le client communique
ses informations de connexion à actions du client. Les données des sites
sa banque : identifiant et mot de bancaires sont récupérées pour être
passe. restituées au client ou, possiblement,
Les automates des tiers simulent pour être stockées et analysées.
l’action du client en se connectant Le Screen Scraping a notamment
à sa place sur le site de la banque. permis ces deux nouveaux usages :
Les automates récupèrent
L’agrégation de comptes. Elle
l’ensemble des données
permet aux utilisateurs disposant
disponibles sur le site et les
restituent à l’utilisateur. de plusieurs comptes bancaires de
Il n’y a pas de contrôle de l’acteur bénéficier d’une vision consolidée
tiers ni des données récupérées. et interactive de l’ensemble de leurs
Un automate est développé par comptes tenus dans différentes
site : cette solution est donc banques via une seule et unique
sensible aux modifications de interface, y compris l’historique des
pages Internet. transactions et le solde de leurs
comptes.
12 DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIREL’initiation de paiements. Elle systèmes, les utilisateurs restent vulné-
offre la possibilité aux utilisateurs rables en cas de fraudes ou de fuites de
REVUE BANQUE
de demander à un intermédiaire de données. Le régulateur a souhaité, par la
présenter des opérations de paiement. DSP2 et la GDPR notamment, encadrer
Par exemple, un virement peut être les pratiques et protéger les utilisateurs.
effectué par l’initiateur du paiement en
simulant l’action du client auprès de sa 1.4.2.
banque, en utilisant son identifiant et L’API comme prérequis à la mise
son mot de passe. Puisque l’action a en conformité
été réalisée « en son nom », le client
Au cœur de la directive DSP2 se trouve
reste le seul responsable de l’exécution l’obligation pour les banques d’accorder
de l’opération. à des tiers un accès sécurisé aux
Au-delà d’une vision exhaustive et d’une informations sur les comptes des clients.
analyse de tous les revenus, de toutes L’accès sécurisé se fera à l’aide d’API
les dépenses, les agrégateurs peuvent (Application Programming Interface)
proposer à leurs clients des services qui est un standard d’échange de données
complémentaires, par exemple : entre deux applications informatiques.
L’analyse des offres du marché En France, le standard a été initié par la
pour identifier les produits les plus Fédération Bancaire Française (FBF) et
compétitifs et répondant le mieux à défini par la STET, opérateur français de
leurs besoins. plateformes de paiement de détail. L’API
et ses spécifications ont été publiées le
Le regroupement d’informations
18 juillet 2017.
administratives pour souscrire de
nouveaux produits et/ou services.
Le coffre-fort numérique, la gestion des
FOCUS
factures, la proposition des opérations
de cashback, le conseil personnel sont QU’EST-CE QU’UNE API ?
également envisageables en fonction API, Application Programming
de l’évolution des usages et de la Interface, est une interface
capacité d’innovation des acteurs. d’échange de données.
L’initiation de paiement pour optimiser Le flux de données est sécurisé
la gestion des comptes de leurs clients et contrôlé.
en réalisant les paiements appropriés L’API est nécessairement
développée par le fournisseur,
pour éviter de payer des intérêts de dé-
pour donner accès à des tiers à
couvert, pour augmenter leur épargne…
ses données.
Si le Screen Scraping est si décrié, Les API sont mises à disposition sur
c’est que ce procédé absorbe bien une plateforme d’API management
plus de données que les seules qui permet la gestion du cycle de
données nécessaires à l’utilisation vie de l’API, le contrôle des accès
des applications qui consomment
du service et celles dont l’utilisateur
les API et le suivi leur utilisation.
a conscience. Même si les FinTech ont
fait des efforts de sécurisation de leurs
SQUARE I SEPTEMBRE 2017 13Exemples des interactions entre client, agrégateurs de comptes et banques pour consulter
REVUE BANQUE
l’ensemble des comptes que le client détient dans différentes banques :
Interactions actuelles Interactions actuelles pour le service Futures interactions pour le service
sans service d’agrégation d’agrégation par le biais du screen d’agrégation par API, grâce à la DSP2
scrapping
SCREEN
SCRAPING
BANQUE 1 BANQUE 1 API BANQUE 1
DONNÉES
ACCESSIBLES
SS
API BANQUE 2
CLIENT BANQUE 2 CLIENT AGRÉGATEUR BANQUE 2 CLIENT AISP
DONNÉES
ACCESSIBLES
API BANQUE 3
BANQUE 3 SCREEN BANQUE 3 DONNÉES
SCRAPING ACCESSIBLES
Le client consulte ses Le client utilise un service d’agrégation Le client utilise un service d’agrégation
comptes sur chacune pour consulter l’ensemble de ses pour consulter l’ensemble de ses
des applications de ses comptes. comptes.
banques L’agrégateur récupère l’ensemble des L’AISP s’identifie auprès des banques
données via screen scrapping. Il n’y a à agréger et ne récupère que les
aucune identification de l’acteur tiers données pour lesquelles il a le droit
auprès des banques agrégées. d’accès (via API).
1.4.3.
1 43 Loi pour une République numérique
Le calendrier normatif et
Promulguée le 7 octobre 2016, cette loi
règlementaire
a pour objectifs principaux de :
Pour garantir la protection des utilisateurs
et de leurs données, pour encadrer les Promouvoir l’innovation dans le
nouveaux usages et face à la multiplicité développement de l’économie
des risques de sécurité et d’attaques cyber numérique ;
criminelles, le régulateur met en place des
Créer un cadre de confiance clair,
lois et des directives réglementaires. Les
garant des droits des utilisateurs et
contraintes impacteront l’ensemble des
protecteur des données personnelles ;
acteurs. Dorénavant, les FinTech et les
GAFA sont même associés aux discussions Construire une République numérique
sur les futures règlementations. ouverte et inclusive, pour que les
14 DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIREopportunités liées à la transition numé-
rique profitent au plus grand nombre.
REVUE BANQUE
FOCUS
Cette loi comprend un nombre de
décrets avec des calendriers spécifiques.
LE CALENDRIER
RÉGLEMENTAIRE ET
Les thèmes légiférés sont :
NORMATIF : UNE MISE
Open data, au sein des services publics ; EN CONFORMITÉ POUR
Formation, recherche et statistiques
sur les données ; 7 OCTOBRE 2016
LOI POUR UNE
Plateformes : portabilité des données, RÉPUBLIQUE NUMÉRIQUE
loyauté et déclaration des locations … avec des décrets à venir
courte durée,
Protection des internautes, avec
notamment les sanctions CNIL jusqu’à
3 millions d’euros, la protection des
2018
hackers blancs, le droit à la mort JANVIER 2018
SWIFT CSP
numérique ;
Télécommunications : non-discri- 9 MAI 2018
NIS
mination pour l’accès au réseau,
accélération du très haut débit et 25 MAI 2018
GDPR E-PRIVACY
expérimentations ;
Nouveaux usages : l’identité numérique,
le coffre-fort numérique, le recomman-
dé électronique, le statut de joueurs de 2019
jeux vidéo, le don par SMS ; JUIN 2019
Accessibilité téléphonique et numérique DSP2
et le maintien de la connexion. selon la date
d’approbation
des RTS
CE QU’IL FAUT RETENIR
Dans l’ensemble de ces décrets promulgués et à venir, il est important de relever pour
les activités bancaires :
Le renforcement de l’obligation d’information. Le client doit savoir que ses
données sont collectées et à quel effet elles sont exploitées.
La mise en place d’un dispositif d’exercice des droits par voie électronique. Pour
faire valoir ses droits de récupération de ses données, l’utilisateur doit pouvoir en
effectuer la demande via le site Internet, et plus uniquement par courrier postal.
L’adaptation des procédures internes, pour l’exercice des droits suites au décès
d’une personne.
Le non-respect de ces dispositions engendre une sanction avec un plafond de 3 millions
d’euros.
SQUARE I SEPTEMBRE 2017 15L’établissement d’un cadre de
SWIFT : Customer Security Program coopération volontaire entre Etats
REVUE BANQUE
(CSP)
membres de l’UE, pour faciliter le
La majorité des grosses entreprises a partage d’informations techniques sur
adhéré à l’organisme SWIFT (Society
les risques et les vulnérabilités.
for Worldwide Interbank Financial
Telecommunication) pour les échanges Le renforcement par l’état de la
interbancaires. cyber-sécurité des opérateurs de
Le Customer Security Program de SWIFT services essentiels au fonctionnement
est un dispositif visant à aider les clients de l’économie et de la société. Ils
à lutter contre la cyber-fraude. Le devront se conformer aux règles
programme a pour objectif de sécuriser établies par l’état et seront obligés
l’environnement de l’entreprise, de notifier les incidents ayant un
contrôler les accès malveillants, détecter impact sur la continuité de leurs
les activités anormales et réagir avec un services essentiels.
plan d’intervention.
L’instauration de règles européennes
Les organisations qui utilisent le réseau
communes pour les prestataires de
SWIFT dans le cadre de leurs échanges
services numériques (Cloud, moteurs
interbancaires doivent, à partir de
de recherche, places de marché en
janvier 2018, se conformer aux normes
(sécurisation de l’environnement ligne).
informatique, contrôles des accès, Les états membres disposent jusqu’au
etc.) sous peine d’être dénoncées à 9 mai 2018 pour transposer la directive
l’organisme de réglementation et les dans leur droit national. Ils devront y
autres membres du réseau, puis d’être inclure les sanctions.
sanctionnées.
Directive Network and Information General Data Protection Regulation
Security (NIS) (GDPR)
L’Union européenne (UE) a adopté La GDPR est un règlement européen,
le 6 juillet 2016 la directive NIS sur la adopté en avril 2016, il s’appliquera dès
sécurité des réseaux et des systèmes mai 2018.
d’information. La directive prévoit :
Il constitue le droit fondamental et
Le renforcement des capacités
inaliénable, pour chaque citoyen, de
nationales de cyber-sécurité. Les
protéger sa vie privée et ses données
états membres devront se doter d’au-
personnelles. La GDPR impacte toute
torités nationales compétentes en
matière de cyber-sécurité, d’équipes entreprise qui collecte, traite et
nationales de réponse aux incidents stocke des données personnelles
informatiques et de stratégies dont l’utilisation peut directement ou
nationales de cyber-sécurité. indirectement identifier une personne.
16 DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRECE QU’IL FAUT RETENIR
REVUE BANQUE
LES PRINCIPES CLÉS DE LA GRPR SONT :
Précision : les données personnelles doivent être précises et mises à jour et
toutes les étapes raisonnables doivent être prises pour assurer la rectification ou
l’effacement de données inexactes sans délai.
Limitation de stockage : les données personnelles ne peuvent pas être conservées
plus longtemps que nécessaire aux fins pour lesquelles elles sont traitées.
Intégrité et confidentialité : une protection adéquate (technique et
organisationnelle) avec une sécurité et une protection appropriées contre tout
traitement, perte, dommage ou destruction non autorisés. C’est un composant de
sécurité de l’information de la vie privée.
Responsabilité : le contrôleur est responsable et doit démontrer sa conformité aux
principes ci-dessus relatifs au traitement des données personnelles.
LES OBLIGATIONS DE LA GDPR :
Consentement : lors de l’obtention du consentement pour l’utilisation des données,
les entreprises ne peuvent pas utiliser des termes et conditions incompréhensibles
remplis de jargon juridique. Il doit être aussi facile de retirer son consentement que
de le donner.
Notification de recherche : en cas de violation de données, les processeurs de données
doivent informer leurs contrôleurs et clients de tout risque dans les 72 heures.
Droit d’accès : les titulaires de données ont le droit d’obtenir la confirmation du
contrôleur de données pour savoir si leurs données personnelles sont en cours de
traitement. Le contrôleur de données doit fournir gratuitement une copie électronique
de données personnelles aux personnes concernées.
Droit à l’oubli : lorsque les données ne sont plus pertinentes à son but initial, les
personnes concernées peuvent demander au contrôleur de données d’effacer leurs
données personnelles et de cesser sa diffusion.
Portabilité des données : elle permet aux individus d’obtenir et de réutiliser leurs
données personnelles pour leurs propres besoins en les transférant dans différents
environnements informatiques.
Confidentialité par conception : elle demande l’inclusion de la protection des
données dès la conception des systèmes et la mise en œuvre de mesures techniques
et d’infrastructure appropriées.
Responsables de la protection des données : les agents qualifiés doivent être
nommés dans les autorités publiques ou les organisations (> 250 employés) surveillant
ou traitant des données personnelles sensibles.
La GDPR comporte donc l’obligation de répondre à un client qui effectue une demande
d’information, de réclamation, voire de rectification de ses données personnelles
(suppression, modification).
Le non-respect de cette réglementation peut entrainer des amendes de 20 millions
d’euros par violation ou 4 % du chiffre d’affaires annuel mondial de l’exercice précédent
(le montant le plus important étant retenu).
SQUARE I SEPTEMBRE 2017 17La directive E-Privacy
REVUE BANQUE
FOCUS La directive e-Privacy est mise à jour pour
se conformer à la GDPR. Elle est prévue
DES EXEMPLES DE
pour le 25 mai 2018 et encadrera :
FAILLES DE SÉCURITÉ :
Les cookies. L’internaute donnera
Avec la directive NIS et la GDPR, expressément son consentement
il devient donc obligatoire pour pour le dépôt de cookies, à l’exception
l’entreprise de notifier des des cookies pour les communications
attaques sur ses failles de électroniques (Internet Explorer,
sécurité qu’elle aurait subie, Chrome, etc.), pour les services
et ce dans les 72 heures. C’est
auxquels il a souscrit ou pour ceux
un changement important
mesurant l’audience. L’utilisateur
puisqu’auparavant les
entreprises cherchaient à ne devra pouvoir gérer tous les autres
pas communiquer sur les failles cookies dans un système centralisé.
de sécurité en raison de leur Le droit de retrait de l’utilisateur lui
image. sera rappelé tous les six mois.
En décembre 2016, un Les métadonnées. Pour la circulation
chercheur en sécurité a des données, elles peuvent être
découvert une faille de sécurité traitées sans le consentement de
concernant la néo-banque l’utilisateur. Les contenus devront
allemande N26. Cette brèche
être supprimés ou anonymisés après
aurait pu coûter cher aux
réception par leurs destinataires. Les
clients et à N26 si elle avait été
exploitée par des personnes
métadonnées devront également
mal intentionnées. être supprimées ou anonymisées dès
qu’elles ne sont plus nécessaires pour
Plus récemment la société de
partage de voiture Ouicar a la transmission de la communication.
été averti publiquement par la Les Over The Top. Les OTT, tels
CNIL pour une faille de sécurité que Skype, WhatsApp, Facebook
élémentaire. Une simple Messenger, Viber, seront désormais
requête sur leurs API permettait concernés.
d’accéder à la liste des données
véhicules. Il était alors possible Les sanctions applicables seront
d’accéder aux données similaires à celles de la GDPR.
personnelles des utilisateurs Cette règlementation offre l’opportunité
à l’aide d’une URL et de leurs d’exploiter de façon plus libre et étendue
IDs (Nom, Prénom, adresses, les données personnelles une fois le
téléphones, numéro du permis
consentement de l’utilisateur obtenu.
de conduire etc).
DSP2
Le détail de la Directive de Services de
Paiement n°2 (DSP2) est présenté dans
le chapitre suivant.
18 DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRELes FinTech ont un avantage de taille : standards d’échange de données (API).
leur système d’information est jeune et Les banques, quant à elles, disposent
REVUE BANQUE
repose souvent sur des architectures de réelles expertises dans la mise en
Cloud bien moins contraignantes à conformité et, bien que cela ne se voit
maintenir, à auditer et à faire évoluer pas toujours, en matière de sécurité
que les anciens systèmes des banques. informatique.
Elles pourront s’adapter aux nouveaux
2. DE LA DSP2 …
L’industrie des paiements est en pleine « Regulatory Technical Standards », RTS,
mutation. Autrefois réservée aux seules l’esprit de la directive DSP2 est ancré
banques, elle s’est ouverte aux nou- chez les acteurs.
veaux acteurs que sont les prestataires
de services de paiement (PSP).
L’Europe aspire à créer un véritable
2.1.
QU’EST-CE QUE LA DSP2 ?
marché des paiements et la DSP2
constitue la suite logique des précédentes La DSP2 poursuit plusieurs objectifs :
réglementations sur l’adoption de la mon- Favoriser la concurrence et l’inno-
naie unique, sur la création du SEPA et vation avec l’émergence de services
l’harmonisation des moyens de paiement. innovants d’agrégation de comptes et
Si les premières réglementations por- d’initiation de paiement ;
taient spécifiquement sur la monnaie Faciliter et développer l’utilisation
fiduciaire et la création de l’euro, la des services de paiement en ligne
DSP1 sur les systèmes de paiement tels sur Internet ;
que les virements, les prélèvements et
Améliorer la protection des
les paiements par carte, c’est donc fort
utilisateurs et consommateurs
logiquement que la DSP2 s’attaque aux
contre la fraude, les incidents de
services de paiement en ligne et aux
paiement et les paiements abusifs ;
prestations associées à l’environnement
bancaire, de plus en plus digital. Renforcer les droits des consom-
mateurs ;
A l’heure où nous écrivons, les discus-
sions sont toujours en cours entre les Encourager une baisse des prix sur
banques et les FinTech. Elles s’opposent les services de paiement ;
sur certains points, essentiellement la Etendre le rôle de l’European Banking
possibilité de poursuivre la pratique du Authority, EBA, pour coordonner les
Screen Scraping et ses conséquences. Si autorités de surveillance et dessiner
l’application du texte reste à acter, via les les standards techniques de demain.
SQUARE I SEPTEMBRE 2017 19CE QU’IL FAUT RETENIR
REVUE BANQUE
PAR LA DSP2, LA COMMISSION EUROPÉENNE ENTEND :
Offrir un cadre législatif aux nouveaux usages d’agrégation de comptes et
d’initiation de paiement ;
Donner une reconnaissance juridique aux nouveaux acteurs intermédiaires sur
la mise à disposition d’informations bancaires et sur le marché des paiements ;
Garantir un fort niveau de sécurité indispensable pour ces services :
- Sécurité des utilisateurs via la généralisation de l’authentification forte ;
- Sécurité des échanges de données entre les acteurs par la mise en place de
normes de communication ouverte, communes et sécurisées (API).
Adoptée définitivement par le Adossées à la DSP2, les Regulatory
parlement européen le 25 novembre Technical Standards, RTS, sont les
2015, elle doit être transposée dans standards techniques permettant
leur législation par les états membres l’application de la directive. Ils ont été
publiés en février 2017 par l’EBA, et
avant le 13 janvier 2018. En France,
doivent être validés par la Commission
cette transposition est réalisée par le
Européenne avant fin 2017. L’application
Trésor. Celle-ci pourrait prévoir une
des RTS au niveau national interviendra
extension du cadre prévu par l’UE à un 18 mois après la validation de la
périmètre de comptes plus importants, Commission Européenne, soit, selon
par exemple une extension des comptes les estimations, entre Juin et Septembre
courants aux comptes épargne. 2019.
DSP2 : calendrier
RTS rédigés par l’EBA, proposés Approbation des RTS Transposition de la
Mise en œuvre
à la Commission Européenne par la Commission DSP2 dans le droit
des RTS
dans sa proposition finale Européenne français
23 FÉVRIER 2017 EN COURS 13 JANVIER 2018 JUIN- SEPTEMBRE 2019
T0+18 MOIS POUR LA MISE EN PLACE DES RTS
Ce calendrier a été réalisé fin août 2017. Il est susceptible d’évoluer selon la date d’approbation des RTS
20 DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIRE2.2. garanti un accès équitable et ouvert au
REVUE BANQUE
marché des paiements, puis a renforcé
DES ACTEURS ET DES RÔLES la protection des utilisateurs. Elle a
RECONNUS PAR LA DSP2 également encouragé la concurrence
La DSP2 redéfinit les rôles de l’ensemble en permettant à des institutions non
des acteurs bancaires et offre aux financières d’entrer sur le marché des
nouveaux acteurs des possibilités paiements. Elle a défini le statut de
d’accès à des comptes dont ils ne sont Prestataire de Service de Paiement (PSP)
pas gestionnaires. en tant qu’établissements de crédit ou
établissements de paiement. Avec la
Par la DSP2, l’UE reconnaît deux
DSP2, ce statut devient le Prestataire
nouveaux acteurs : les agrégateurs
de comptes (AISP) et les initiateurs de Services de Paiement Emetteur
de paiement (PISP). Ces derniers d’Instruments de Paiement (PIISP).
seront soumis au contrôle de l’ACPR, Les Prestataires de Service de
responsable de la fourniture de ces deux Paiement Gestionnaire de Comptes
nouveaux agréments.
(ASPSP) sont les banques traditionnelles
La directive européenne sur les services qui détiennent les comptes et les fonds
de paiement (DSP1), adoptée en 2007, a de leurs clients.
Des acteurs et des rôles reconnus par la DSP2
PSU TPP ASPSP
CLIENT GAFA
FINTECH BANQUE
Par défaut, les banques disposeront de l’ensemble des agréments ci-dessous. Les
TPP devront en faire la demande auprès de l’ACPR. Lorsqu’un TPP se connectera
à un ASPSP, l’ASPSP vérifiera que le TPP dispose bien de l’agrément (eIDAS)
AISP PISP PIISP
Account Information Service Payment Initiation Service Payment Instrument Issuer Service
Provider Provider Provider
AGRÉGATION DE COMPTES INITIATION DE PAIEMENTS FOURNISSEUR DE CARTES
DE PAIEMENT
Un client souhaite avoir sur un seul Un client, depuis un site marchand,
et même outil une vision de ses souhaite payer en effectuant un Un client veut payer avec une
comptes issus d’une ou plusieurs virement. carte de paiement. L’établissement
banques. fournisseur de cartes de paiement
pourra interroger la banque pour
savoir si le client possède suffisam-
ment de fonds sur son compte.
SQUARE I SEPTEMBRE 2017 21ACTEURS TRADITIONNELS
REVUE BANQUE
UTILISATEUR D’UN SERVICE DE PAIEMENT
(PAYMENT SERVICE USER – PSU)
PSU Un utilisateur est un client, particulier ou professionnel, qui
possède un ou plusieurs comptes bancaires, et / ou utilise
Particulier Professionnel
un service de paiement.
PRESTATAIRES DE SERVICE DE PAIEMENT
GESTIONNAIRE DE COMPTE (ACCOUNT SERVICING
PAYMENT SERVICE PROVIDER - ASPSP)
ASPSP
Les prestataires de services de paiement gestionnaires de
comptes sont les établissements bancaires ou de crédit qui
détiennent les comptes et les fonds de leurs clients, tels que
les banques traditionnelles.
NOUVEAUX ACTEURS RÉGULÉS PAR LA DSP2
PRESTATAIRES DE SERVICES D’INFORMATION SUR
LES COMPTES (ACCOUNT INFORMATION SERVICE
AISP
PROVIDER - AISP)
Les prestataires fournissant un service de consolidation
des informations d’un ou plusieurs comptes détenus par un
client auprès d’un ou plusieurs ASPSP.
PRESTATAIRES DE SERVICES D’INITIATION DE
PAIEMENTS (PAYMENT INITIATION SERVICE PRO-
PISP
VIDER - PISP)
Les prestataires proposant un service qui consiste à initier
un ordre de paiement à la demande d’un client payeur à
partir d’un compte bancaire détenu chez un ASPSP.
ACTEURS EXISTANTS AVEC PÉRIMÈTRE ÉLARGI PAR LA DSP2
PRESTATAIRES DE SERVICES DE PAIEMENT EMETTEUR
D’INSTRUMENTS DE PAIEMENT (PAYMENT
PIISP
INSTRUMENT ISSUERS SERVICE PROVIDER - PIISP)
Le rôle d’émetteur d’instruments de paiement, qui avait été
préalablement règlementé comme Prestataire de Service
de Paiement (PSP) dans le cadre de la DSP1, voit son
périmètre modifié par la DSP2. Avec la DSP2, ces acteurs
deviennent des PIISP et auront la possibilité d’aller interroger
directement l’établissement gestionnaire de compte (ASPSP)
afin d’obtenir une confirmation de disponibilité des fonds.
22 DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIREA l’évidence, l’innovation majeure
proposée par la DSP2 est la 2.3.
REVUE BANQUE
reconnaissance d’intermédiaires qui DES RÈGLES COMMUNES DE
se positionnent entre les clients et les SÉCURITÉ INCLUSES DANS LA
banques traditionnelles, gestionnaires DSP2
de leurs comptes. Les apports de la DSP2 sont également
Les intermédiaires, AISP et PISP, importants pour la sécurité des
bénéficient de conditions d’exercice opérations réalisées par les consom-
allégées et d’exigences assouplies par mateurs. Par les RTS, la Commission
rapport aux établissements gestionnaires Européenne spécifie les exigences en
de comptes (ASPSP). En plus de termes d’authentification forte lors
l’obtention d’agréments, ces nouveaux de l’accès du client sur son compte de
prestataires devront aussi être couverts paiement, lors de l’initialisation d’une
par une assurance responsabilité civile opération de paiement ou lors de
professionnelle sur les territoires où ils l’exécution d’une action de paiement à
fournissent leurs services. distance susceptible d’être frauduleuse.
Evolution paiements
Paiement CB ou par virement : Initiation de paiements : Paiement avec les PIISP dans le
interactions actuelles interactions actuelles avec Screen cadre de la DSP2
Scraping et DSP2 avec API
RÉSEAU RÉSEAU
MONÉTIQUE MONÉTIQUE
PAIEMENT CB PAIEMENT CB
OU OU
VIREMENT VIREMENT VIREMENT
BANQUE BANQUE DU BANQUE BANQUE DU BANQUE BANQUE DU
DU CLIENT BÉNÉFICIAIRE DU CLIENT BÉNÉFICIAIRE DU CLIENT BÉNÉFICIAIRE
INITIATEUR DE
PAIEMENTS PIISP
avec interrogation
directedes fonds
disponibles
CLIENT BÉNÉFICIAIRE CLIENT BÉNÉFICIAIRE CLIENT BÉNÉFICIAIRE
SQUARE I SEPTEMBRE 2017 23Les RTS spécifient aussi les exemptions
à l’authentification forte prenant en
REVUE BANQUE
compte le niveau de risque de l’opération,
FOCUS
le montant ou la récurrence, etc.
QU’EST-CE QU’UNE Quelques exemples d’opérations
AUTHENTIFICATION risquées nécessitant le recours à
FORTE ? l’authentification forte :
C’est la combinaison de 2 Pour l’inscription au service d’un AISP
facteurs d’authentification, ou PISP ;
parmi les 3 suivants :
Pour la consultation d’informations
sans communication de données
confidentielles de paiement : lors de la
CE QUE J’AI
première connexion puis à minima
tous les 90 jours ;
Pour l’ajout d’un bénéficiaire dans
la liste blanche, sans nécessairement
Téléphone, calculatrice effectuer un virement ;
token Pour un virement si le bénéficiaire
n’est pas inclus dans la liste
CE QUE JE SAIS préétablie des bénéficiaires ;
Pour un paiement sans contact d’un
montant supérieur à 50 € ou pour
une somme cumulée de 150 € de
paiement sans contact ou pour plus de
Code, mot de passe, 5 paiements sans contact consécutifs ;
date de naissance
Pour des transactions successives
d’un même montant avec le même
CE QUE JE SUIS
bénéficiaire pour la première fois
(paiement récurrent) ;
Pour un paiement électronique
supérieur à 30 € ou pour une somme
Retine, empreinte,
cumulée de 100 € de paiement
voix … électronique ou pour plus de 5
paiements électroniques consécutifs ;
Pour l’exécution d’une action
Un nouveau facteur voit jour :
« ce que je fais » ou « behavior
susceptible de comporter un risque
analytics » qui analyse par de fraude en matière de paiement
exemples l’utilisation de la ou pour toute autre transaction
souris, la fréquence à laquelle potentiellement frauduleuse.
l’utilisateur tape sur le clavier.
Les RTS définissent également un
taux de risque de fraude en deçà
24 DE LA DSP2 À L’OPEN BANKING : LES IMPACTS SUR LE MODÈLE TRADITIONNEL BANCAIREduquel une exemption est possible. que seules les données nécessaires à
Cela permettrait d’alléger les étapes l’opération réalisée soient accessibles.
REVUE BANQUE
d’authentification pour un parcours Le référentiel tiers et le processus
client sans couture pour accélérer le d’autorisation des tiers : mis en
paiement pour les opérations moins place pour gérer les droits d’accès
risquées. Cela implique : des TPP et les autoriser à accéder aux
La création d’obligations en matière données.
de gestion des risques de fraude et L’authentification forte du client (via
de sécurité ; le protocole OAuth).
La mise en place d’une procédure de La sécurité informatique : mise en
notification des incidents. place de système de lutte contre la
fraude.
La gestion des incidents : adaptation
nécessaire des procédures de
réclamation client et de gestion des
2.4. contentieux, permettant notamment
LES IMPACTS DE LA DSP2 de rembourser le client à J+1. A ce
POUR … propos, l’ASPSP sera responsable en
cas de problème sur une transaction.
La banque aura toutefois la possibilité
2.4.1. de se retourner contre l’initiateur de
Les banques paiement en prouvant la négligence.
Par l’ouverture de l’accès aux comptes La gestion des risques et la mise
des clients et par la possibilité d’initier en conformité : renforcement des
des paiements par des tiers, la DSP2 activités dans ces domaines.
oblige les banques à se transformer en
L’o r g a n i s a t i o n de la banque:
revoyant leurs systèmes, leurs processus valorisation de nouvelles compétences
opérationnels et leur organisation. (API), apparition de nouveaux métiers
Le système d’information : mise à (Chief API Officer) et rapprochement
disposition d’interfaces d’échanges des entités métier sur les paiements.
API, sur un socle d’API management, Plus que jamais, les métiers de la
avec une architecture garantissant banque au quotidien devront échanger
performances et disponibilités pour mutualiser les réflexions autour
identiques à celles fournies directement des paiements et les prioriser.
au PSU. L’ASPSP devra garantir aussi le
Les ASPSP profiteront aussi de ces
même niveau de secours que celui mis
nouveaux rôles puisqu’elles obtiendront
en œuvre pour les PSU (délais de réta-
automatiquement les agréments AISP
blissement notamment). et PISP. Les banques n’ont d’ailleurs
La sécurité et la traçabilité des pas attendu la DSP2 : nombreuses sont
données : mise en place de contrôles en celles qui, dès aujourd’hui, ont lancé
amont, du monitoring des transactions leurs services d’agrégation de comptes
et de la traçabilité des opérations, pour externes à leur environnement (Société
SQUARE I SEPTEMBRE 2017 25Vous pouvez aussi lire
