Annoncée comme un réel bouleversement pour l’ensemble du secteur bancaire et du e-commerce, l’adoption de la DSP2 semble toujours en cours. Après presque 5 ans, nous faisons un bilan de l’impact de la DSP2 sur l’arrivée de l’open banking en Europe.
Qu’est-ce que la DSP2 ?
La DSP2 est la deuxième Directive Européenne sur les Services de Paiement, elle est entrée en vigueur en 2018 et relève en France du champ de compétences de la Banque de France. Elle vise à encadrer la prestation des services de paiements et à renforcer la sécurité des paiements à l’échelle européenne. Elle oblige les acteurs du secteur bancaire à mettre à disposition des services sous forme d’API pour l’agrégation des comptes, l’initiation du paiement et le renforcement de la sécurité des paiements en ligne. Elle rend également obligatoire l’utilisation de l’authentification forte pour les transactions.
Le secteur bancaire et la DSP2
5 ans après l’entrée en vigueur de la DSP2, on note effectivement que les grands groupes bancaires ont créé les API nécessaires pour satisfaire à la réglementation. Le catalogue des APIs dans certains grands groupes comme BPCE, BNP ou Société Générale dépasse même le cadre réglementaire et de nouvelles APIs y sont publiées régulièrement.
En revanche, toutes ces APIs sont encore hétérogènes, les frameworks, la documentation et le découpage des fonctions exposées (pour les API hors obligation DSP2) varient en fonction des banques. Il n’en reste pas moins que les banques ont fait le nécessaire pour se conformer à la DSP2 en publiant des API qui permettent l’agrégation de comptes, l’initiation du paiement et l’authentification.
Forts de ce constat, on peut donc se demander si nous sommes vraiment arrivés à l’aire de l’Open Banking en Europe. En effet, si les acteurs du secteur bancaire proposent des services ceux-ci restent difficiles d’utilisation pour les acteurs du e-commerce, beaucoup d’entre eux ont du mal à se conformer à la DSP2.
La DSP2 vue du côté des e-commerçants
Des études montrent que l’avènement de la DSP2 a de vrais impacts sur les e-commerçants. Une étude parue cet été dans le Forrester annonce que près de « 45 % des e-commerçants n’ont fait que le minimum en termes de conformité à la DSP2 ou sont encore en train de réfléchir à comment dépasser les obstacles qu’elle représente ».
Les e-commerçants subissent une diminution de leur taux de conversion (et donc du chiffre d'affaires) en raison d’échecs au moment du paiement. En effet, les clients ont des actions d’authentification à réaliser et lorsqu' elles échouent, dans bien des cas, ils ne réitèrent pas l’opération. De plus, même si les taux de fraude ont baissé (20% de baisse entre 2020 et 2021), contrairement aux promesses de la législation, les paiements sur internet restent l’une des principales sources de fraude.
Conséquence directe de la complexité et de l’hétérogénéité des services mis à disposition des acteurs du e-commerce par le secteur bancaire, on peut dire que du côté des e-commerçant l’adaptation à la DSP2 est toujours en cours.
On fait le bilan
Le secteur bancaire a déjà ouvert une partie de son écosystème grâce aux obligations réglementaires imposées par la DSP2 mais cette ouverture s’est faite, pour l’instant, sans le souci des cas d’usage que pouvaient mettre en œuvre les principaux consommateurs de ces services (exemple des e-commerçants).
Contrairement à ce qu'avaient imaginé les législateurs, la DSP2 est vécue comme une contrainte par l’ensemble des acteurs, ce qui ne favorise pas l’émergence de nouvelles synergies ou innovations. Bien que la DSP2 ait forcé les acteurs bancaires à ouvrir leur système d’information, toutes ses promesses ne se sont pas réalisées et l’ère de l’open Banking n’est pas encore là.
Une évolution de la DSP2 (et donc une éventuelle DSP3) est en cours de discussion, peut-être que cette nouvelle itération de la réglementation permettra d’arriver vers l’ère de l’Open Banking.
Vers la DSP3
Il est clair que la DSP3 devra permettre de faciliter les parcours clients et de continuer à faire diminuer la fraude. Dans les discussions qui ont lieu actuellement autour de la DSP3, il est envisagé d’utiliser une authentification biométrique parfois combinée à une analyse comportementale (frappe sur le clavier, habitudes d’achats, déplacement de la souris, etc.) pour accélérer et faciliter les étapes de paiement.
L’utilisation de ces technologies posera plusieurs questions en commençant par la sécurité des données biométriques qui restent un type de données nécessitant les niveaux de sécurité les plus importants. Un point rassurant sur cette question, est que les groupes bancaires et les acteurs des moyens de paiement manipulent déjà ce type de données. Il ne leur faudra donc que peu de temps pour s’adapter sur ce point.
Une autre question qui elle nécessitera plus de temps, est celle de l’apprentissage et de l’entraînement des systèmes d’analyse comportementale qui eux devront s’améliorer au fur et à mesure pour garantir les niveaux de services attendus.
La DSP3 est toujours en construction, un avant-projet devrait être publié sur le premier semestre de l’année et l’entrée en vigueur du texte se place à l’horizon 2026.