+
-
Cet article appartient au dossier :

Rétrospective 2019

La laborieuse mise en œuvre de la DSP 2

Le 14 septembre 2019 sont entrées en vigueur les dispositions de sécurité de la deuxième directive européenne sur les services de paiement (DSP 2). Mais ni les API réglementaires ni les dispositifs d’authentification forte n’étaient prêts…

Le 19/12/2019
Géraldine Dauvergne

Soulagement au cœur de l’été : alors que les commerçants et les banques voyaient approcher la date du 14 septembre 2019, où l'obligation d'authentification forte devait s’imposer dans les paiements en ligne, un avis de l'Autorité bancaire européenne paru le 21 juin reconnaissait les difficultés de mise en œuvre du dispositif. Il n'y aurait donc pas de sanction, pendant une période de transition qui devait être définie et supervisée au niveau des autorités nationales. « La complexité du changement a été sous-estimée, estime Julien Maldonato, associé conseil industrie financière, chez Deloitte. La sécurité renforcée est une bonne nouvelle, mais en rendant l’expérience du client moins fluide, elle a été perçue comme un retour en arrière. »

Beaucoup de retards

L’autre grand volet de la deuxième directive européenne sur les services de paiement (DSP 2), celui des API réglementaires – agrégation de comptes, initiation de paiement et couverture de solde – est lui aussi très en retard. Les API exposées par les banques en septembre ne seraient toujours pas exploitables par les prestataires de services tiers (TPP). Fin décembre, seules sept banques françaises avaient obtenu de l’Autorité de contrôle prudentiel et de résolution (ACPR) l'exemption de l’obligation de disposer d’un mécanisme de secours d’API. « Avec plus de 400 banques en France, les nouvelles exigences d’audit vont représenter une forte charge de supervision pour le régulateur, qui devra disposer des capacités humaines et techniques nécessaires », prévient Julien Maldonato.

Les banques ont pourtant fourni des efforts pour proposer des solutions conformes aux exigences des RTS (Regulatory Technical Standards). Des groupes de travail ont été mis en place. « Début 2020, les premières solutions d'authentification forte devraient être déployées pour la connexion aux services de banque en ligne, puis, de plus en plus, pour les paiements en e-commerce », prévoit Sébastien Lethiec, chez PW Consultants. Les difficultés rencontrées lors du déploiement des solutions d'authentification forte seraient moins liées à la technologie qu’à la nécessité d'accompagner les clients. « Changer les habitudes des clients ne se décrète pas », insiste Thierry Leblond, chez PW Consultants.

De nouvelles stratégies de distribution

Du côté des API, beaucoup reste à faire. Si, comme l'estime Sébastien Lethiec, « les prestataires qui exploitent les API d'information sur les comptes devraient pouvoir les utiliser progressivements sur la première moitié de 2020 », la mise en œuvre des API d’initiation de paiement s'avère plus compliquée. L'implémentation du standard STET par les banques françaises n’a pas empêché d’importantes différences dans les choix d’intégration. « Le marché français de l’open banking et des API reste aussi assez domestique aujourd'hui, note Sébastien Lethiec. Et l’harmonisation au niveau européen ne fait pas partie des objectifs à très court terme. »

L’ouverture imposée par la DSP 2 oblige pourtant les banques françaises à s’approprier des techniques déjà répandues dans le monde. Réalisé par Deloitte, un benchmark des portails d’API de 53 banques du monde entier montre que 78 % d’entre elles ont commencé leur stratégie d’open banking. « Actuellement, les travaux des banques françaises portent sur la mise en conformité, analyse Sébastien Lethiec. Il leur faudra prendre la mesure de l'opportunité de business que représentent les API, définir de vraies stratégies de distribution associées et de nouveaux modèles ». Les modes de distribution des produits financiers évoluent. Paiements, crédits, épargne, ou assurances s'encapsulent dans des plateformes de distribution, de l'immobilier, des loisirs ou de la mobilité. « Nous n’en sommes qu'au début des API, prédit Thierry Leblond : l'écosystème reste à structurer et la gouvernance à renforcer. »

G. D.

 

Ils ont dit

Les infortunes de l'authentification forte

Par un communiqué de presse du 28 octobre 2019, l’Observatoire français de la sécurité des moyens de paiement (OMSP) s’est « félicité » de l’avis rendu par l’EBA, dont le « calendrier est en phase avec le plan de migration élaboré sous l’égide de l’Observatoire, rendu public le 11 septembre 2019 ». Décidément, et paradoxalement compte tenu du sujet, tout est très flexible concernant l’authentification forte. Car le plan de migration de la Place française a bien été « construit sur une période de 18 mois [et] vise la disparition à horizon mars 2021 des transactions n’ayant pas fait l’objet d’une authentification forte du client et ne répondant pas aux cas d’exemption ». Flexible temps, flexible droit…

Pierre Storrer, avocat au Barreau de Paris, Kramer Levin Naftalis & Frankel LLP, Banque & Droit n° 188, novembre-décembre 2019, p. 28.

 

L’effet papillon de la DSP 2

Cette réglementation simple sur le principe va amener un bouleversement total dans le monde bancaire. Historiquement, les systèmes d’information (SI) utilisés par les banques communiquaient entre eux uniquement par le biais de réseaux privés et sécurisés, par exemple STET pour la compensation, Swift pour les paiements internationaux, ou encore les réseaux monétiques comme Visa ou Mastercard pour les opérations par cartes bancaires. Avec la DSP 2, la réglementation incite les SI bancaires à communiquer par le biais du réseau public d’internet et via des technologies standard du monde de l’internet, les fameuses API (Application programming interfaces).

Les banques ou les nouveaux acteurs peuvent donc s’affranchir, s’ils le souhaitent, des réseaux interbancaires. Ils peuvent proposer des services innovants à un moindre coût puisqu'ils ne s'appuieront pas sur des structures privées, mais sur l’infrastructure internet. Et les banques, qui avaient un quasi-monopole de distribution de leurs produits vers leurs clients, vont voir apparaître de nouveaux acteurs de distribution s’intercaler entre leurs clients et eux-mêmes. C’est l’effet papillon de la DSP 2 : le simple changement de réglementation engendre une révolution technologique et stratégique pour les banques.

Bertrand Blumereau, directeur Marketing du Groupe SAB, Banque & Stratégie n° 379, avril 2019, pp. 16-18.

 

La biométrie vocale, facile pour le client

[La biométrie vocale] est la méthode d’authentification qui nous semblait la plus facile d’utilisation pour nos clients. Elle relève d’une logique très simple : l’enrôlement de la personne par la voix, transmise depuis un smartphone. Il n’est pas nécessaire d’envoyer de nouveaux codes spécifiques, ni de disposer d’outils supplémentaires. La biométrie vocale est totalement gratuite et très rapidement opérationnelle. Elle est l’une des technologies biométriques les plus avancées et les plus robustes aujourd’hui. Alors que les capteurs digitaux des smartphones actuels étudient 25 à 35 paramètres de l’empreinte digitale, la voix s’analyse avec environ mille paramètres ! En ce qui concerne la biométrie faciale, les avancées sont contrastées : sur les téléphones grand public disposant d’une caméra, on peut utiliser une trentaine de paramètres ; sur les téléphones dernier cri, on s’approche des mille paramètres, comme la biométrie vocale, mais tout le monde n’a pas ce type de device !

La biométrie vocale est une méthode qui n’exclut personne : il suffit d’avoir un micro pour que la technologie fonctionne. Avec l’empreinte digitale, le client doit avoir un smartphone compatible. Pour la biométrie faciale, il lui faut une caméra frontale adaptée sur son téléphone. Le choix de la biométrie vocale est donc une question de coût, de sécurité, et de matériel.

Ludovic Van de Voorde, directeur des clientèles Professionnels et Particuliers, Paiements et Innovation, Crédit du Nord, Banque & Stratégie n° 379, avril 2019, pp. 28-29.

 

À quand une solution d'authentification déléguée aux prestataires tiers ?

Aucun texte réglementaire ne s’oppose à l’authentification déléguée. L’ASPSP [1] peut tout à fait décider de confier l'authentification forte au prestataire tiers et se décharger de sa responsabilité. Porter le (faible) risque lié à ce renouvellement de consentement ne dérangerait absolument pas les prestataires tiers que nous sommes.

L’authentification forte par redirection, telle qu’elle est imaginée par les ASPSP, est totalement incompatible avec le paiement en proximité, puisqu’elle engage dans un process beaucoup plus lourd qu’un paiement par carte par exemple. Ce type de use case montre clairement l’obstacle à l’innovation pour le client que représentent les choix techniques actuels.

Clément Cœurdeuil, président cofondateur, et Bertrand Jeannet, Head of Risk & Compliance chez Budget Insight, Banque & Stratégie n° 379, avril 2019, pp. 32-33

 

 

[1] Prestataire de services de paiement gestionnaire de comptes (Account Servicing Payment Service Provider).

L'auteur

Séminaires

Sommaire du dossier

Articles du(des) même(s) auteur(s)

Sur le même sujet