Tiers de paiement et banques : ce que prévoit la DSP 2

La DSP 2 institue deux nouveaux statuts de prestataires de paiement (AISP et PISP [1] ) qui pourront acc&eacute;der aux comptes de paiement des clients qui le souhaitent. Un standard technique r&eacute;glementaire (RTS) d&eacute;finit les conditions de cet acc&egrave;s et la mani&egrave;re de communiquer avec les teneurs de ces comptes (ASPSP [2] ), &agrave; savoir les banques. Qu&rsquo;apporte le RTS ? L&rsquo;un des points majeurs du RTS concerne la s&eacute;curit&eacute; de l&rsquo;acc&egrave;s au compte. Il introduit l&rsquo;obligation pour les nouveaux acteurs de s&rsquo;authentifier vis-&agrave;-vis des banques lorsqu&rsquo;ils acc&egrave;dent aux comptes des clients qui leur en ont donn&eacute; le mandat. Jusqu&rsquo;ici, avec la technique du web scraping , ce n&rsquo;&eacute;tait pas le cas. C&rsquo;est un certificat eIDAS qui permettra &agrave; un acteur tiers d&rsquo;&ecirc;tre officiellement reconnu par le teneur de compte, en transmettant son nom, son num&eacute;ro d&rsquo;agr&eacute;ment et le nom de l&rsquo;autorit&eacute; comp&eacute;tente que le lui a d&eacute;livr&eacute;. Le RTS met-il fin au web scraping ? Le RTS reste technologiquement neutre. Il laisse le choix au teneur de compte entre : d&eacute;velopper une interface d&eacute;di&eacute;e (par exemple une API) par laquelle il contr&ocirc;le les donn&eacute;es mise &agrave; disposition, ou construire un chemin d&rsquo;acc&egrave;s &agrave; son univers de banque en ligne, sous r&eacute;serve que celui-ci soit capable de reconna&icirc;tre le certificat du tiers qui souhaite se connecter. Cette seconde solution pourrait par exemple &ecirc;tre choisie par des &eacute;tablissements teneurs de comptes qui ne voudraient pas investir dans des interfaces d&eacute;di&eacute;es. Mais &agrave; la diff&eacute;rence du web scraping tel qu&rsquo;il est pratiqu&eacute; aujourd&rsquo;hui, cet acc&egrave;s direct &agrave; l&rsquo;espace de banque en ligne devra pr&eacute;voir l&rsquo;authentification du tiers. Si au contraire l&rsquo;ASPSP fait le choix de l&rsquo;interface d&eacute;di&eacute;e, alors le tiers de paiement est oblig&eacute; de l&rsquo;utiliser. Les exigences autour de l&rsquo;API ont soulev&eacute; de nombreux d&eacute;bats au moment de la r&eacute;daction du RTS. La version finale diff&egrave;re-t-elle de la proposition faite par l&rsquo;EBA en f&eacute;vrier 2017 ? La philosophie reste la m&ecirc;me : une authentification du tiers de paiement et le choix pour l&rsquo;ASPSP de proposer une interface d&eacute;di&eacute;e ou un acc&egrave;s direct au site de banque en ligne. Mais des &eacute;l&eacute;ments ont &eacute;t&eacute; ajout&eacute;s pour renforcer l&rsquo;assurance, pour les nouveaux acteurs, de pouvoir acc&eacute;der &agrave; des API de qualit&eacute; ne cr&eacute;ant pas d&rsquo;obstacles &agrave; l&rsquo;exercice de leurs activit&eacute;s. Ainsi, de nouvelles exigences sont apparues pour obliger la publication par chaque ASPSP d&rsquo;indicateurs de performance et de disponibilit&eacute; de son API et de son site de banque en ligne, afin que les autorit&eacute;s comp&eacute;tentes puissent facilement v&eacute;rifier que les deux interfaces fonctionnent dans des conditions &eacute;quivalentes. Les ASPSP et les AISP et PISP sont par ailleurs d&eacute;sormais oblig&eacute;s de d&eacute;clarer tout incident de fonctionnement de l&rsquo;API aupr&egrave;s des autorit&eacute;s comp&eacute;tentes. Des requis ont enfin &eacute;t&eacute; ajout&eacute;s afin d&rsquo;obliger les ASPSP ayant d&eacute;ploy&eacute; une API &agrave; mettre en place une solution d&rsquo;acc&egrave;s de secours via son site de banque en ligne en cas d&rsquo;indisponibilit&eacute; de cette derni&egrave;re. Cette obligation peut n&eacute;anmoins &ecirc;tre lev&eacute;e par les autorit&eacute;s comp&eacute;tentes, sous r&eacute;serve que ces derni&egrave;res v&eacute;rifient que ces API fonctionnent conform&eacute;ment aux crit&egrave;res pr&eacute;vus par les RTS. Le d&eacute;bat s&rsquo;est en effet port&eacute; sur la question de la solution de secours : quel a &eacute;t&eacute; le raisonnement sous-jacent ? Le d&eacute;bat &eacute;tait effectivement de savoir s&rsquo;il fallait forcer l&rsquo;ASPSP &agrave; maintenir les deux options disponibles. Le r&eacute;gulateur consid&egrave;re que, puisque c&rsquo;est lui qui supporte les co&ucirc;ts de d&eacute;veloppement de ces outils, c&rsquo;est &agrave; lui de choisir. Si on le force &agrave; donner l&rsquo;acc&egrave;s au site de banque en ligne, il aura moins d&rsquo;incitation &agrave; d&eacute;velopper une API, qui repr&eacute;sente des co&ucirc;ts suppl&eacute;mentaires. Or les API offrent des avantages, notamment en termes de tra&ccedil;abilit&eacute; des acc&egrave;s. Il s&rsquo;agit donc de ne pas tuer le mod&egrave;le de l&rsquo;interface d&eacute;di&eacute;e. La Commission, de son c&ocirc;t&eacute;, voulait donner davantage de r&eacute;assurance aux tiers de paiement que les API d&eacute;velopp&eacute;es seraient fonctionnelles et leur permettraient de travailler. Elle a donc ajout&eacute; l&rsquo;obligation pour les ASPSP d&rsquo;avoir une solution de secours via le site de banque en ligne, sauf si l&rsquo;autorit&eacute; comp&eacute;tente les en exempte. Cette exemption est accord&eacute;e si, &agrave; l&rsquo;issue d&rsquo;une p&eacute;riode de test de 6 mois, l&rsquo;autorit&eacute; juge que l&rsquo;API mise &agrave; disposition est suffisamment performante. Comment cela va-t-il se passer en France ? C&rsquo;est l&rsquo;ACPR qui accordera cette exemption, en s&rsquo;appuyant sur la Banque de France pour les aspects s&eacute;curitaires. La proc&eacute;dure op&eacute;rationnelle n&rsquo;est pas encore d&eacute;finie, le RTS n&rsquo;&eacute;tant pas explicite sur le sujet. Il est en tout cas important qu&rsquo;elle soit harmonis&eacute;e au niveau europ&eacute;en, pour assurer une &eacute;galit&eacute; de traitement entre les diff&eacute;rents acteurs. L&rsquo;EBA va publier une communication en la mati&egrave;re. Par ailleurs, un groupe de travail (l&rsquo;API Evaluation Group) a &eacute;t&eacute; mis en place au niveau europ&eacute;en pour faire en sorte que les diff&eacute;rents acteurs s&rsquo;entendent d&egrave;s maintenant sur les caract&eacute;ristiques standards des API. Au niveau fran&ccedil;ais, il y a aussi un groupe de travail sur le sujet au sein du CNPS [3] . Comment cela s&rsquo;articule-t-il avec le projet de standard d&rsquo;API &eacute;labor&eacute; par STET pour les banques fran&ccedil;aises ? L&rsquo;ACPR validera les API de chaque &eacute;tablissement, pas le standard. Il s&rsquo;agira de regarder comment le standard a &eacute;t&eacute; mis en œuvre dans le syst&egrave;me d&rsquo;information de chaque ASPSP et quelle est sa performance. Le groupe de travail du CNPS a pour objectif de mettre les parties prenantes autour de la table, de sorte &agrave; identifier en amont les obstacles que les nouveaux tiers de paiement peuvent relever dans la proposition faite par STET et, le cas &eacute;ch&eacute;ant &agrave; demander au r&eacute;gulateur de se positionner. Ce dialogue pr&eacute;alable vise &agrave; lever ces blocages en amont, plut&ocirc;t qu&rsquo;au moment de la validation des API. Quel est le calendrier de ces travaux ? Le RTS entrera en vigueur en septembre 2019. Pour qu&rsquo;une API soit fonctionnelle &agrave; cette date et que le teneur de compte n&rsquo;ait donc pas &agrave; d&eacute;velopper de solution de secours, il faut qu&rsquo;auparavant, nous la validions. Le RTS n&rsquo;a pas donn&eacute; de d&eacute;lai pour cette validation mais pr&eacute;cise que l&rsquo;EBA doit &ecirc;tre consult&eacute;e. Le process pourrait prendre environ deux mois. Avant cette &eacute;tape, le march&eacute; doit tester l&rsquo;API pendant six mois dont trois dans des conditions de production. Le r&eacute;troplanning plaide pour que les API soient mises &agrave; disposition d&eacute;but 2019 et au plus tard en mars 2019. Un amendement de l&rsquo;Assembl&eacute;e nationale dans le cadre des discussions sur la transposition de la DSP 2 [4] pr&eacute;voit par ailleurs que si l&rsquo;API d&rsquo;une banque, test&eacute;e et valid&eacute;e, est pr&ecirc;te avant, les tiers de paiement seront oblig&eacute;s de l&rsquo;utiliser. C&rsquo;est un message positif qui encourage &agrave; anticiper la s&eacute;curisation de l&rsquo;acc&egrave;s au compte pendant cette p&eacute;riode inconfortable o&ugrave; la DSP 2 est en vigueur mais pas les standards s&eacute;curitaires qui l&rsquo;accompagnent. Parmi les sujets en discussion autour de l&rsquo;API, il y a la question de la redirection de l&rsquo;internaute qui souhaite utiliser le service d&rsquo;un agr&eacute;gateur ou d&rsquo;un initiateur de paiement vers le site du teneur de compte. Les nouveaux acteurs s&rsquo;inqui&egrave;tent d&rsquo;un alourdissement de l&rsquo;exp&eacute;rience client. Cette redirection est-elle autoris&eacute;e ou interdite par le RTS ? Le RTS identifie la redirection comme un obstacle possible &agrave; l&rsquo;utilisation des nouveaux services. C&rsquo;est un sujet complexe pour les r&eacute;gulateurs car il rel&egrave;ve d&rsquo;enjeux de concurrence qui ne le concernent g&eacute;n&eacute;ralement pas. Cela fait partie des sujets qui sont en cours de discussion entre les diff&eacute;rentes parties prenantes et devraient faire l&rsquo;objet de clarification de la part de l&rsquo;EBA. Que dit le RTS sur le stockage des identifiants du client final ? Le standard technique est clair sur ce sujet : l&rsquo;AISP peut stocker les identifiants qui lui permettent de fournir son service d&rsquo;agr&eacute;gation, mais pas le PISP pour l&rsquo;initiation de paiement. Le cas des acteurs qui ont le double agr&eacute;ment &ndash; comme c&rsquo;est le cas en France [5] &ndash; soul&egrave;ve d&rsquo;ailleurs quelques questions que nous sommes en train d&rsquo;&eacute;tudier. Pourquoi le standard technique r&eacute;glementaire n&rsquo;est-il pas plus pr&eacute;cis ? Le RTS n&rsquo;a jamais &eacute;t&eacute; con&ccedil;u comme un cahier des charges pour les API. Il d&eacute;finit le cadre dans lequel les diff&eacute;rents acteurs devront d&eacute;velopper des solutions techniques. Mais c&rsquo;est bien &agrave; ces derniers de trouver ces solutions. Comment l&rsquo;&eacute;tablissement teneur de comptes saura-t-il si un acteur tiers est agr&eacute;&eacute; ? La directive pr&eacute;voit qu&rsquo;un registre des AISP et PISP soit tenu &agrave; l&rsquo;&eacute;chelle europ&eacute;enne et mis &agrave; jour en cas de retrait d&rsquo;agr&eacute;ment. L&rsquo;EBA le mettra en place d&eacute;but 2019. &Agrave; ce stade, chaque autorit&eacute; tient son propre registre. L&rsquo;ACPR entre ainsi dans le Regafi les &eacute;tablissements qu&rsquo;elle a agr&eacute;&eacute;s mais aussi ceux qui utilisent le passeport europ&eacute;en pour acc&eacute;der au march&eacute; fran&ccedil;ais. &Agrave; noter toutefois que la notion de passeport appliqu&eacute;e &agrave; l&rsquo;agr&eacute;gation et &agrave; l&rsquo;initiation de paiement porte sur la possibilit&eacute; de commercialiser des produits en dehors de son pays d&rsquo;origine. En revanche, tout acteur agr&eacute;&eacute; dans un &Eacute;tat membre, m&ecirc;me sans passeport, peut acc&eacute;der aux comptes que ses clients pourraient avoir dans des banques &eacute;trang&egrave;res. Les AISP et PISP agr&eacute;&eacute;s peuvent-ils proposer leurs services &agrave; d&rsquo;autres acteurs ? Bien entendu, et c&rsquo;est d&rsquo;ailleurs le cas des acteurs agr&eacute;&eacute;s en France. &Agrave; ce titre, les modalit&eacute;s de coop&eacute;ration entre les acteurs peuvent &ecirc;tre diverses. Si l&rsquo;acteur agr&eacute;&eacute; noue un partenariat de type co-branding avec une autre entit&eacute; pour fournir un service li&eacute; &agrave; l&rsquo;utilisation de donn&eacute;es bancaires, il reste l&rsquo;interlocuteur des utilisateurs finaux pour le service d&rsquo;agr&eacute;gation et l&rsquo;acteur partenaire n&rsquo;a pas besoin d&rsquo;agr&eacute;ment en tant qu&rsquo;AISP. En revanche, s&rsquo;il propose son service en marque blanche &ndash; par exemple, l&rsquo;int&eacute;gration d&rsquo;une solution d&rsquo;agr&eacute;gation de comptes de mani&egrave;re transparente pour l&rsquo;utilisateur final &ndash;, il se trouvera dans un cas de prestation de service essentiel et son partenaire aura besoin d&rsquo;un agr&eacute;ment en tant qu&rsquo;AISP et donc d&rsquo;une assurance responsabilit&eacute; professionnelle pour fournir ce service. Si ce client est une banque &ndash; cas qui se rencontre en France &ndash; son statut d&rsquo;&eacute;tablissement de cr&eacute;dit est bien entendu suffisant. Certaines banques ont par ailleurs d&eacute;j&agrave; d&eacute;velopp&eacute; leur propre service d&rsquo;agr&eacute;gation, sans avoir, l&agrave; non plus, besoin d&rsquo;un agr&eacute;ment particulier. Les dispositions de la DSP 2 concernent les comptes de paiement. Qu&rsquo;en est-il des autres, comme les comptes d&rsquo;&eacute;pargne ? Aucune r&eacute;glementation n&rsquo;interdit aujourd&rsquo;hui qu&rsquo;un acteur tiers acc&egrave;de &agrave; ces autres comptes via du web scraping . Nous sommes toutefois en faveur d&rsquo;une s&eacute;curisation de cet acc&egrave;s, dans la logique de ce qui est fait pour les comptes de paiement. Nous estimons que ce sujet devra &ecirc;tre trait&eacute; au niveau europ&eacute;en. Pour l&rsquo;instant, l&rsquo;heure est &agrave; la mise en place de la DSP 2. 1 Account Information Service Provider (pour l&rsquo;agr&eacute;gation de comptes) et Payment Initiation Service Provider (pour l&rsquo;initiation de paiement). 2 Account Servicing Payment Service Providers . 3 Comit&eacute; national des paiements scripturaux. 4 Projet de loi de ratification de l&rsquo;ordonnance n&deg; 2017-1252 du 9 ao&ucirc;t 2017. Faute d&rsquo;un accord en Commission mixte paritaire, ce projet de loi de ratification est revenu en deuxi&egrave;me lecture &agrave; l&rsquo;Assembl&eacute;e. &Agrave; l&rsquo;heure o&ugrave; nous &eacute;crivons, il n&rsquo;est donc pas encore adopt&eacute;, ndlr. 5 Depuis l&rsquo;entr&eacute;e en vigueur de la DSP 2 le 13 janvier 2018, l&rsquo;ACPR a accord&eacute; le statut d&rsquo;AIPS et PISP &agrave; trois acteurs historiques du march&eacute; : Bankin, Linxo et Budget Insight, ndlr.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Réglementation

Tiers de paiement et banques : ce que prévoit la DSP 2

La DSP 2, en vigueur depuis janvier, et plus encore le standard technique applicable en septembre 2019 définissent les conditions des échanges de données entre les nouveaux tiers de paiement et les banques. Authentification, validation des API, agrément des acteurs… l’ACPR fait le point.

À retrouver dans la revue

Dette et déficit publics : comment éviter le précipice

Capital-investissement

« Plus de 35 milliards d’euros seront investis dans les fonds labellisés non cotés »

Politique monétaire

Les banques centrales commencent leur pivot monétaire

Blockchain/Cryptoactifs

Ne parlons plus de security token !

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous