Paiement en ligne et sur mobile : l’Europe ouvre la voie bancaire aux « fintech », aux GAFA et aux BATX

Depuis le 13 janvier 2018, la directive européenne sur les services de paiement
– dite DSP2 – est en vigueur. C’est une étape décisive pour le marché unique numérique : donner accès aux informations des comptes bancaires, afin d’ouvrir à la concurrence le marché des paiements en ligne ou sur mobile.

« Cet acte législatif constitue une nouvelle étape dans la création d’un marché unique numérique dans l’Union européenne (UE). Il encouragera le développement de systèmes de paiement en ligne et mobiles innovants, ce qui stimulera l’économie et la croissance. Avec l’entrée en application de la DSP2, la surfacturation appliquée aux cartes de débit et de crédit des consommateurs devient interdite. Les consommateurs de l’UE pourraient ainsi économiser plus de 550 millions d’euros par an (1). Ils bénéficieront aussi d’une protection accrue lorsqu’ils effectuent des paiements », a déclaré Valdis Dombrovskis (photo), vice-président de la Commission européenne,
en charge de la stabilité financière, des services financiers et de l’union des marchés des capitaux. Tout est dit.

Deux « fintech » : PSP tiers ou PSIP
Au moment où se tient à Paris le « Fintech Forum », les 30 et 31 janvier 2018 au Palais Brongniart, les nouvelles règles de l’open banking édictées par cette directive européenne sur les services de paiement – dite DSP2 (pour deuxième directive sur les services de paiement ou, en anglais, PSD2 pour Payment Services Directive) – arrivent pour mettre de l’ordre dans ce nouvel eldorado de la « fintech », marché né à la croisée des chemins entre la finance et la technologie. Concrètement, ces règles permettront d’élargir et d’améliorer le choix sur le marché des consommateurs des paiements de détail unique numérique de l’UE, tout en instaurant des normes de sécurité plus strictes pour les paiements en ligne pour renforcer la confiance des consommateurs dans le e-commerce. Avec la DSP2, c’est la consécration des sociétés de technologie financière que sont les start-up de la « fintech », mais aussi une voie royale pour les GAFA américains et les BATX chinois (lire p. 4). Apple ne propose-t-il pas son propre système de paiement mobile ? Facebook ne permet-il pas le transfert d’argent via sa messagerie Messenger ? Tencent est un incontournable du paiement mobile via WeChat. Tandis que les opérateurs télécoms, à l’instar d’Orange Bank, sont tentés de jouer eux aussi les banquiers. Ces nouveaux entrants sur le marché du paiement en ligne sont aussi appelés « prestataires de services de paiement tiers » (PSP tiers), tels que Bankin’ (2), Linxo ou Lydia en France, lesquels sont : soit des prestataires de services d’initiation de paiement (PSIP), qui offrent d’initier les paiements pour le compte de clients (donnant ainsi l’assurance aux détaillants que l’argent est en route), soit des agrégateurs et prestataires de services d’information sur les comptes (PSIC), qui fournissent à leurs clients une vue d’ensemble des comptes et soldes disponibles. Les consommateurs et les entreprises en Europe seront désormais en mesure d’autoriser l’accès à leurs données de paiement à des PSP tiers, lesquels peuvent être des
« fintech », mais aussi d’autres banques. « Les PSP tiers ne pourront pas accéder
à des données du compte de paiement autres que celles ayant fait l’objet d’une autorisation expresse du client », prévient cependant la Commission européenne (3).

De plus, les titulaires de compte peuvent exercer un contrôle sur la transmission de leurs données à caractère personnel aussi bien au titre de la DSP2 qu’au titre du règlement général sur la protection des données (RGPD) applicable à partir du 25 mai 2018. Mais pour que l’open banking se passe dans de meilleures conditions, la directive « fintech » habilite l’exécutif européen à adopter des normes techniques de réglementation sur la base d’un projet présenté par l’Autorité bancaire européenne (ABE), laquelle va quitter Londres pour s’installer à Paris, dans le but d’assurer la protection des consommateurs par la sécurité des paiements électroniques et de garantir des conditions de concurrence équitables dans un marché en mutation rapide. « Ces normes définissent les exigences à remplir pour permettre une “authentification forte” des clients et précisent les cas dans lesquels les prestataires de services de paiement peuvent être dispensés de cette authentification », précise la Commission européenne. Lors de l’utilisation de leurs services de banque en ligne ou lorsqu’ils feront des achats en ligne, que cela soit dans l’achat de biens et services, ou lors de la consommation de contenus et médias, les Européens seront mieux protégés lorsqu’ils effectuent des paiements ou des transactions électroniques.

Imposer l’« authentification forte »
« Les normes techniques de réglementation font de l’authentification forte la condition de base pour que le client puisse accéder à son compte de paiement ou effectuer des paiements en ligne », souligne l’exécutif européen. Cela suppose que, pour prouver son identité, l’utilisateur réponde à au moins deux des trois conditions suivantes : connaître un certain mot de passe ou code PIN ; être en possession d’une certaine carte ou d’un certain téléphone mobile ; et présenter certaines caractéristiques biométriques (empreintes digitales ou scan de l’iris, par exemple). Pour l’heure, lorsqu’il s’agit d’opérations de paiement électronique à distance telles que le paiement par carte ou
le virement depuis une banque en ligne, l’authentification forte du client n’est appliquée que dans certains pays de l’UE – dont la Belgique, les Pays-Bas et la Suède. Tandis que dans d’autres pays européens, certains prestataires de services de paiement l’appliquent sur une base volontaire. Alors que dans un magasin physique, en revanche, un client doit valider l’opération en saisissant son code PIN sur un lecteur de carte lorsqu’il paie avec sa carte bancaire. Deux poids, deux mesures. L’authentification forte existe dans la vraie vie mais pas dans le monde virtuel.

Evaluer l’ampleur du risque de fraude
Avec la DSP2, l’authentification forte devient obligatoire pour l’accès du client à son compte de paiement et pour ses opérations de paiement en ligne. Ce qui suppose que les banques et les autres prestataires de services de paiement mettent en place non seulement les infrastructures nécessaires à l’authentification forte, mais aussi des solutions pour améliorer la gestion des fraudes. Des dérogations à l’authentification forte pourront être accordées pour les paiements à distance : l’une concerne par exemple l’analyse des risques liés à l’opération et l’autre les paiements de faible valeur (moins de 30 euros). Mais il y a dérogation à condition qu’il y ait d’autres mécanismes d’authentification tout aussi sûrs et sécurisés et de suivi des opérations afin d’évaluer l’ampleur du risque de fraude. « En cas d’opération de paiement frauduleuse, le consommateur pourra prétendre à un remboursement intégral », prévient la Commission européenne.
Si la DSP2 est applicable depuis le 13 janvier 2018, il n’en  va cependant pas de même pour les mesures de sécurité décrites dans les normes techniques de réglementation, qui deviendront applicables dix-huit mois après la date d’entrée en vigueur de ces normes élaborées par l’ABE. Ce texte prévoit notamment  en annexe des taux de référence en matière de fraude en fonction de chaque type d’opération de paiement à distance. « Le prestataire de services de paiement veille à ce que les taux de fraude globaux liés tant aux opérations de paiement authentifiées par une authentification forte du client qu’à celles effectuées au titre des dérogations (…) soient équivalents ou inférieurs au taux de référence en matière de fraude lié au même type d’opération de paiement qui est mentionné dans le tableau figurant en annexe (4)», indique l’article
19 du projet de règlement « ABE ». Or, ce « règlement délégué de la Commission européenne complétant la directive 2015/2366 par des normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication » (5) n’est pas encore entré en vigueur (c’est-à-dire après leur publication au Journal officiel de l’Union européenne). Il est actuellement soumis au Parlement européen et du Conseil de l’UE. Ces deux ans environ doivent permettre aux prestataires de services de paiement, notamment aux banques, d’avoir suffisamment de temps pour adapter leur système de sécurité (6) aux exigences accrues de sécurité définies par la DSP2. Il s’agit aussi pour la Commission européenne de ne pas perturber le commerce électronique sur le Vieux Continent. Cependant, si la DSP2 et les normes techniques concernent les prestataires de services de paiement, dont les banques des consommateurs et celles des commerçants, il n’en va pas de même des commerçants eux-mêmes qui n’entrent pas dans le champ d’application des normes. « Il appartiendra aux commerçants et à leurs prestataires de services de paiement de s’entendre sur la manière d’atteindre l’objectif de réduction de la fraude », précise l’exécutif européen. Quant aux banques, elles devront mettre en place d’ici à septembre 2019 un « canal de communication » qui permettra, d’une part, aux PSP tiers d’accéder aux données de clients dont ils ont besoin, et, d’autre part, aux banques et aux PSP tiers de s’identifier réciproquement
et de communiquer à tout moment par une messagerie sécurisée. Cette Application Programming Interface (API) doit bénéficier d’une sauvegarde d’urgence et un mécanisme de secours afin « d’assurer la continuité du service ainsi qu’une concurrence loyale sur ce marché ». Comme la DSP2 prévoit que les clients devront consentir à l’accès, à l’utilisation et au traitement de ses données, il ne sera plus permis d’accéder aux données du client par le recours aux techniques dites de « screen scraping » ou « web scraping » (capture de données d’écran), qui consistent à accéder aux données via l’interface client avec utilisation des données de sécurité du client (7). Ce qui revenait à siphonner les données du client !

Futur « groupe de marché » pour les API
Toutes les API feront l’objet d’un essai de prototype de trois mois et d’un essai dans
les conditions réelles du marché, de trois mois également, et ne devront « pas créer d’obstacles à la fourniture des services d’initiation de paiement et des services d’information sur les comptes ». Pour examiner la qualité des API, la Commission européenne promeut la création d’un groupe de marché composé de représentants
des banques, des prestataires de services d’initiation de paiement et de services d’information sur les comptes, et des utilisateurs de services de paiement. @

Charles de Laubier