DSP2 : une entrée en vigueur le 14 septembre 2019 délicate

Le 14 septembre prochain, la nouvelle directive sur les services de paiements (DPS2) visant à soutenir l’émergence de services innovants au sein de l’industrie du paiement, doit entrer pleinement en vigueur.

À quelques jours de sa mise en application, Budget Insight a souhaité vous décrire l’état actuel de la place française en matière de mise en place des solutions techniques concrétisant sa mise en œuvre. La DSP2 se traduit en effet opérationnellement par une modification des modalités d’échanges de données entre les banques, les fintechs et leurs clients. Les échanges se feront désormais par l’intermédiaire d‘interfaces dédiées : les API.

Cette mise en œuvre technique, pour laquelle le régulateur avait prévu un délai de 18 mois pour laisser le temps aux acteurs de s’y préparer, se doit d’être parfaitement transparente pour l’ensemble des utilisateurs, qu’ils soient des clients particuliers ou professionnels. Elle aurait même du permettre, dans l’esprit des textes de loi, faciliter l’échange de données, les rendre plus stables et ainsi maximiser l’innovation et l’apport de valeur pour les utilisateurs.

À date, nous constatons, à l’instar de nos confrères européens comme Tink, que seules 8% des API des établissements bancaires français testés se révèlent être conformes aux exigences de la nouvelle directive, 23% sont partiellement fonctionnelles, 4% non fonctionnelles. Ainsi, 50% des API ne sont pas encore en production, c’est-à-dire indisponibles à l’utilisation. Dans ces conditions, il apparaît que dans l’état actuel, une migration totale de Budget Insight vers les API au 14 septembre n’est pas réalisable.

En cas de non-fonctionnalité des API à cette date, la DSP2 prévoit la mise en place de solutions de secours par les établissements bancaires, souvent appelées « fallback option ». Aujourd’hui, ces solutions, pour lesquelles la législation prévoit également un délai de tests, ne sont pas opérationnelles. Mises à disposition très tardivement, les tests n’ont pu être réalisés dans des conditions satisfaisantes.

Outre la mise en œuvre de ces API permettant davantage d’interconnexions entre les acteurs, le 14 septembre doit marquer la généralisation de l’application de l’authentification forte des clients. Ce dernier point touchera l’ensemble des clients finaux, qui devront être en mesure de s’authentifier en ayant recours à deux facteurs (par exemple avec le recours à un code envoyé par SMS), notamment tous les 90 jours pour accéder à leurs comptes. La mise en place de l’authentification forte, dans un contexte de retard de l’ensemble de la place en matière d’API, risquent de rencontrer de nombreuses difficultés, rendant impossible la validation d’opérations ou le simple accès aux comptes bancaires.

Face à cette situation, les autorités françaises et européennes ont proposé différents aménagements réglementaires et mesures de transition. En France, un plan de migration prévoit une mise en place progressive des différentes solutions d’ici à janvier 2020, notamment pour limiter les impacts sur les l’authentification forte sur les solutions de secours pour les établissements bancaires n’ayant pas d’API fonctionnelles au 14 septembre.

Ce plan permettra à l’ensemble des acteurs, dont Budget Insight, de migrer vers des API fonctionnelles et robustes, une fois ces dernières testées et validées. A minima, les accès via interfaces de secours devront avoir été testées dans des conditions de fonctionnement réelles.

Budget Insight s’efforcera au maximum de limiter les perturbations dans les accès aux données bancaires ; dans le respect de la réglementation. Aussi, nous avons d’ores et déjà et depuis plusieurs mois, anticipé, dans un contexte réglementaire changeant, ces difficultés. Nos équipes sont donc entièrement mobilisées afin de garantir le bon fonctionnement de ses services tout en continuant de migrer vers les nouvelles interfaces désignées par la directive.