La Directive Européenne sur les Paiements 2 s’ouvre à de nouveaux acteurs

La finance a toujours été encapsulée dans une forte couche de régulation qui a pour but de protéger les clients utilisateurs. Cette couche de régulation a généré une limitation de la disponibilité de la donnée et de la possibilité d’agir sur ses comptes bancaires. L’enjeu de la régulation et les moyens techniques mis en œuvre qui en sont la traduction concrète, sont pourtant de résoudre l’équation suivante : augmenter la disponibilité pour répondre au besoin tout en conservant un niveau de sécurité suffisant.

L’objectif des solutions historiquement proposées est donc à la fois de répondre au besoin du client d’accéder à sa donnée de façon fluide et simplifiée mais aussi de proposer un contexte sécurisé pour réaliser ces actions et par définition un processus plus contraignant qui vient réduire la fluidité.

DATA-reach-customers

Les nouveaux acteurs de la finance  sont capables de se connecter aux systèmes d’informations des acteurs historiques (banques, assurances, services de paiements…)  qui se sont développés d’abord et avant tout pour répondre au besoin du marché.

Les nouveaux acteurs

La création de la DSP2 a donc pour objectif la régulation de l’activité des fournisseurs dits AIS (Account Information Services) et PIS (Payment Initiation Services).

  • Les AIS « Services d’agréation de l’information » permettent aux utilisateurs ayant plusieurs comptes bancaires d’agréger l’ensemble de leurs données en une seule interface.
  • Les PIS « les services d’initiation de paiement » permettent aux utilisateurs de demander à un intermédiaire d’exécuter des opérations de paiements auprès de leur banque en leur nom.

L’identification auprès de l’AIS « le service d’agrégation de l’information »

De la rencontre entre le besoin de fluidité dans le parcours client et les solutions des nouveaux acteurs, sont nés des usages nouveaux basés sur les identifiants bancaires du client. Grâce à ces identifiants, le client peut utiliser une plateforme tierce au site de ses banques, plus simple, proposant une expérience plus fluide et connecté à tous ses établissements pour réaliser les deux actions qui ont de la valeur pour lui : consulter très vite l’intégralité de ses comptes et réaliser très rapidement des mouvements sur ses comptes.

L’identifiant bancaire (accès au site web de la banque) est devenu le moyen pour le client de donner une sorte de « mandat » à ces nouveaux acteurs pour lui proposer des services à valeur ajoutée. Les principaux usages identifiés sont :

  • l’agrégation bancaire de tous les établissements teneurs de compte pour avoir un seul point de consultation de toutes ses finances et en quelque seconde une vue de l’ensemble de son patrimoine et de ses transactions (2M de Français utilisent les agrégateurs en France aujourd’hui)*
  • la connexion bancaire vers un logiciel tiers de gestion de trésorerie ou de comptabilité pour alimenter la base de données en temps réel (plus de 20 000 entreprises utilisent ce système sur plus de 40 éditeurs de logiciels connectés avec une croissance de cet usage de 10% par mois)**

Les autres acteurs à l’étranger

Paypal est le plus gros acteur Européen du paiement sur internet. Yodlee est le plus gros AIS du monde et est valorisé 640M de dollars en bourse. Ces acteurs ne seront pas bloqués longtemps par la régulation si les acteurs nationaux Européens ne répondent plus au besoin à cause de la régulation. Le résultat serait un retard économique de l’Europe sur la finance par rapport aux Etats-Unis et au final, une prise de part de marché par les gros acteurs non Européens. Dans un marché globalisé, mal régulé, il peut  y avoir des conséquences majeures à long terme sur les modèles macro-économiques autour de la finance.

L’authentification des utilisateurs

Les acteurs AIS et PIS doivent être identifiés et agréés et leurs systèmes de sécurité actuels doivent garantir la sauvegarde et la confidentialité des données de leurs utilisateurs. De même, l’authentification des utilisateurs doit être gérée pour garantir la sécurité et doit permettre à la banque de savoir que c’est l’AIS ou le PIS qui se connecte pour le compte du client, ce qui n’est aujourd’hui pas le cas.

L’équation est complexe à résoudre car la première force des AIS et des PIS est d’être totalement simple et de passer par le système d’authentification existant en le rendant encore plus simple. Cela signifie qu’il n’y a aucune procédure pour identifier le client autre que d’enregistrer ses identifiants de connexion. N’importe quel utilisateur*** peut donc connecter l’ensemble de ses comptes en quelques secondes (ou exécuter un virement).

L’authentification forte peut être imposée mais uniquement dans les cas d’écritures et potentiellement à la première connexion en lecture (les autres connexions en lecture par l’AIS pour le compte du client doivent être simples et ne doivent pas nécessiter la présence du client sous peine de tuer des usages clés de AIS comme les alertes bancaires).

Il est donc totalement nécessaire que l’utilisateur final n’ait pas besoin pour utiliser les services d’un AIS ou d’un PIS de plus d’éléments que ce qu’il possède aujourd’hui à savoir ses identifiants bancaires.

Par Clément Coeurdeuil, co-fondateur de Budget Insight
* Statistiques du nombre d’utilisateurs de Linxo et Bankin, les principaux PFM indépendant Français
** Statistiques du nombre d’entreprises connectées aux APIs de Budget Insight et Bankin, les principaux fournisseurs d’API bancaire indépendants
***23% des utilisateurs sont multi-bancarisés