Bruxelles fait décidément feu de tout bois dans le domaine des paiements autour de trois questions : le paiement instantané, l'euro numérique et la révision de la directive européenne sur les paiements (DSP2).

Sur le virement instantané, la Commission a publié une proposition de règlement en octobre dernier. L'euro numérique fait l'objet de deux propositions de règlements publiées ce mercredi 28 juin. Et c'est également aujourd'hui que la Commission européenne vient de pondre, pas un, mais trois textes pour donner un nouvel élan à l'open banking en Europe, en clair, surmonter pour l'essentiel les frictions entre les banques et les fintechs sur l'accès aux données bancaires.

 « Ce n'est pas une révolution mais une évolution de l'actuelle directive européenne sur les paiements, DSP2 », résume Richard Boutet, directeur des relations institutionnelles de Bridge, spécialiste de l'open banking B2B. En fait de révision de la directive, la Commission a procédé en deux temps. Tout d'abord, elle propose une proposition législative sur les services financiers, Payment Services regulation (PSR), qui vise à mieux formaliser l'accès aux données financières, conformément aux grands principes de la DSP2, adoptée en 2015 et entrée en vigueur en 2018. Objectif : rappeler aux parties prenantes les obligations de chacun en matière de paiement et redonner à l'autorité de supervision davantage de pouvoir pour surveiller la bonne application des textes européens.

Une directive imparfaitement appliquée

Selon cette directive, les banques ont l'obligation de donner accès aux données relatives au paiement, et ce gratuitement au travers d'API (interface de programmation). En contrepartie, les acteurs qui bénéficient de cet accès, des fintechs pour l'essentiel, doivent répondre à des règles de sécurité et de conformité et donc être agréés auprès d'une autorité de supervision nationale (Autorité de contrôle prudentiel et de résolution - ACPR- en France). Grâce à ce texte fondateur, un écosystème entier de fintechs a vu le jour en quelques années, stimulant la concurrence et l'innovation dans les paiements. C'était le but recherché. Sans DSP2, pas de fintech possible.

Pourtant la publication d'un nouveau texte législatif souligne en creux que la directive DSP2 n'était pas complètement appliquée par les banques. En clair, les fintechs reprochent une certaine mauvaise volonté des banques à ouvrir leurs données clients, soit en multipliant les obstacles techniques, soir en proposant des API qui ne garantissaient pas forcément une pleine accessibilité du service, autrement dit, un standard de qualité au moins équivalent à celui de la carte bancaire.

Lire aussiL'euro numérique va devenir une monnaie légale, mais pour quoi faire ?

En septembre 2021 dans un entretien au journal Les Echos, Nicolas Théry, président du Crédit Mutuel et alors président de la Fédération bancaire française (FBF) avait lancé une violente charge contre l'open banking, avec un risque de « marchandisation des individus et de leurs données personnelles ». Toutefois, les banques ont compris que l'open banking avait modifié en profondeur le monde des paiements et certaines s'y engagent et investissent dans de nombreuses fintechs.

API « business »

D'autres adoptent des stratégies de contournement en proposant des API « business » - en clair améliorées et payantes- à certains prestataires sous contrat, en laissant les API « de base » aux communs des mortels. Il existe également des API « premium » qui offriraient des services à valeur ajoutée (avec un modèle d'affaires derrière) mais elles sont encore peu développées.

« Ces API permettent aux banques de garder la main dans le cadre d'une contractualisation alors qu'elles n'offrent finalement guère plus que les API gratuites si ces dernières étaient conformes à l'esprit de la directive », explique un expert des paiements. Bref, le nouveau texte entend remettre un peu d'ordre en incitant davantage les banques à mettre en place des interfaces de meilleure qualité, avec des critères de performances. Le texte prévoit également une meilleure visibilité pour le consentement du consommateur - ce dernier doit obligatoirement donner son accord pour qu'un tiers accède à ses données bancaires. Il est ainsi prévu de mettre en place un tableau de bord d'autorisation pour permettre au consommateur de s'y retrouver.

Sur la révision de la directive elle-même, qui deviendra la DSP3, la Commission européenne souhaite notamment harmoniser le cadre légal dans lequel peut s'exercer le contrôle des pratiques et les éventuelles sanctions. Concrètement, en France, l'ACPR voit son périmètre d'intervention mieux défini alors que le texte de la DSP2 était relativement vague sur le sujet de la supervision. Le texte supprime également un certain nombre d'obstacles à l'accès aux données bancaires, mis en place par certaines banques.

Le monde de l'épargne ciblé

Enfin, dans une troisième proposition, la Commission européenne prépare l'étape suivante à « l'open banking » en proposant l'ouverture des données de l'ensemble des comptes d'épargne ou d'investissement, et non plus seulement le compte bancaire. Les fintechs pourront donc avoir accès à l'ensemble des données financières d'un client, sur tous types de produits, du Livret A au plan d'épargne en actions (PEA), en passant par l'assurance-vie ou le plan d'épargne retraite (PER). Seules les données médicales ne seront pas accessibles.

Ce texte est structuré de la même façon que le principe de l'open banking, avec une gratuité des API, sans contrat avec les fintechs qui devront toujours être agréées par le superviseur.

Pour l'heure, il est encore trop tôt pour mesurer l'impact de cette ouverture sur le système bancaire ou financier ou assuranciel. Sur le respect des données personnelles, c'est pour l'heure le Règlement général (RGPD) qui devrait s'appliquer en attendant peut-être de nouvelles réglementations ou une révision de la directive sur les marchés financiers (Mifid).

Un travail de titan

« Les technologies évoluent très vite et il est assez logique que toutes les réflexions fassent l'objet de communications ou de réglementations. C'est plutôt bon signe pour le secteur des paiements qui a besoin d'être encadré », estime Richard Boutet.

Reste que le travail ne fait que commencer avec la publication de ces propositions. Il y aura encore une phase de travail assez active avec les différents lobbies, en France à Bercy et à Strasbourg au Parlement européen.

Au total, depuis la DSP2, la Commission européenne aura, en huit ans, multiplié les textes sur la lutte contre la fraude, la confidentialité des données, défini une stratégie dans le cadre de la Stratégie des paiements de détail (RPS), mis en place l'authentification forte, publié un paquet de règles sur la finance digitale (Digital Services Act et Digital Market Act) proposé à la fois le paiement instantané ou l'euro numérique. Le paiement fait bien partie des priorités de la Commission européenne.

Lire aussiL'euro numérique va devenir une monnaie légale, mais pour quoi faire ?