État des lieux : la PSD2 en 2021

Mais avant, revenons sur la directive qui a précédé la PSD2 : la Payment Services Directive (PSD). Le concept de cette directive est né au début des années 2000. La loi a ensuite été votée en 2007 et mise en pratique dans les années qui ont suivi. L’objectif était d’harmoniser les dispositions en matière de paiements au sein de l’UE et de l’EEE, en protégeant également mieux les clients. En ligne de mire : l’espace unique de paiement en euros (Single European Payments Area – SEPA). Cet espace définit les frais de transaction, les règles de remboursement pour les débits directs B2B et B2C, etc. Cette nouvelle réglementation a fait émerger de nouveaux acteurs sur le marché, qui ont proposé de nouveaux types de services. Ceux-ci ne rentraient pas dans le champ d’application de la PSD, et n’étaient donc pas réglementés comme il se doit. Par exemple, de nouveaux services de paiement et d’open banking ont vu le jour. C’est pour combler cette lacune juridique que la PSD2 a été adoptée. Revenons à présent à notre PSD2.

La SCA a pour but de contrer la fraude et de rendre les paiements en ligne plus sûrs. Ainsi, pour réaliser un paiement en ligne, il faut au moins 2 des éléments suivants :

• Quelque chose que le client connaît (par ex. un code PIN)
• Quelque chose que le client possède (par ex. un digipass ou lecteur de carte)
• Quelque chose qui identifie le client (par ex. une empreinte digitale)

Nous avons à peu près tous expérimenté ce genre de procédure en faisant du shopping en ligne. Pour compliquer les choses, il existe de nombreuses exceptions, mais en règle générale ces exigences doivent être respectées pour tous les paiements en ligne supérieurs à 30 €, initiés par les clients, au sein de l’UE ou de l’EEE. Les débits directs ne relèvent donc pas du champ d’application de la SCA.

Dans la pratique, de nombreux commerçants ont une opinion plutôt négative face à ce qui n’est, en fait, qu’une forme d’identification à 2 facteurs. Leur argument est que ces étapes supplémentaires diminueront les taux de conversion, c’est-à-dire que les internautes seront moins enclins à faire des achats en ligne. Un rapport stipule que « la SCA pour la PSD2 pourrait coûter aux commerçants plus de 100 milliards d’euros en 2021 ». Reste à voir si cette prévision se confirmera. Une chose est sûre : il devient essentiel, pour les commerçants, de définir des stratégies SCA, tandis que les fournisseurs de services de paiement profitent d’opportunités professionnelles.

Du côté des institutions financières, l’impact devrait être relativement limité, du moins au niveau informatique étant donné que de telles méthodes de paiement en ligne sont souvent externalisées. Prenez Apple Pay, Visa, MasterCard, AmericanExpress et autres. Tous doivent se conformer à la SCA, ce qui signifie que les banques peuvent en grande partie miser sur le fait que cela sera géré par des tiers. La SCA diminuera probablement les cas de fraude, réduisant ainsi le nombre de dossiers de fraude à traiter par les institutions financières, ce qui est un point positif.

L’open banking consiste à partager des données financières, comme les transactions des clients, en dehors de la banque dont ces données sont issues. Pour protéger les clients, le système de gestion des préférences est essentiel. L’open banking permet des applications comme le regroupement de comptes, qui consiste à rassembler sur une seule plateforme toutes les données relatives aux clients provenant de comptes éventuellement répartis auprès de plusieurs banques, ainsi qu’une meilleure évaluation du risque de crédit pour les prêteurs. Pour résumer, des informations supplémentaires créent de nouvelles opportunités (professionnelles).

Bien qu’un rapport de 2017 révèle que 90 % des banques interrogées estiment que l’open banking entraînera une croissance organique de 10 %, la réalité fait plutôt état d’une grande résistance de la part des banques. En effet, pour que l’open banking soit un succès, il faut un nombre réduit de normes, et idéalement une seule norme. Si tous les intervenants parlent la même langue, les échanges sont nettement simplifiés. Cela permet aux nouveaux venus de proposer plus facilement des services d’open banking, puisque le capital de départ est moins important. Dans la pratique, chaque pays, et même chaque banque, applique sa propre norme. C’est légal, bien sûr, mais cela ne facilite pas le développement de l’open banking.

L’impact de l’open banking sur les institutions financières sera plus marqué. Tout d’abord, les institutions financières doivent au moins être « open banking compliant ». Dans les faits, cela passera probablement par des interfaces de programmation d’applications (API). Pour faire simple, il s’agit d’interfaces qui permettent des échanges, par exemple de données, entre différents systèmes. Ces systèmes n’ont pas besoin de savoir comment fonctionnent les autres systèmes. Ils doivent seulement savoir comment communiquer avec eux. La proposition de services est en fait un bonus qui n’est pas obligatoire. Certaines institutions financières sont simplement compliant, d’autres développent également des services d’open banking en interne, tandis que d’autres encore s’associent à des entreprises de la fintech pour proposer de tels services. L’option de s’associer à un tiers est excellente. En effet, ce tiers est spécialisé dans le domaine (contrairement à l’institution financière qui fait appel à lui) et peut proposer son produit à diverses institutions financières, profitant ainsi d’une économie d’échelle. Résultat : des coûts moindres pour les institutions financières. Au final, il s’agit d’une décision stratégique que chaque institution financière doit prendre pour elle-même.

Une autre chose importante à savoir, c’est que la PSD2 et la GDPR ne sont pas incompatibles, bien que des questions aient été soulevées quant à leur coexistence. En 2017, TriFinance a accompli une mission chez un client, qui consistait notamment à réaliser une analyse des lacunes PSD2-GDPR et à aligner l’interprétation des exigences PSD2 sur celles de la Banque nationale de Belgique. Un travail qui devait absolument être fait. Pour rappel, le European Data Protection Board (EDPB) a publié des lignes directrices à ce sujet l’année dernière, mais celles-ci ne répondent pas à toutes les questions, et ont même donné naissance à de nouvelles interrogations. La coexistence de la PSD2 et la GDPR (ou toute autre législation) est une préoccupation majeure. Et le moins que l’on puisse dire, c’est que les choses manquent de clarté.

Pour conclure, la PSD2 entraînera très probablement un certain nombre de changements au sein de la société. Mais comment aborder ces changements pour en tirer un avantage professionnel ? Tout d’abord, il faut une excellente compréhension de la PSD2, mais aussi des autres réglementations, comme la loi anti-blanchiment, ainsi qu’une connaissance approfondie du business et du marché. Dans ce contexte, l’idée est donc d’opter pour une approche holistique. Pour cela, il faut pouvoir compter sur des partenaires présentant l’expertise correcte, l’expérience nécessaire et, peut-être le plus important, le bon état d’esprit.