Bruxelles fixe les règles du jeu entre fintech et banques

Entre innovation et sécurité, le compromis fut délicat. La Commission européenne a adopté hier les règlements d’application (standards techniques de régulation, RTS) finaux de la deuxième directive sur les services de paiement - la DSP2, qui entrera en vigueur le 13 janvier 2018. Ces standards définissent les conditions dans lesquelles des fintech pourront se connecter aux comptes bancaires des consommateurs pour apporter leurs services. Deux volets se distinguent : l’accès aux comptes par les prestataires tiers (comme des agrégateurs), soumis à l’aval des clients, et l’authentification forte des consommateurs lors de paiements électroniques.

Sur le premier point, Bruxelles maintient sa position énoncée en mai dernier : les fintech devront accéder aux comptes courants des particuliers non plus avec la méthode du screen scraping, qui consiste à utiliser leurs codes et mots de passe, mais via des interfaces dédiées (API) construites par les banques. Ces dernières seront obligées de fournir au moins une API. Si celle-ci ne fonctionne pas – c’est-à-dire si cinq connexions échouent sur une période de trente secondes – les fintech pourront se rabattre sur le screen scraping.

Jusqu’au dernier moment, le lobby bancaire espérait éviter cette possibilité de déviation. «Les responsables politiques ne devraient pas autoriser le screen scraping même comme solution de repli, […] et devraient plutôt se concentrer sur des solutions complètement sécurisées», déclarait vendredi dernier la Fédération bancaire européenne. La limitation du screen scraping profitera tout de même aux banques : auparavant, les fintech pouvaient accéder à tous les comptes des consommateurs, mais la DSP2 oblige les banques à construire des API gratuites seulement pour les comptes de paiement. Certains établissements comptent déjà lancer des API payantes pour l’accès aux comptes d’épargne et de crédit. Début mai, 72 fintech avaient dénoncé dans un manifeste cette dépendance au bon vouloir des banques.

Combiner deux éléments d’identification

Sur le deuxième volet, Bruxelles a maintenu sa volonté d’une authentification forte lors de paiements électroniques. «Dans la plupart des cas, le simple fait d’introduire un mot de passe ou de communiquer les données indiquées sur une carte de crédit ne suffira plus pour effectuer un paiement», explique la Commission. Il faudra combiner deux éléments indépendants d’identification (une carte ou un téléphone mobile combiné avec un mot de passe ou un élément biométrique), et parfois «il sera également nécessaire d’introduire un code unique valable pour une transaction donnée». Lors d’une course Uber par exemple, le paiement ne pourra plus être déclenché automatiquement, sauf exception.

Car il existe des exemptions : pour les paiements électroniques de moins de 30 euros, les paiements sans contact en magasin de moins de 50 euros, les paiements récurrents vers un bénéficiaire connu, et enfin si une analyse par les risques a conclu que la transaction avait peu de chances d’être frauduleuse. «Ces standards sont comme un fromage suisse […] : il y a de nombreux trous», déplore dans un communiqué la directrice générale du Bureau européen des unions de consommateurs (BEUC), Monique Goyens. «Nombre de nos transactions quotidiennes seront moins sécurisées.»

Le Parlement et le Conseil européen et disposent de trois mois pour examiner ces RTS. Après publication au Journal officiel, banques et fintech disposeront alors de 18 mois pour les mettre en place, ce qui amène en septembre 2019.