DSP2 : nouveau report au 30 juin 2021

La saga DSP2 n’en finit pas. Après plusieurs reports, l’entrée en vigueur de l’authentification forte a été finalement actée au 15 mai 2021. Côté API, autre volet de la directive européenne sur les données de paiement, un nouveau report est aussi à signaler. Dans un avis du 22 février 2021, l’Autorité bancaire européenne (EBA) appelait les banques à supprimer les obstacles qui empêchent les fournisseurs tiers (les TPP) d’accéder aux comptes bancaires d’ici le 30 avril 2021. En cas de non-respect de ce délai, l’instance européenne demandait aux régulateurs nationaux de prendre des mesures de contrôle. Selon nos informations, l’Autorité de contrôle prudentiel et de résolution (ACPR) a décidé de rallonger ce délai au 30 juin prochain. Une décision prise au sein d’un groupe de travail dédié du Comité national des paiements scripturaux (CNPS), rassemblant professionnels du secteur (fédérations professionnelles, banques et fintechs) et autorités. 

“L’échéance fixée par l’Autorité bancaire européenne a bien été prise en compte et les banques qui n’ont pas tenu l’échéance fixée ont dû définir des plans de mesures correctives à court terme dont le suivi est assuré par l’ACPR en sa qualité de superviseur”, indique l’ACPR au JDN. “L’ACPR effectue à ce titre un contrôle renforcé pour s’assurer du déploiement des solutions sécurisées d’accès aux données, ainsi que sur leur conformité à la réglementation française et européenne.” Contactée parmi les banques, la Banque Postale assure au JDN que “la majorité des obstacles ont été levés. L’optimisation du parcours d’authentification depuis un TPP est prévue pour juin 2021.” Sur son site d’API, il est en revanche indiqué que les changements sont prévus entre juin et septembre 2021.

“Cela fait cinq ans que la directive est là et ça ne marche toujours pas”

Ce nouveau report n’arrange pas les acteurs tiers que sont notamment les plateformes d’open banking. “Cela fait cinq ans que la directive est là et ça ne marche toujours pas. Le sujet n’a pas été pris à la hauteur de son importance”, s’agace Joan Burkovic, CEO de Bankin’ et Bridge, sa marque BtoB.  “Le régulateur avait promis de diligenter des contrôles. Aucun établissement bancaire n’a été sanctionné”, renchérit Thomas Gousseau, ‎directeur risques et contrôle interne de Linxo. D’après le patron de Bankin’, 30% des banques françaises ont une première version “sans obstacle” disponible, sans pouvoir révéler de nom. De son côté, le suédois Tink indique que le Crédit Agricole, le Crédit Mutuel-CIC et Revolut sont conformes. 

Perte d’utilisateurs

Mais alors, qu’est-ce qui bloque ? Dans un avis du 4 juin 2020, l’EBA a recensé les différents obstacles, dont l’absence de redirection automatique de l’application bancaire vers celle de l’acteur tiers. Par exemple, si un utilisateur veut se connecter à son compte Bankin’, il est renvoyé vers l’application de la banque pour s’authentifier mais n’est pas forcément redirigé automatiquement vers l’application Bankin’. Autre contrariété : la multiplication d’étapes de contrôle et de consentements pour s’authentifier. Des détails qui rallongent le parcours utilisateur et font augmenter les taux d’abandon de leurs applications. Linxo assure que tous les 90 jours  (l’authentification est systématiquement redemandée à chaque trimestre), 25 à 30% réauthentifications n’aboutissent pas. 

“On ne peut pas construire une nouvelle base d’utilisateurs dans de bonnes conditions”

“On perd beaucoup d’utilisateurs. Et l’acquisition de nouveaux utilisateurs est désastreuse car ils n’arrivent pas à se connecter à leur banque. Et ceux qui sont déconnectés ont du mal à se reconnecter”, raconte Joan Burkovic. “Ce qui est regrettable c’est que nous avons une base fidèle d’utilisateurs très motivée à utiliser l’application car ils connaissent la valeur que ça leur apporte. Mais on ne peut pas construire une nouvelle base d’utilisateurs dans de bonnes conditions. Surtout, beaucoup ne comprennent pas qu’on n’est pas responsables de ça”, fait remarquer Van Haetsdaele, CEO de Linxo. “Il y a un problème de concurrence car l’alternative à une application comme Bankin’ est la banque”, glisse Joan Burkovic.

Ces problèmes affectent majoritairement les applications BtoC puisqu’une entreprise fera l’effort de se reconnecter pour avoir accès à son logiciel de comptabilité ou de gestion de trésorerie par exemple. Ils touchent en revanche tous les pays, même si ce n’est pas forcément au même niveau. “Sur l’ensemble des pays où nous sommes présents (18 en Europe, ndlr), le Nord est plus avancé que le Sud sur l’optimisation des parcours. Sur l’initiation de paiement par exemple, en Suède le parcours dure six secondes et dix secondes au Royaume-Uni. En France, c’est beaucoup plus long”, observe Jérôme Albus, patron de Tink en France.  

Le dernier report ?

Les TPP travaillent donc avec chaque banque pour trouver le parcours le plus court possible. Ce qui n’est évidemment ni simple ni gratuit. “Nous arrivons très bien à dialoguer avec certaines, d’autres n’ont juste pas envie. C’est compliqué de consacrer des ressources à quelqu’un qui n’a pas envie. Mais on n’a pas le choix”, regrette Joan Burkovic. Effectuer des implémentations dans l’application d’une banque n’est aussi pas simple car très technique. Il faut également passer par différents comités de sécurité et de conformité.

Il reste donc moins de deux mois aux banques pour proposer un parcours conforme à la DSP2. “J’espère que c’est la dernière date”, soupire Joan Burkovic, qui apprécie tout de même la pression exercée par le régulateur et… les e-commerçants. Ces derniers sont aussi concernés par ces problématiques d’authentification sur mobile. Plus il y a d’étapes lors d’un parcours d’achat, plus le taux de conversion chute. S’il n’y a pas de redirection automatique, c’est la même chanson. “Quand on (les TPP, ndlr) dit que les parcours ne sont pas fluides, on ne prête pas trop attention à nous. Là, les marchands commencent à gronder. Je pense que ça va bouger et qu’on va en bénéficier”, avance Joan Burkovic. Plus on est de fous, plus on agit.  

The post DSP2 : nouveau report au 30 juin 2021 first appeared on ProcuRSS.eu.