PSD2: Tout ce que vous dev(ri)ez savoir sur la directive européenne

PSD2 est une directive européenne qui oblige les banques implantées en Europe d’ouvrir leur infrastructure de données à d’autres banques ainsi qu’à des tiers non financiers agréés par l’Europe. Jamais entendu parler de PSD2 ? Vous n’êtes pas le seul puisque 8 Belges sur 10 sont dans la même situation. Grand temps dès lors de parfaire vos connaissances, d’autant qu’il s’agit de vos données financières.

La nouvelle Payment Services Directive (PSD2) est une directive européenne qui oblige les banques implantées en Europe d’ouvrir leur infrastructure de données à d’autres banques ainsi qu’à des tiers non financiers agréés par l’Europe. Cette directive s’appuie sur l’idée que d’une part le trafic des paiements sera moins cher et, d’autre part, que de nouveaux produits et services pourront être développés au bénéfice des consommateurs.

Un récent sondage réalisé par Profacts pour le compte de KBC auprès d’un échantillon représentatif de 958 Belges indique cependant que 8 Belges sur 10 n’ont jamais entendu parler de la PSD2. Pourtant, le citoyen aurait tout intérêt à être informé dans la mesure où il s’agit de nouvelles applis et applications bancaires exploitant ses données financières.

* Pourquoi introduire la PSD2 ?

” La PSD2 s’inscrit dans le prolongement de la première directive PSD de 2009, explique Frederik Mennes, expert en sécurité auprès de Vasco Data Security. Mennes a suivi de près le développement de cette législation tout en faisant office de consultant auprès de la Banque Centrale Européenne. Plusieurs évolutions marquantes ont induit la nécessité d’une nouvelle directive. ” Depuis 2009, le marché a vu apparaître toujours plus de nouveaux acteurs fintech offrant des services de paiement innovants. Ils ont opéré de manière non régulée. La PSD2 entend régulariser ces innovations de manière formelle, mais aussi améliorer la sécurité des paiements en ligne. Par ailleurs, la PSD2 ouvre la porte à des services de paiement globaux “, explique Mennes.

* Qu’est-ce qui change concrètement avec la PSD2 ?

La PSD2 comprend 2 volets. D’une part, tout ce qui concerne l’Account Information Service (AIS). Cela signifie qu’une banque ou une entreprise peut consolider les informations de différents comptes bancaires. En tant que client, vous recevez un aperçu complet de tous les comptes que vous possédez auprès des différentes banques. Mais ce faisant, une banque peut aussi savoir quels comptes à vue vous possédez. ” A noter qu’il ne s’agit que de comptes à vue, insiste Frederik Mennes. Les comptes d’épargne ou à terme ainsi que les autres comptes d’investissement ne tombent donc pas sous la réglementation PSD2. ”

Le deuxième volet concerne le Payment Initiative Service (PIS), à savoir des services comparables à ceux aujourd’hui déjà proposés par iDeal aux Pays-Bas ou Sofort en Allemagne notamment. Ce faisant, d’autres acteurs que votre propre banque peuvent avoir accès à votre compte à vue et initier directement des transactions. ” Dans le cas d’une institution non financière, cet acteur devra certes encore demander une licence à l’Europe “, souligne Mennes. De nombreux acteurs de l’e-commerce devraient le faire.

” Supposons qu’Amazon dispose d’une telle licence. Vous ne devrez dès lors plus payer avec une carte de crédit puisqu’Amazon pourra traiter directement le paiement via votre compte à vue “, précise Mennes qui ne cite pas Amazon par hasard. ” Je m’attends certainement à voir Amazon demander une telle licence de PIS. Leurs coûts pourront ainsi être sensiblement réduits sachant que les cartes de crédit et les paiements par PayPal sont relativement chers. ”

* N’importe quelle entreprise pourra-t-elle jouer le rôle de banque ?

Tous les acteurs de l’e-commerce, les plates-formes de médias sociaux, les géants de l’Internet, les entreprises fintech et toute autre entreprise intéressée pourra offrir des services de paiement à condition d’obtenir une licence. ” Les conditions sont certes rigoureuses pour se voir attribuer une telle licence, remarque Frederik Mennes. Ainsi, les exigences en matière de sécurité sont relativement strictes. Cela signifie que tous les acteurs (de l’e-commerce) ne satisferont pas et de loin à ces exigences. ”

Reste qu’il est clair que pour les grands acteurs, il s’agit là d’une opportunité de simplifier le processus de paiement de l’acheteur, mais aussi de mettre la main sur vos données financières.

Frederik Mennes s’attend d’ailleurs à voir également Facebook demander une licence pour intégrer des services financiers dans WhatsApp, Messenger et Facebook. Voici quelques mois d’ailleurs, Facebook a lancé au Royaume-Uni la possibilité de payer via Messenger. Et en Chine, WeChat se profile depuis longtemps comme une appli globale intégrant des possibilités de paiement. Par ailleurs, il est certain que Google devienne également Payment Initiative Service Provider, notamment sur base de Google Pay. Reste que selon Mennes, ce n’est pas vraiment votre confort de paiement qui intéresse ces acteurs. ” Leur objectif est double. Intégrer des services de paiement sur leur plate-forme fait en sorte que les utilisateurs passent davantage de temps sur ces systèmes. Mais par ailleurs, ils entendent aussi exploiter les données financières de leurs clients. Ainsi, en combinant ces données à celles dont ils disposent déjà, ils peuvent proposer des publicités encore plus ciblées. ”

Plus près de chez nous, il est aussi fort probable que des distributeurs de type Delhaize ou Colruyt y songent également. En effet, s’ils veulent offrir eux-mêmes ce service de paiement, c’est certainement pour les données transactionnelles ainsi générées. ” Leur valeur est importante, déclarait récemment Maarten Peeters, expert cognitif en banque transactionnelle auprès de Boston Consulting Group, à nos collègues de Moneytalk. Celui qui dispose de données de paiement peut aussi savoir combien vous gagnez, où et combien vous dépensez chaque mois en alimentation et vêtements, combien de fois par an vous réservez des vacances, mais aussi de quel distributeur d’énergie ou boutique en ligne vous êtes client et combien vous épargnez par mois. ” Qui plus est, ces données peuvent être analysées de manière relativement aisée.

* Ma banque peut-elle communiquer simplement mes données à des tiers ?

Non, évidemment pas. En tant que consommateur, vous devrez toujours donner votre autorisation avant que vos données de compte(s) à vue soient transmises à des tiers par le biais du fameux ‘consentement’. Mais le problème majeur est que la PSD2 ne définit aucune granularité – c’est donc tout ou rien – et que le client ne sache pas suffisamment bien de quelles données il s’agit. C’est précisément la raison pour laquelle les banques belges lancent désormais des campagnes d’information à l’intention de leurs clients. Une fois que vous avez donné votre autorisation, le tiers pourra disposer des données suivantes sur votre(vos) compte(s) à vue : numéro de compte, nom et dernière opération. ” Mais une fois l’autorisation donnée, ce tiers pourra aussi voir toutes les opérations que vous ferez par la suite “, avertit Geert Van Mol, chief digital officer de Belfius. Pour reprendre l’exemple d’Amazon, cela signifie que l’entreprise verra également les achats que vous avez effectués auprès d’e-boutiques concurrentes. Ou si Google offre un tel service PIS, elle pourra consulter toutes vos opérations bancaires et les combiner éventuellement à d’autres données (de profils). Reste que certains esprits méfiants pourraient aujourd’hui déjà se demander si Google ne le fait pas déjà avec Google Pay (le service de paiement sans contact pour smartphones, naguère encore connu sous le nom Android Pay).

* Les banques belges sont-elles prêtes ?

Oui et non. La plupart des grandes banques belges sont déjà largement avancées, mais l’implémentation n’est pas encore terminée. Les API d’échange de données doivent encore être fournies. ” Le gros problème est qu’il n’y a pas de standards clairs pour assurer un échange sécurisé des informations nécessaires, ” souligne Geert Van Mol (Belfius). ” L’Europe a certes défini le cadre global, mais n’a fixé aucun critère technique sur la manière dont les informations doivent être échangées “, ajoute Erik Luts, chief innovation officer de KBC Groep.

C’est précisément pour cette raison que l’Europe a prévu une période transitoire. ” Ce délai court jusqu’en septembre 2019. A cette date, toutes les API doivent être disponibles “, explique Erik Luts. Jusqu’à cette échéance, il faudra encore peaufiner le travail. C’est ainsi que KBC s’appuie sur la technologie screen scraping pour connecter les comptes à vue d’autres banques. En d’autres termes, le logiciel copie les données qui lui sont communiquées sur écran, une sorte de tour de passe-passe créatif qui sera littéralement interdit par l’Europe dès la fin de la période transitoire. Cette même technologie de screen scraping est aussi utilisée aujourd’hui par des services de paiement comme Sofort – et notamment aussi dans notre pays pour effectuer un paiement sur des boutiques en ligne allemandes comme Conrad.

* Que proposent les banques belges ?

La PSD2 intéresse non seulement des tiers, mais aussi les banques elles-mêmes. ” Les banques sont obligées d’ouvrir les données de leurs comptes à vue, mais les données des produits d’investissement, des comptes à terme et d’épargne et des assurances ne sont pas concernées, note Frederik Mennes. Je m’attends à voir les banques proposer des services supplémentaires à ce niveau afin de se démarquer, mais peut-être aussi qu’elles cherchent à les monnayer comme une nouvelle sorte de source de financement. ” Même si tel ne sera pas le cas chez Belfius. ” Nous n’allons jamais vendre des données de nos clients à des tiers, que ce soit clair “, affirme un Geert Van Mol catégorique.

Belfius a été la première grande banque belge à faire une annonce autour de la PSD2 fin 2017. Concrètement, les clients pourront y ajouter bientôt leur(s) compte(s) à vue auprès d’autres banques via l’un des canaux numériques : Belfius Mobile, Belfius Tablet ou Belfius Direct Net. Ceci leur permettra d’avoir une vue globale de l’ensemble de leurs comptes à vue, de leurs soldes et de leurs transactions. De plus, les clients pourront effectuer tous leurs virements à partir de tous leurs comptes. Toutefois, Belfius ne précise pas quand les nouvelles applis et la fonctionnalité supplémentaire seront disponibles. ” Mais notre appli sera la première à être disponible “, fait remarquer Erik Luts de KBC. A partir du 20 mars en effet, KBC propose une appli multibancaire qui permettra au client d’ajouter les comptes d’autres grandes banques comme BNP Paribas Fortis, ING, Argenta ou Belfius. Mais dans un premier temps, seul le solde sera consultable. ” A partir de mai, nous ajouterons les paiements via des comptes d’autres banques “, dixit Luts.

Pour associer les comptes, vous aurez d’ailleurs encore besoin du lecteur de carte de votre(vos) banque(s). ” A terme, le service d’identification mobile ITSME sera certainement ajouté “, note Luts lorsque nous évoquons non sans surprise le lecteur de carte.

Tant Belfius que KBC semblent en tout cas décidées à doter leurs applis de nouvelles fonctionnalités destinées à éviter que les utilisateurs ne se tournent vers des alternatives. C’est ainsi que KBC a décidé non pas d’adopter une position purement défensive, mais de considérer le PSD2 comme une opportunité. Pour preuve, la banque a intégré la fonctionnalité de Monizze (chèques-repas électroniques) et l’appli de parking 4411 dans son appli bancaire. Elle est par ailleurs en discussion avec d’autres acteurs, dont de très nombreuses sociétés fintech, mais refuse de s’étendre sur le sujet. En outre, KBC s’intéresse de près aux logiciels comptables. ” Nous misons sur la pertinence. En améliorant la pertinence de notre appli, nous estimons pouvoir continuer à convaincre le client et repousser la concurrence des WeChat, Facebook, Google et consorts “, conclut Luts.

* Quelle est l’ampleur des investissements IT ?

Pour être pleinement conformes à la directive PSD2, les banques belges doivent donc investir dans l’IT. Et ces investissements sont de taille. ” La consolidation de comptes à vue peut paraître triviale, mais n’est en réalité nullement simple “, analyse Geert Van Mol (Belfius). Et il ne cache pas que l’investissement total de Belfius se situe entre 3 et 5 millions ?. ” Et le travail n’est pas terminé. Précisons pour être clair qu’il ne s’agit pas uniquement des obligations légales pour être conforme, mais aussi de la valeur ajoutée que nous entendons offrir. Nous n’adoptons pas une stratégie défensive, mais y voyons aussi une opportunité “, dixit Van Mol.

La difficulté et le coût des projets IT s’explique non seulement par le manque de standardisation des solutions, mais aussi par les attentes du client moderne. Geert Van Mol : ” Nous avons constaté qu’un client ne veut attendre que 3 secondes au maximum pour une information. Cela signifie que nos plates-formes doivent être particulièrement performantes et que tout doit se charger rapidement. Je peux vous dire que ce n’est pas évident lorsqu’il faut charger les données de compte d’autres banques. ”

* Qu’en est-il de la sécurité ?

Les paiements en ligne par carte de crédit génèrent toujours de nombreuses fraudes. Avec la PSD2, l’Europe espère réduire la fraude lors des paiements en ligne. ” Pour ce faire, l’Europe propose d’imposer une authentification forte à la personne qui effectue le paiement “, note Frederik Mennes. Les jetons matériels, solutions logicielles et applications biométriques sont autorisées, avec au moins utilisation de 2 techniques qui soient interconnectées. ” En général, on commence par un jeton matériel ou une appli mobile. Ensuite, une technique connue pour l’utilisateur, comme un code PIN ou un mot de passe choisi librement. Enfin, des caractéristiques biométriques comme une empreinte digitale ou la reconnaissance de l’iris ou de la voix “, explique toujours Mennes.

* Facebook, Google ou Amazon seront-elles votre prochaine banque ?

De très nombreux observateurs technologiques s’attendent à une lutte serrée entre les banques traditionnelles et les géants technologiques, surtout américains. Mais les banques belges se disent prêtes à monter au créneau et affichent une grande confiance. ” Nous sommes convaincus que dans les 5 prochaines années, les acteurs tiers seront confrontés à nombreux problèmes de vie privée et de sécurité, croit savoir Geert Van Mol (Belfius). Certes, les géants technologiques recruteront des collaborateurs, mais je suis certain que beaucoup devront faire marche arrière en raison de problèmes de sécurité et de vie privée. Ce n’est pas pour rien que nous consacrons 10 % de notre chiffre d’affaires annuel à la sécurité. ”

” La confiance est au centre du débat, estime Luts (KBC). Les clients vont exiger toujours plus de clarté autour de la vie privée et de l’utilisateur de leurs données. Nombreux sont ceux qui nous [les banques en général, NDLR] ont annoncé notre mort à plusieurs reprises, estimant que les géants technologiques allaient nous laminer. Mais tout est une question de confiance et c’est là que nous entendons faire la différence. Dans les 5 à 10 prochaines années, la confiance sera notre point fort majeur. Tout comme ce fut d’ailleurs le cas voici 400 ans “, conclut le chief innovation officer de KBC.