PSD3 : ce que cela signifie pour les banques, les fintechs et les petites entreprises

Le troisième volet de la directive européenne sur les services de paiement approche à grands pas et devrait entrer en vigueur dans les 18 prochains mois.

Décrite comme « une évolution et non une révolution », la nouvelle version promet de s'appuyer sur les réglementations existantes, généralement considérées comme efficaces. Néanmoins, il s'agit d'une question importante pour les banques et les prestataires de services financiers, qui doivent être prêts. 

Ce qui devrait changer :

• Une plus grande importance accordée à l'ouverture des services bancaires et au partage des données financières
• Davantage de protections pour les consommateurs, notamment en matière de fraude
• Des initiatives visant à promouvoir la compétitivité entre les banques et les établissements non bancaires.

Cet article détaille les nouvelles règles qui devraient être mises en vigueur, l'historique des réglementations de la DSP, et ce que tout cela signifie pour les banques et les fintechs en particulier.

Qu'est-ce que la DSP3 ?

DSP est l'acronyme de Délégation de Service Public. La DSP3 est une directive qui réunit un ensemble de règles régissant les prestataires de services de paiement dans l'UE. Elle protège les données et les droits des consommateurs et favorise l'ouverture de l'environnement bancaire dans lequel les paiements et les services financiers opèrent en Europe. 

En parallèle de la directive DSP3, l'Union européenne doit également mettre en place le Règlement sur les services de paiement (RSP). Ce nouveau règlement reprend les principes de la DSP2, mais avec une différence majeure : il ne s'agit plus seulement d'une directive, mais d'une loi directement applicable dans tous les États membres de l'UE, renforçant ainsi son impact et son uniformité à travers l'Union, suite au succès de la DSP2.

Directive ou règlement ?

L'UE dispose de deux formats pour les changements législatifs : 

• Les directives sont des lignes directrices que les États membres doivent suivre lorsqu'ils élaborent leurs propres lois et règlements.
• Les règlements sont des lois exécutoires qui s'appliquent automatiquement à tous les États membres une fois adoptées. 

La DSP3 est une directive. Cet ensemble de lignes directrices n'a pas automatiquement force de loi au niveau national, mais les États membres devront s'y conformer lorsqu'ils établiront leurs propres règles. Cela permet aux États membres de tester les nouvelles règles au niveau national et d'en rendre compte, avant qu'elles ne deviennent des lois au niveau de l'UE. 

Bref historique des directives DSP

DSP1 (2009)

La première directive sur les services de paiement avait pour objectif de créer un marché unique des paiements de détail en Europe, en simplifiant et en sécurisant les transactions transfrontalières. Grâce à cette directive, envoyer des paiements entre les États membres est devenu aussi simple que de réaliser des paiements au sein de chaque pays.

La DSP1 a créé une nouvelle catégorie de prestataires de services, les « établissements de paiement », également appelés « prestataires de services de paiement » (PSP). Cette désignation autorise officiellement les établissements non bancaires à fournir des services de paiement et définit les conditions dans lesquelles ils peuvent le faire. 

Auparavant, les entreprises et les consommateurs étaient largement limités aux produits fournis par les banques. De nouveaux entrants ont pu rejoindre le marché, et des services spécialisés ont commencé à apparaître.

La DSP1 a introduit deux autres changements importants : 

• Les prestataires de services ont dû être plus transparents sur leurs frais, les taux de change et le temps nécessaire à certaines actions.
  
  
• L'infrastructure SEPA a été accélérée, ce qui a rendu les paiements intra-européens plus rapides. 

Cela a permis de jeter les bases de l'innovation en matière de paiement dans l'UE et de donner naissance à toute une série de nouvelles fintechs. 

PSD2 (2018)

La DSP2 a mis à jour et consolidé la DSP1, en mettant l'accent sur un partage plus ouvert des données et sur les actions des tiers. Pour ce faire, elle a introduit deux nouvelles catégories de prestataires de services : 

• Fournisseur de services d'information sur les comptes (AISP) : ces tiers peuvent consolider et communiquer les données des comptes bancaires en lecture seule. Il peut s'agir d'outils de veille stratégique ou de logiciels de budgétisation, par exemple.
  
  
• Prestataires de services d'initiation de paiement (PISP) : Les PISP peuvent initier des paiements vers et depuis des comptes bancaires au nom d'une personne ou d'une entreprise. Il peut s'agir, par exemple, d'un logiciel de paie que vous utilisez pour payer vos employés. Les fonds se trouvent sur le compte bancaire de votre entreprise, mais vous pouvez programmer les paiements directement par l'intermédiaire de cet outil de gestion des ressources humaines. 

Les données financières étant désormais ouvertes et partagées plus largement, la DSP2 a également imposé une sécurité accrue et une authentification forte des clients.

Ces changements clés ont essentiellement créé la « banque ouverte » en Europe. Les particuliers et les entreprises peuvent désormais effectuer toute une série de tâches bancaires sans avoir à se connecter à leur banque ou à s'y rendre.

Et nous avons vu un grand nombre d'entreprises fintech prometteuses et prospères innover dans ce domaine. 

PSD3 ET PSR (2026 ?)

La DSP3 s'appuie sur les éléments déjà réussis de la DSP2, avec quelques points clés pour cette itération : 

• Protection contre la fraude : Les PSP devront vérifier que les IBAN correspondent à l'utilisateur identifié pour les virements à travers l'Europe.
  
  
• Un accès plus facile aux services bancaires pour les prestataires de services de paiement : Les banques devront donner des raisons claires si elles refusent d'accorder l'accès à leurs services aux prestataires de services de paiement. Cela rend les services bancaires plus ouverts et crée des connexions supplémentaires entre toutes les formes de fournisseurs.
  
  
• Davantage de possibilités de remboursement pour les consommateurs. Les clients qui sont victimes d'escroqueries ou qui sont signalés à tort comme étant à risque peuvent avoir droit à des remboursements. 

Comme indiqué ci-dessus, le PSR codifiera la majeure partie de la directive PSD2 existante en règlement, ce qui signifie que ces règles feront désormais partie du droit européen. 

Les directives DSP3 et PSR devraient être finalisées en 2025 et entrer en vigueur en 2026.

La DSP3 pour les banques : des services bancaires encore plus ouverts

Les impacts les plus importants de la DSP3 proviendront probablement de l'augmentation de l'accès et du partage des données. De nombreux changements réglementaires incombent aux banques, afin de les encourager à laisser entrer les nouveaux acteurs de la fintech. 

Ces changements sont les suivants : 

• Les PISP et les AISP seront autorisés à construire et à connecter leurs propres interfaces aux banques et aux autres institutions financières.
  
  
• Les banques devront fournir des informations supplémentaires sur leurs API et leurs performances, afin que les tiers puissent facilement choisir les institutions avec lesquelles s'associer.
  
  
• Les banques devront également garantir (et prouver) que leurs services restent disponibles. Dans certains cas, les entreprises pourront récupérer les dommages causés par les faillites des banques.

Si les banques choisissent de ne pas donner accès à leurs services, il leur incombe d'expliquer cette décision. 

Certains des changements à venir auront un impact plus limité sur les banques. Ce sont les nouveaux acteurs qui étendent leurs services financiers et accèdent à davantage de données qui devront s'adapter. 

La DSP3 pour les fintechs et les places de marché : plus de diligence en matière de fraude

À mesure que l'accès au système financier augmente, les risques potentiels de fraude augmentent également. Les banques sont déjà très réglementées et disposent de systèmes robustes pour lutter contre la fraude. Mais de nouvelles obligations s'imposeront aux PSP et aux tiers pour s'assurer qu'ils vérifient les identités de manière adéquate et qu'ils intègrent des clients dignes de confiance. 

En bref, davantage de parties devront mettre en œuvre des pratiques d'authentification forte des clients (SCA). Les fournisseurs devront également sensibiliser leurs clients aux risques de fraude, en particulier lorsque les utilisateurs sont incités à effectuer des paiements non désirés ou illégaux. Cette formation est déjà courante dans les banques et devra bientôt être assurée par un groupe plus large de prestataires.

Le point le plus important est peut-être que les prestataires de services de paiement seront responsables s'ils ne prennent pas de mesures contre la fraude.

À qui cela s'applique-t-il ?

Cela inclut les plateformes fintech qui remplissent en partie des rôles bancaires : les outils de gestion de la trésorerie et des dépenses par exemple.

Elle s'appliquera également aux places de marché qui pouvaient auparavant prétendre être de simples « agents commerciaux », c'est-à-dire faciliter les paiements sans les fournir réellement. La DSP3 a resserré la définition et les places de marché et les prestataires de services de paiement sur lesquels elles s'appuient seront désormais couverts. 

Comment les banques doivent-elles se préparer à la DSP3 ?

Comme indiqué ci-dessus, la DSP3 est un changement progressif et non une réécriture complète des règles existantes. Les banques ne doivent donc pas s'attendre à de grands bouleversements. 

Mais les propositions actuelles de la DSP3 indiquent clairement ce que les régulateurs européens attendent du secteur : 

• Continuer à mettre l'accent sur la protection des consommateurs
• Plus d'innovation, plus de concurrence et plus de collaboration

Les banques prennent déjà très au sérieux la fraude et le phishing, et les nouveaux changements ne devraient pas les perturber. Mais les banques devraient examiner de près les tiers avec lesquels elles travailleront de plus en plus. Choisir des partenaires fintech réglementés permet de se prémunir contre les impacts sur la réputation qui pourraient survenir si et quand les tiers ont des problèmes. 

Cela nous amène au deuxième point, plus important : si elles ne le sont pas déjà, les banques doivent être prêtes à s'associer à des entreprises fintech. Les consommateurs réclament une expérience bancaire plus facile, et les régulateurs obligent les banques à la leur fournir. 

Comme l'écrit le directeur général de Société Générale Factoring ‍Aurélien Viry, « la technologie fait croître les attentes des consommateurs. Le niveau d'exigence s’élève. Les banques doivent désormais s’intégrer à de nombreux systèmes et références externes, ce qui représente un investissement majeur, en temps et en argent.

« Les nouvelles opportunités résident dans l'architecture ouverte — le Banking-as-a-Service. Les banques peuvent se concentrer sur la distribution de certains services et laisser les fintechs et les nouveaux acteurs en être les producteurs. Les banques pourront ainsi proposer ces nouveaux services à leurs clients, même si ces derniers ont été créés et traités par d’autres. » 

Adopter la banque ouverte

L'Union européenne est pleinement engagée dans sa campagne en faveur de l'ouverture bancaire. Outre la DSP3, les législateurs travaillent également sur le règlement relatif aux paiements instantanés (IPR) et sur la proposition relative à l'accès aux données financières (FIDA). L'objectif est de « partager les données financières et de promouvoir l'ouverture financière au-delà de l'ouverture bancaire, afin de renforcer la concurrence dans les services financiers ».

Si pour une raison ou une autre certaines banques souhaitent garder toutes les données sous clé, cela ne sera pas possible. Les réglementations sont là pour créer des flux de données ouverts. 

L'opposition à l'ouverture des services bancaires passe à côté d'un point essentiel : c'est une bonne chose pour les entreprises. Les services financiers ne peut que devenir moins chers, plus simples et mieux ciblés.

« La banque ouverte est une perspective très excitante, » déclare Patrick Brett de Citi. « Elle crée des ensembles de données qui, auparavant, n'étaient accessibles qu'à une seule banque à la fois. Les emprunteurs peuvent donner accès à leurs comptes et à des sources de données que les banques peuvent utiliser pour octroyer des prêts de manière beaucoup plus efficace. Cet accès aux données et leur utilisation changent tout. »

S'attendre à des coûts de mise en conformité supplémentaires

Même si les changements ne sont pas révolutionnaires, la DSP3 et la RSP nécessiteront des processus de réautorisation importants et la conformité à de nouvelles règles de surveillance. Leur mise en œuvre nécessitera du temps et de l'argent. 

Des réglementations supplémentaires signifient également la possibilité d'un plus grand nombre de violations et d'amendes. Les banques devront prendre des mesures de gestion des risques renforcées, y compris des stratégies pour lutter contre le risque accru de fraude. 

En outre, la création des conditions d'ouverture bancaire et l'élargissement de l'accès à l'API nécessiteront du développement. 

Il est à espérer que la charge financière ne sera pas trop élevée par rapport aux itérations précédentes. Mais certains ne manqueront pas d'y trouver à redire. 

Innover grâce à la collaboration

L'UE a clairement indiqué que son objectif était de « niveler davantage les conditions de concurrence entre les banques et les établissements non bancaires » et qu'elle obligeait essentiellement les banques à ouvrir leurs bras au secteur élargi. La meilleure façon de se préparer à cette nouvelle réglementation est de l'accueillir favorablement. 

« Les banques sont souvent tentées de tout développer en interne », explique Patrick. « mais dans de nombreux cas, les acteurs spécialisés dans le "lending-as-a-service" (prêt en tant que service) proposent déjà de meilleures solutions que les outils que les banques pourraient créer elles-mêmes. »

« Ces services sont généralement bien plus économiques et offrent une expérience utilisateur vraiment optimisée. »

La collaboration entre banques et fintechs s'intensifie

La DSP3 représente une bonne opportunité pour les banques de former des partenariats durables avec les fintechs. Les banques bénéficient de ressources financières et de données considérables, tandis que les fintechs se démarquent par leur capacité à innover rapidement et à proposer des solutions de niche répondant à des besoins spécifiques.

Defacto en est un excellent exemple. Nous nous associons à des sociétés fintech pour intégrer les prêts dans les outils de comptabilité et de gestion financière. Mais nous nous associons également à des banques pour accélérer l'expérience de prêt aux PME. En travaillant avec Defacto, les banques peuvent se concentrer sur leur activité principale.

Découvrez comment Defacto change les prêts aux PME pour les banques.