Entrée en vigueur au mois de janvier 2018, la DSP2 devait à la fois permettre de renforcer la sécurité des paiements sur Internet et de favoriser l'innovation. Une double volonté difficile à mettre en place et encore inachevée. "Les banques travaillent encore sur l'ouverture de leurs API, c'est un chantier lourd et coûteux", explique Pierre Hautenauve, senior manager au cabinet de conseil Ailancy. L'ouverture des données de paiement nécessite par ailleurs que tous les acteurs concernés soient en mesure d'interopérer les uns avec les autres. "Depuis la DSP2, 400 fintechs ont vu le jour et ont commencé à offrir des services d'open banking", observe Eric Ducoulombier, directeur général de la stabilité financière auprès de la Commission européenne. Avant d'étendre le champ des données partageables au travers de l'open finance, il faut dans un premier temps voir ce qui a fonctionné jusqu'ici.

Authentification forte

"Dans sa mise en place, l'authentification forte a amené de la friction dans le parcours client", synthétise Pierre Hautenauve. "L'authentification forte a également nécessité d'équiper les consommateurs de cartes compatibles", complète Julien Lasalle, chef du service de surveillance des moyens de paiement scripturaux à la Banque de France. Une application délicate qui a notamment contraint les sites commerçants à adapter leurs systèmes d'information pour les intégrer au processus d'authentification forte lors du règlement du panier. A défaut, les plateformes peuvent mettre en place une procédure de recours pour les encaissements inférieurs à 30 euros, ou si elles sont en mesure de justifier qu'il s'agit d'un client habitué. "Il existe aujourd'hui neuf cas d'exemption, la Commission va décider s'il est utile d'en introduire de nouveaux", précise Eric Ducoulombier. Selon les chiffres de l'Observatoire de la sécurité des moyens de paiement, la fraude aux moyens de paiement s'établit à 1,2 milliard d'euros en France pour l'année 2021. Sur la même période, l'Observatoire a recensé 28 milliards de transactions, un chiffre en hausse de 10% par rapport à 2019. Depuis l'entrée en application de l'authentification forte, le taux de fraude sur les paiements Internet a quant à lui connu une baisse de 20%.

Partage des données

Pour beaucoup, l'ouverture des données de paiement n'a pas permis d'innover comme prévu. "L'agrégation bancaire devait permettre de désintermédier les banques, mais celles-ci ont racheté la plupart des gros agrégateurs ce qui a permis d'améliorer des choses que l'on savait déjà faire comme du coaching ou du scoring credit mais sans réelle innovation derrière", explique Pierre Hautenauve. Si la DSP2 a motivé bon nombre de fintechs à se doter d'un agrément d'établissement de paiement, les banques traditionnelles ne se sont pas laissé devancer. Ainsi, presque toutes les banques en ligne proposent à leurs clients d'intégrer des données issues d'autres teneurs de comptes. C'est ce qui explique qu'un client de Boursorama puisse visualiser ses comptes Crédit Agricole sur un même portail. Les fintechs souhaitant agréger les différents comptes de leurs clients ont quant à elles du se greffer à de nouvelles interfaces développées par les établissements bancaires et qui ont permis aux acteurs bancaires d'accéder au compte client d'un autre établissement. "La mise en place de ces interfaces a pris plus de temps que prévu, notamment pour des raisons de priorité d'investissement", observe Julien Lasalle.

Pour l'initiation de paiement, là encore il y a du progrès à faire. La DSP2 permet de réaliser des virements à l'unité, à savoir lorsque le consommateur est connecté. De plus en plus d'offres d'abonnement, de paiement fractionné ou différé émergent et ne figurent pas dans le périmètre de la directive. L'initiation de paiement est en cela un axe d'amélioration majeur. "Des réflexions sont en cours au sein de l'Europen Payment Council pour élaborer un schéma d'interface permettant aux commerçants de proposer des offres d'initiation de virement sur-mesure", assure Julien Lasalle.

APIsation

"Les fintechs sont frustrées par l'open banking et demandent à la Commission d'être plus ferme sur l'obligation à destination des banques de fournir l'ensemble des données de paiement", assure Eric Ducoulombier. Et pour cause, à l'échelle européenne, cinq standards d'API sont utilisés, sauf que pour un standard donné plusieurs implémentations sont possibles. Serait-il possible de voir apparaître une autorité de certification des API capable de garantir une conformité aux standards, ou se dirige t on vers une standardisation ? "L'absence de standardisation provoque l'échec d'un certain nombre d'opérations dont les informations divergent selon le standard, la banque ou le produit concerné, la solution évidente serait une convergence des différents standards", envisage Julien Lasalle.