Bruxelles fixe les règles du jeu entre fintech et banques
Entre innovation et sécurité, le compromis fut délicat. La Commission européenne a adopté hier les règlements d’application (standards techniques de régulation, RTS) finaux de la deuxième directive sur les services de paiement - la DSP2, qui entrera en vigueur le 13 janvier 2018. Ces standards définissent les conditions dans lesquelles des fintech pourront se connecter aux comptes bancaires des consommateurs pour apporter leurs services. Deux volets se distinguent : l’accès aux comptes par les prestataires tiers (comme des agrégateurs), soumis à l’aval des clients, et l’authentification forte des consommateurs lors de paiements électroniques.
Sur le premier point, Bruxelles maintient sa position énoncée en mai dernier : les fintech devront accéder aux comptes courants des particuliers non plus avec la méthode du screen scraping, qui consiste à utiliser leurs codes et mots de passe, mais via des interfaces dédiées (API) construites par les banques. Ces dernières seront obligées de fournir au moins une API. Si celle-ci ne fonctionne pas – c’est-à-dire si cinq connexions échouent sur une période de trente secondes – les fintech pourront se rabattre sur le screen scraping.
Jusqu’au dernier moment, le lobby bancaire espérait éviter cette possibilité de déviation. «Les responsables politiques ne devraient pas autoriser le screen scraping même comme solution de repli, […] et devraient plutôt se concentrer sur des solutions complètement sécurisées», déclarait vendredi dernier la Fédération bancaire européenne. La limitation du screen scraping profitera tout de même aux banques : auparavant, les fintech pouvaient accéder à tous les comptes des consommateurs, mais la DSP2 oblige les banques à construire des API gratuites seulement pour les comptes de paiement. Certains établissements comptent déjà lancer des API payantes pour l’accès aux comptes d’épargne et de crédit. Début mai, 72 fintech avaient dénoncé dans un manifeste cette dépendance au bon vouloir des banques.
Combiner deux éléments d’identification
Sur le deuxième volet, Bruxelles a maintenu sa volonté d’une authentification forte lors de paiements électroniques. «Dans la plupart des cas, le simple fait d’introduire un mot de passe ou de communiquer les données indiquées sur une carte de crédit ne suffira plus pour effectuer un paiement», explique la Commission. Il faudra combiner deux éléments indépendants d’identification (une carte ou un téléphone mobile combiné avec un mot de passe ou un élément biométrique), et parfois «il sera également nécessaire d’introduire un code unique valable pour une transaction donnée». Lors d’une course Uber par exemple, le paiement ne pourra plus être déclenché automatiquement, sauf exception.
Car il existe des exemptions : pour les paiements électroniques de moins de 30 euros, les paiements sans contact en magasin de moins de 50 euros, les paiements récurrents vers un bénéficiaire connu, et enfin si une analyse par les risques a conclu que la transaction avait peu de chances d’être frauduleuse. «Ces standards sont comme un fromage suisse […] : il y a de nombreux trous», déplore dans un communiqué la directrice générale du Bureau européen des unions de consommateurs (BEUC), Monique Goyens. «Nombre de nos transactions quotidiennes seront moins sécurisées.»
Le Parlement et le Conseil européen et disposent de trois mois pour examiner ces RTS. Après publication au Journal officiel, banques et fintech disposeront alors de 18 mois pour les mettre en place, ce qui amène en septembre 2019.
Plus d'articles du même thème
-
Fygr change de nom et part à la conquête des ETI
La fintech spécialisée dans la gestion de trésorerie devient Okimia. Elle lance deux nouveaux modules autour des paiements et des placements de trésorerie excédentaire. -
La Caisse du Québec investit dans une pépite du financement hypothécaire au Canada
L’institution québécoise s’est engagée auprès de Nesto, une jeune fintech canadienne spécialisée dans le financement hypothécaire. -
OTPP et GIC mènent un tour de série F de 750 millions de dollars dans Ramp
La fintech américaine spécialisée dans la gestion des dépenses d'entreprise boucle un tour de série F à 44 milliards de dollars de valorisation.
ETF à la Une
Les ETF d’actions américaines signent un retour en force au deuxième trimestre
- La nouvelle hausse du Livret A coûtera plus de 800 millions d’euros aux banques
- La Corée, un tigre asiatique qui commence à vieillir
- Christine Lagarde pourrait quitter la BCE plus tôt que prévu à cause de la présidentielle française
- L’éthique algorithmique s’imposera bientôt au secteur financier
- Les investisseurs doutent de l’industrie de défense
Contenu de nos partenaires
-
IA et droit d'auteur : pourquoi les textes présentés à l'Assemblée ne sont qu'« un petit coup de pouce »
Face aux inquiétudes croissantes sur l'utilisation des œuvres par les intelligences artificielles, le débat sur la protection des créateurs refait surface. Les pouvoirs publics proposent des leviers d'action, encore un peu timides et loin d'être adoptés -
Global BritainIndépendance américaine : le « Spectator », traître à la patrie ?
Le vénérable hebdomadaire britannique se retrouve sur le devant de la scène à l'occasion de l'anniversaire de l'indépendance américaine. Pour le meilleur et pour le pire -
Sur la route du Tour avec MacronDe Brégançon au Tourmalet, comment Macron a cherché à séduire les puissants de ce monde
SERIE (4/13). A l’occasion du Tour de France 2026, l’Opinion parcourt l’étape du jour à la recherche des traces de la décennie Macron. Ce jeudi 9 juillet, le peloton s'élancera de Pau (Pyrénées-Atlantiques) pour rallier Gavarnie-Gèdre (Hautes-Pyrénées) en passant par le mythique col du Tourmalet