La Directive révisée sur les services de paiement (PSD2) de l’UE pourrait révolutionner l’industrie des paiements lorsque les États membres l’adopteront à l’échelle nationale en 2018. Bjørn Søland, expert technique chez Nexus Group, société spécialisée dans les identités et la sécurité, détaille cette directive et ses conséquences en 3 minutes.
Qu’y a t-il de nouveau dans la PSD2 ?
Søland : « Le monopole des banques sur les données de leurs clients disparaîtra. Cela permettra aux clients des banques, qu’il s’agisse d’entreprises ou de particuliers, d’autoriser des prestataires tiers à exploiter leurs données de compte. Ces prestataires tiers pourront alors, par exemple, initier des paiements de la part des clients, directement depuis leurs comptes bancaires.
« La PSD2 exigera des contrôles renforcés de l’identité des utilisateurs lors des paiements en ligne.
« Il s’agit d’une directive étendue, qui inclut également des innovations moins spectaculaires, telles que le plafonnement des coûts pour les paiements par carte, ou le renforcement de la protection des consommateurs contre la fraude. »
Quel est l’objectif de la Commission européenne avec la PSD2 ?
Søland : « L’objectif principal de cette directive est de créer un marché unique intégré pour les services de paiement, en standardisant les réglementations pour les banques et pour les nouveaux prestataires de services de paiement qui apparaissent. La PSD2 garantira la transparence ainsi que la libre concurrence, et ouvrira la porte à de nouveaux services de paiement, ce qui bénéficiera aux clients. »
En quoi la PSD2 va-t-elle révolutionner l’industrie des paiements ?
Søland : « La PSD2 transformera la chaîne de valeur des paiements, et décidera quels business models seront rentables. Lorsque les clients des banques pourront faire appel à des prestataires tiers tels que des plateformes de médias sociaux ou des applis de messagerie pour payer leurs factures depuis leurs comptes bancaires, les banques risqueront de perdre beaucoup d’interactions avec leurs clients – si elles ne développent pas de solutions tout aussi attrayantes.
« Nous verrons apparaître de nombreux nouveaux services. Par exemple, les clients des banques pourront accorder à des prestataires tiers la permission d’analyser leurs dépenses, ou encore de regrouper les données de leurs différents comptes en une vue unique. Les banques seront tenues de fournir aux prestataires tiers un accès aux comptes de leurs clients, via des interfaces de programmation (APIs) ouvertes. »
Que signifie « contrôles renforcés des identités » en pratique ?
Søland : « Lorsque les clients accèderont à leurs comptes de paiement en ligne, initieront des paiements électroniques ou effectueront toute autre action par l’intermédiaire de services distants, pouvant impliquant des risques en termes de fraude ou autre, ce que l’on appelle une authentification forte sera exigée.
« Très simplement, une authentification forte est une procédure qui s’appuie sur au moins deux éléments des catégories suivantes : connaissance, propriété et inhérence. Cela signifie qu’un utilisateur ne pourra pas s’identifier à l’aide d’un seul mot de passe statique. »
Qui sera responsable de l’authentification des clients, parmi tous les nouveaux acteurs attendus ?
Søland : « Il reste encore quelques détails à finaliser, mais il semble clair que ces nouveaux acteurs auront le droit de s’appuyer sur les méthodes d’authentification pratiquées par les banques. Cela signifie que la procédure d’authentification des utilisateurs restera probablement intégralement dans la sphère de compétences des banques.
« Cela signifie également que les banques devront garantir une authentification forte, pour protéger non seulement leurs propres services, mais également les services des nouveaux acteurs. »
Les normes appropriées sont-elles en place ?
Søland : « L’Autorité bancaire européenne a défini des normes techniques réglementaires. Ces normes s’appuient sur des technologies neutres pour favoriser l’innovation ; mais le revers de la médaille est que de nombreuses solutions techniques vont coexister, au lieu d’une solution unique valide au niveau européen, capable de concurrencer des acteurs tels que Visa et MasterCard.
« Cela dit, la majorité des paiements effectués dans un pays portent sur des transactions conclues à l’intérieur de ce pays. Je pense que nous assisterons à de nombreuses initiatives nationales avant de voir se dessiner des systèmes de paiement éprouvés au niveau européen. »
Avez-vous des conseils à donner aux banques ?
Søland : « Il subsiste encore beaucoup d’incertitudes autour de la PSD2 – et 2018 approche à grands pas. Je ne vais pas donner de conseils aux banques sur la façon d’implémenter leurs APIs, mais en ce qui concerne l’authentification forte, je recommanderais une solution polyvalente, capable de prendre en charge de nombreuses différentes méthodes d’authentification, à la fois déjà existantes et à venir.
« Je recommanderais également aux banques d’innover et d’offrir de nouveaux services – au risque de perdre beaucoup d’interactions avec leurs clients. »