L'industrie bancaire a considérablement changé ces dernières années avec l'apparition de nouveaux entrants et l'accélération de la numérisation des processus. Elle se trouve confrontée à de nouvelles formes de concurrence alimentées par l'abaissement technologique des barrières à l'entrée et des changements réglementaires plus favorables à de nouveaux acteurs, notamment dans les services de paiement et dans l’exploitation des données. Parmi les textes réglementaires qui ont favorisé cette évolution, il faut retenir en particulier les directives sur les services de paiement : DSP1, puis DSP2 et DSP3.
Ces directives se sont fixées comme objectif de créer un véritable marché des services de paiement favorisant la concurrence et l'innovation, d'où la nécessité pour les banques traditionnelles d'adapter leur stratégie en conséquence. D’ailleurs, certaines n'ont pas attendu et les innovations dans le secteur bancaire se sont multipliées. Elles ont investi dans les Fintechs et développé le modèle de l’open banking qui consiste à partager les données des clients entre banques et tiers, permettant ainsi aux clients de gérer leurs différents comptes ouverts auprès de prestataires multiples au sein d'une seule et même application et de comparer les offres.
La pression à l’ouverture des données par les banques s’étend aujourd’hui à l’assurance ou à l’épargne : ainsi, après l’open banking (système bancaire ouvert), nous parlons désormais d’open finance (système financier ouvert ).
NB : Les équivalents français d’open banking et d’open finance, qui sont proposés dans cet article ne sont pas des recommandations officielles publiées au Journal officiel et disponibles sur le site internet FranceTerme de la Délégation générale à la langue française et aux langues de France (DGLFLF).
1. Les directives sur les services de paiement
1.1. Première directive sur les services de paiement (DSP1)
Le 1er novembre 2009, la Directive européenne sur les services de paiement 2007/64/CE est entrée en vigueur dans l'ensemble de Etats membres de l'Union européenne et de l'Espace Economique européen. Elle a été transposée en France par l'ordonnance du 9 juillet 2009 qui redéfinit le monopole bancaire et accroît la concurrence en autorisant la création d'une nouvelle catégorie de prestataires de services de paiement. L'innovation importante de la directive de 2009 a consisté à ouvrir le marché des services de paiement à de nouveaux acteurs, les établissements de paiement (voir glossaire). Ces derniers peuvent, aux termes de la directive, offrir des services de paiement aux côtés des banques. Un marché unique des paiements a été ainsi créé.
L'apparition de nouveaux types de services de paiement, l'augmentation rapide des paiements électroniques et mobiles via internet ainsi que la protection insuffisante des consommateurs ont rendu cette première directive inadaptée. Cette dernière a été abrogée par la directive 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, dite DSP2.
1.2. Deuxième directive sur les services de paiement DSP2
La deuxième directive sur les services de paiement 2015/2366 dite DSP2, qui a remplacé la directive DSP1, est entrée en vigueur le 13 janvier 2018. Alors que la directive DSP1 a posé les fondements du marché unique des services de paiement, la directive DSP2, qui a jeté les bases de l’open banking, visait à accroître l'efficacité du cadre législatif en vigueur, à assurer une concurrence équitable entre tous les acteurs de paiement et à intégrer les évolutions technologiques apparues sur le marché depuis la mise en œuvre de la directive DSP1.
La DSP2 a comblé les lacunes règlementaires de la DSP1 et instauré de nouvelles règles comme l’authentification forte du client. Par ailleurs, deux nouveaux services de paiement ont été créés : 1) les services d'information sur les comptes, proposés par les prestataires de services d'information sur les comptes (PSIC). Ces services consistent à fournir à un utilisateur de services de paiement des informations consolidées et faciles à exploiter sur un ou plusieurs comptes de paiement qu’il détient auprès d’un ou plusieurs prestataires de services de paiement gestionnaires de comptes ; 2) les services d'initiation de paiement, fournis par les prestataires d'initiation de paiement (PSIP). Ces services permettent au client de demander à un tiers de présenter et d'exécuter des opérations de paiement aux banques en son nom.
Les banques et les Fintechs déplorent certains écueils de la DSP2 qui atténuent le potentiel de l’open banking tels que :
- les problèmes liés au fonctionnement de l’API (Application Programming Interface) qui est au cœur du modèle de l’open banking. De l’avis des acteurs tiers, majoritairement des Fintechs, cet interface ne fonctionne pas toujours correctement. La qualité fonctionnelle laisse à désirer, l’expérience client est compliquée ;
- la question de l’accès aux données c’est-à-dire savoir qui a accès aux données ;
- le caractère trop contraignant des règles et parcours d’authentification forte qui complexifie l’expérience client ;
- la méfiance des Français par rapport au partage des données, dans un contexte où la fraude ne cesse de se développer ;
- le manque de sanction coercitive à l’égard des acteurs qui ne respectent pas les dispositions de la DSP2.
1.3. Troisième directive sur les services de paiement DSP3
Après la DSP2, en vigueur en Europe depuis 2019, la Commission européenne a présenté en juin 2023 un paquet législatif qui englobe la nouvelle directive DSP3, un règlement pour les services de paiement (RSP) et un règlement open finance (FiDA, Financial Data Access) afin de mieux sécuriser les paiements en Europe, donner confiance aux utilisateurs des services de paiement en les protégeant davantage et dynamiser l’innovation, en accélérant le partage des données entre acteurs.
1.3.1. La nouvelle directive
Début septembre 2024, la Commission européenne a souhaité accélérer la mise en œuvre de la DSP3. Ainsi, la directive qui devrait être votée par le Parlement européen, devrait entrer en application à horizon fin 2026. Elle prévoit des règles relatives à l’agrément et à la surveillance des prestataires de services de paiement. Elle englobe une série de mesures visant à :
1) combattre et atténuer la fraude aux paiements, en permettant notamment aux prestataires de services de paiement de partager entre eux des informations relatives à la fraude sur la base d’un cadre juridique, en sensibilisant davantage les consommateurs, en renforçant les règles relatives à l’authentification forte des clients, en étendant les droits au remboursement des victimes de fraude et en rendant obligatoire la vérification de la correspondance entre le numéro IBAN du bénéficiaire et le nom du compte pour tous les virements ;
2) améliorer les droits des consommateurs, surtout lorsque leurs fonds sont temporairement bloqués pour une raison qui ne relève pas de leur responsabilité, améliorer la transparence de leurs relevés de compte, et fournir des informations plus claires sur les frais liés aux distributeurs automatiques de billets ;
3) uniformiser davantage les conditions de concurrence entre les banques et les non-banques, en accordant aux prestataires de services de paiement non bancaires l’accès à tous les systèmes de paiement dans l’UE, avec des garanties appropriées et en assurant à ces prestataires le droit à un compte bancaire ;
4) améliorer le fonctionnement de l’open banking, en supprimant les derniers obstacles à la fourniture de services bancaires ouverts, en améliorant le contrôle exercé par les clients sur leurs données de paiement, et en facilitant l’entrée sur le marché de nouveaux services innovants ;
5) améliorer la disponibilité des espèces dans les magasins et les automates, en autorisant les commerçants à offrir des services de distribution d’espèces à la clientèle, sans obligation d’achat, et en clarifiant la réglementation qui régit les opérateurs indépendants de distributeurs automatiques ;
6) Renforcer l’harmonisation et la mise en application : adoption des règles en matière de paiement dans un règlement applicable directement (contrairement à la directive), et consolidation des dispositions relatives à la mise en œuvre et aux sanctions.
1.3.2. Le nouveau règlement sur les services de paiement
Le règlement sur les services de paiement, étroitement liée à la DSP3, sera directement applicable par tous les membres de l’UE une fois adopté et entré en vigueur. Il vise à améliorer la protection des utilisateurs de services de paiement face aux nouvelles formes de fraude plus sophistiquées.
1.3.3. Le nouveau règlement sur l’accès aux données financières : FiDA (Financial Data Access)
Le règlement FiDA s’inscrit dans la démarche de développement d’une finance numérique à l’échelle européenne. Il devrait être voté fin 2024 ou début 2025 et s’appliquer en 2027.
Avec l’introduction de ce nouveau règlement, la Commission européenne propose un nouveau cadre pour un accès sécurisé et ouvert aux données financières des clients. Ce cadre, qui constituera la base législative de l’open finance au sein de l’UE, établira des droits et des obligations clairs pour gérer le partage des données clients dans le secteur financier au-delà des comptes de paiement.
Conformément à l’article 1, le règlement, qui s’appuie sur le Data Act (voir glossaire), établit d’une part des règles concernant l’accès, le partage et l’utilisation des données clients dans le domaine des services financiers et d’autre part, des règles relatives à l’agrément et au fonctionnement des prestataires de services d’information financière (voir glossaire). Son objectif principal est de fournir aux consommateurs de l’UE davantage de contrôle sur leurs données et d’exiger des détenteurs de données qu’ils partagent les données des clients sur demande.
Le règlement FiDA introduit par ailleurs un nouveau concept : celui de schémas de partage de données ou « data sharing schemes ». Ces schémas définiront la façon dont les données sont structurées, stockées et présentées ainsi que la gouvernance et les protocoles.
2. Enjeux et défis de l’open banking
Comme nous l’avons vu précédemment, le concept « open banking » trouve ses racines dans la deuxième directive sur les services de paiement (DSP2) lancée en 2018. L’open banking facilite le partage sécurisé des données financières des clients entre les banques et les fournisseurs tiers via des API (Interfaces de programmation applicatif).
Son objectif principal pour les consommateurs consiste à responsabiliser les clients, à leur donner plus de pouvoir dans la façon de gérer leurs finances et à leur offrir des services plus personnalisés. Pour les commerçants, l’open banking facilite les paiements (une seule interface), accélère les encaissements, permet un meilleur suivi de la trésorerie grâce à une vue centralisée de la trésorerie ou à une facilitation de la réconciliation des factures et entraîne une réduction de la fraude.
A côté de ces avantages, l’open banking n’est pas exempt de risques. Nous pouvons citer comme risques :
- l’attaque contre les API. Ces interfaces sont le fondement de l’open banking. Ils permettent à deux applications de communiquer entre elles et d’échanger des données sans avoir à connaître les subtilités de l’architecture de l’autre. Les API sont confrontées à de nombreuses menaces, allant des attaques délibérées comme la cyberattaque par cassage de mots de passe (brute force attack) (voir glossaire) aux fuites de données involontaires ;
- l’utilisation et un traitement inappropriés des données. ;
- des risques d’exclusion eu égard à la facture numérique ;
- le manque d’aide à la prise de décisions complexes ;
- les risques concernant la cybersécurité, la protection de la vie privée, risques opérationnels, fraude. La divulgation de données personnelles va générer des interconnexions croissantes entre les parties prenantes (banques, Fintechs, clients) et partant, accroître les risques de cyberattaques, eu égard notamment à la vulnérabilité importante des Fintechs qui ont des ressources limitées.
- le risque de concurrence déloyale ;
- le risque systémique en cas de concentration accrue sur le marché lié à la position dominante de certaines entreprises bénéficiant de l’open finance (FinTech, BigTechs, …).
3. L'émergence de l’open finance
C’est une proposition législative européenne du 28 juin 2023 qui a lancé l’open finance. Elle vise à promouvoir l’innovation fondée sur les données, qui pourraient offrir de nouvelles opportunités pour les clients, tout en renforçant le contrôle sur la manière de partager ces données.
Dans le passé, avec l’open banking, la seule sphère de partage des données était celle des informations sur les comptes bancaires (Chan et al., 2022). L’open finance étend le partage des données à toute la sphère financière. Elle regroupe l’accès aux informations concernant l’épargne, les investissements, les prêts, la retraite et d’autres types de services financiers. A la clé, de nouveaux services potentiels de comparaison de produits ou de conseils financiers, une analyse de solvabilité plus efficace pour les PME à la recherche de crédits. Le périmètre est ambitieux. Seules les données concernant la santé ou collectées dans le cadre d’évaluations de solvabilité sont exclues.
Comme pour l’open banking, l’open finance repose sur le principe selon lequel les données fournies par les clients des services financiers sont la propriété des clients. Ils garderont l’entière prérogative d’autoriser ou non la transmission de leurs données personnelles. Elles ne pourront être consultées et réutilisées qu’avec l’accord du client. Ce principe étant rappelé, et à la lumière des expériences de l’open banking, du Règlement général de la protection des données (RGPD) et de la proposition de Data Act, la question se pose de savoir, dans quelle mesure « les instruments juridiques de l'UE sont capables d'atteindre l'objectif, et si les consommateurs sont effectivement responsabilisés, restent maîtres de leurs données et sont protégés contre les principaux risques de la finance basée sur les données et du domaine numérique, où la vulnérabilité est susceptible d'être la norme » Federico Ferretti, Peter Petkoff, 2022).
Certains professionnels se réjouissent de ce nouveau modèle d’affaires de l’open finance qui offrirait des services extrêmement rapides et ultra-personnalisés répondant aux attentes des clients, particuliers et entreprises, dans une coopération et une efficacité accrue entre les banques traditionnelles et les nouveaux entrants du secteur financier. Toutefois, pour la Fédération bancaire européenne (FBE), le passage de l’open banking à l’open finance doit faire l'objet d'un examen très attentif, et notamment d'une appréciation des risques. Dans une étude intitulé e« EBF position on the European Commission’s proposal for a Framework for Financial Data Access (FIDA) » du 11 décembre 2023, la FBE recommande un cadre qui, d’une part, établisse un équilibre entre les éléments obligatoires de partage des données, incluant les risques, et ceux déterminés par le marché, et d’autre part, qui instaure les bonnes incitations à l’innovation tout en maintenant la confiance des consommateurs. Les auteurs de l’étude font part de leurs préoccupations sur le fait que le périmètre des droits d’accès aux données des clients couvre un large éventail de services financiers avec une grande quantité de données sensibles pour le client, sans appréciation des risques. Ils déplorent également la non prise en compte des impacts potentiels sur les modèles d’entreprise des intermédiaires financiers.
L’engouement pour une fuite en avant technologique plaide pour un développement important de l’open finance. Mais les points de vue divergent, notamment en raison de nombreux risques : croissance exponentielle et sophistication des cyberattaques, usurpation d’identité, fuite de données.
4. Glossaire
Cyberattaque par cassage de mots de passe : Cyberattaque qui consiste à tester systématiquement toutes les combinaisons de caractères possibles afin de trouver un mot de passe ou une clé de chiffrement.
Data Act ou règlement des données : Règlement qui vise à favoriser l’ouverture accrue des données provenant de l’internet des objets (IoT), avec pour objectif de stimuler le développement d’une économie de la donnée compétitive et équitable, bénéfique tant aux utilisateurs qu’aux entreprises européennes.
Ce règlement sera applicable à partir du 12 septembre 2025.
Établissement de paiement : Personne morale qui a obtenu un agrément l’autorisant à fournir et à exécuter des services de paiement dans toute la Communauté.
Prestataire de services d'information financière (FISP) : Prestataire réglementé par FiDA, autorisé à accéder aux données des clients pour fournir des services d’information financière.
© Copyright ANDESE
Le présent document est protégé par les dispositions du code de la propriété intellectuelle. Les droits d'auteur sont la propriété exclusive d'ANDESE (Association Nationale des Docteurs ès Sciences Économiques et en Sciences de Gestion). La copie ou la reproduction (y compris la publication et la diffusion), intégrale ou partielle, par quelque moyen que ce soit (notamment électronique) sans le consentement de l’éditeur constituent un délit de contrefaçon sanctionné par les articles L. 335-2 et suivants du code de la propriété intellectuelle.