Qu'est ce que la DSP2 changera pour les experts-comptables ?

Chez Tiime, la sécurité est un point capital car les données bancaires que nous traitons au quotidien sont des données très sensibles.                   

Si la question de la sécurité des données au sein de l’entreprise nous tient particulièrement à cœur en interne, le Parlement Européen prend aussi ce sujet très au sérieux depuis déjà quelques années. Et depuis 2018, c’est la DSP2 qui est sous le feu des projecteurs.

On vous en dit plus ! 

La DSP2, qu’est ce que c’est ? 

La 2ème directive sur les services de paiement - mieux connue sous le nom de DSP2 - est un sujet bouillant depuis son entrée en vigueur en janvier 2018. Sa grande sœur, la DSP a été adoptée en 2007 et avait pour objectif d’assurer la protection des consommateurs et de garantir des conditions de concurrence équitables sur le marché européen. 

Mais en 10 ans, les usages ont explosé, porté par la multiplication des acteurs. Il était donc nécessaire de renforcer et de mettre à jour cette directive. 

Même si vous ne vous en êtes jamais aperçu, vous en avez forcément déjà fait l’expérience puisqu’elle affecte fortement le secteur des paiements en Europe et impacte tout particulièrement les banques, les fintechs et tous les acteurs utilisant des données de paiement.

A chacun ses objectifs !

Sans parler des banques, certaines activités se développent et se basent entièrement sur les données bancaires. Si les objectifs de cette nouvelle directive pour les consommateurs sont majoritairement la lutte contre la fraude et le renforcement des droits des consommateurs, pour les autres acteurs il s’agit surtout de réussir à établir une communication sécurisée entre les banques et les acteurs de paiement et de répondre à un enjeu vital de productivité pour les entreprises basant leur activité sur ces données.  

Comment cela se traduit concrètement ? 

En réalité la DSP2 contient 117 articles, mais comme on est sympa, on a fait le tri sur ce qu’il faut retenir ! 

L'Open Banking ou l'ouverture aux marchés de paiement

Historiquement, pour récupérer la “banque” de son client automatiquement, il fallait le faire via un mandat EBICS.  C’est fiable, sécurisé, mais la mise en œuvre peut s'éterniser et  implique de négocier des accords avec les banques. L’EBICS a d’autres petits inconvénients notamment le problème de récupération des écritures antérieures, la carte bleue à débit différée ou l'absence de certaines banques.. De ce point de vue, l’agrégation est venue en complément. C’est intéressant puisque immédiat et ça permet de récupérer de l’antériorité. 

 

Pour en savoir plus sur la différence entre EBICS et Agrégation, lisez notre article:  Tout comprendre sur l’EBICS et l’Agrégation.

 

Si cette activité de scrapping n’était pas interdite, elle n’était pas non plus régulée. La DSP2 intervient donc pour ouvrir la voie à l’innovation, à la compétition et à une meilleure maîtrise de la donnée par l’utilisateur en permettant aux agrégateurs de récupérer la donnée.

Aujourd’hui, la nouvelle directive indique qu’une banque doit autoriser les fournisseurs tiers (TPP) à accéder aux informations de compte des clients. 

Cela acte que la donnée bancaire n’est pas la propriété de la banque mais celle du client !

tiime-blog-dsp2-1-2 (1)

Une sécurité accrue grâce à l'authentification forte

Pour lutter contre la fraude sur les paiements et protéger ses clients, la DSP2 permet aux banques d’exiger l’authentification forte (SCA) en obtenant le consentement des consommateurs avant de donner accès à leurs données ou de traiter un paiement. 

Le 3D Secure est l’un des modes d’authentification les plus connus. Le principe est le suivant : lorsqu’un utilisateur fait un achat en ligne, il est redirigé sur le site de son établissement bancaire afin de saisir le code qui lui est envoyé par SMS. Le but : limiter la fraude par carte bancaire. Si avant il s’agissait seulement d’un accord entre la banque et son client, aujourd’hui ce système n’est plus considéré comme suffisant et la nouvelle directive européenne vient renforcer ce mécanisme.

Pour toutes les transactions électroniques, l’authentification forte signifie qu’au moins deux des éléments suivants seront utilisés: 


Connaissance : quelque chose que seul l’utilisateur connaît (mot de passe, code pin etc.) 


Possession :  quelque chose que seul l’utilisateur possède (carte bleue, téléphone, etc.) 


Biométrique : une caractéristique personnelle de l’utilisateur (empreinte digitale, reconnaissance vocale etc.) 

 

La SCA n’est appliquée que lorsque l’utilisateur effectue un paiement dépassant les 30 euros, que le montant cumulé des paiements excède les 100 euros ou que le nombre d’opérations total est supérieur à 5. Ces plafonds permettent de ne pas nuire à l’expérience utilisateur pour des transactions avec un niveau de risque faible. 

Le renforcement des droits des consommateurs

La DSP2 permet un remboursement sans délai des opérations contestées (procédure de chargeback pour la CB), une interdiction de surfacturation des marchands peu scrupuleux mais aussi un abaissement de la franchise payée par le client en cas de paiement frauduleux.

La DSP2 n’est pas la bienvenue pour tous 

Il faut savoir que la mise en place de la DSP2 n’a pas été évidente et encore aujourd’hui, les banques sont réticentes face à cette directive. Entre arguments décrédibilisants et suspicion de sabotage, les banques ont tout fait pour repousser cette mesure le plus longtemps possible.  Il en résulte que 3 semaines avant la date de mise en œuvre de la disposition, seulement 15% des API étaient fonctionnelles et aucune n'était encore exploitable.

Même si l’Open Banking qui devait être mis en place en septembre 2019 a été déplacé à janvier 2020, les banques n’ont pas pu repousser éternellement ce qui finirait par arriver. Cette fois-ci elles n’ont plus le choix, elles doivent se soumettre à la directive et ouvrir leurs données aux tiers.

Mais il n’y a pas que les banques à qui cette directive pose problème. Les commerces en ligne ont eux aussi vu la DSP2 comme problématique. L’authentification forte est considérée comme un risque pour leur taux de conversion. En effet, plus le client a de chemin à parcourir pour s’authentifier et finaliser son achat, plus il est susceptible de se rétracter dans sa décision et d’abandonner son panier . Alors lorsque l’échéance a été repoussée à décembre 2020, ce fut un gros soulagement pour eux. Mais comme pour les banques, l’échéance touche à sa fin et les commerces en ligne n’ont plus le choix que de travailler avec ce nouveau dispositif. 

Des inconvénients ? Oui il y en a quelques uns… 

Comme dans toutes les directives, forcément, tout n’est pas parfait ! Chez Tiime, on a constaté 2 inconvénients majeurs : 

Première constatation: un  manque d’harmonisation et de motivation entre tous les acteurs. Une part importante d'interprétation est laissée par la directive européenne. Conséquence : selon la banque, les règles changent et les initiateurs de paiement ainsi que les agrégateurs doivent se soumettre aux modes d’authentification proposés par chaque banque. 

L’autre aspect réellement pénible,  c’est la dégradation de l’expérience utilisateur induite par l’authentification forte. Sur quasiment tous les paiements, le client devra répondre aux attentes d’authentification de la banque mais aussi à l’obligation de renouveler tous les 3 mois sa connexion. Autrement dit, si la connexion n’a pas été renouvelée, les relevés bancaires ne se mettent plus à jour et bloquent la comptabilité. C’est tout l’intérêt pour Tiime de posséder le double flux EBICS et Agrégation qui minimise cet aspect désagréable.

Quel impact chez Tiime ? 

Une amélioration de la sécurité 

Ce que vous et vos clients avez déjà pu constater, c’est la mise en place par les banques de la confirmation d’identité tous les 90 jours, lorsque le compte est connecté en agrégation, afin d’assurer la sécurité des données de votre client. Le compte bancaire étant relié à nos applications Tiime, une confirmation d’identité est aussi nécessaire sur l’application une fois qu’elle a été faite sur le compte bancaire. 

Mais comme expliqué plus haut, le double flux nous permet de ne pas imposer cette contrainte. 

L’initiation de paiement !

Induite par l’Open Banking, l’initiation de paiement permet aux clients d'effectuer des paiements aux entreprises directement à partir de leur compte bancaire. Pour utiliser ce type de paiement, le client doit donner aux tiers l'autorisation d'utiliser ses coordonnées bancaires. En se connectant directement à la banque, nous pouvons exécuter des paiements directs en tant que détenteur de confiance de la connexion et transférer les informations d'identification qui ont été autorisées au nom de l'utilisateur !

Résultat : nos utilisateurs peuvent profiter d’options de paiement plus rapides et plus pratiques qui peuvent être initiées directement à partir de leur compte bancaire. 

L’objectif est de permettre aux personnes qui ont plusieurs comptes en banque dans divers établissements d’effectuer des opérations, comme des virements d’un compte pro à un compte perso, de se rémunérer ou de se faire rembourser, à distance à partir du même outil, comme les applications Tiime par exemple.

tiime-blog-dsp2-2

 

*Payment Initiation Service Providers

Et voilà, vous savez tout sur la DSP2 ! Et comme il n’y a pas mal d’infos,  on vous récapitule tout dans cette infographie.

(Cliquez dessus pour l'agrandir)

tiime-infog-dsp2

 

Laissez-nous votre commentaire
form-bg
Découvrez la compta Next Génération
New call-to-action

Suivez nous sur :