La deuxième directive sur les services de paiement DSP2 a constitué une première étape vers la réalisation d’un accès aux données financières en imposant un accès sécurisé et gratuit aux données des comptes bancaires et en plaçant les acteurs accédant à ces données (agrégateurs de données ou initiateurs de paiement) dans le domaine de la supervision.
Elle ne pouvait néanmoins être considérée comme complète puisque ne couvrant que le seul accès aux données des comptes de paiement, l’accès au reste des données financières restant dans la sphère non régulée bien que pourtant déjà effectué par les mêmes acteurs accédant aux données de compte de paiement.
Avec les propositions de la troisième directive sur les services de paiement (DSP3) et de deux règlements relatifs aux services de paiement et à l’accès aux données financières, la Commission fait évoluer à la marge l’arsenal réglementaire des paiements.
Pour faciliter l’accès aux données financières au sens large, les propositions visent avant tout à capitaliser sur les avancées de la DSP2, en :
Cette évolution va donc obliger une nouvelle population d’acteurs, notamment les entreprises d’investissement, les sociétés de gestion, les entreprises d’assurance et les institutions de retraite professionnelle1 , à fournir un accès aux données financières de leurs clients qui le souhaitent.
Pour ce faire, ces acteurs devront construire une interface permettant un échange sécurisé des données. À cet égard, on note que si la DSP2 restait neutre sur le plan technologique tout en incitant le développement des APIs, la DSP3 désigne plus clairement le recours aux APIs comme étant le mode d’accès sécurisé par défaut aux données financières.
Ces nouveaux acteurs pourront également, sous réserve d’obtenir une autorisation de leur autorité de supervision2 , accéder à leur tour aux données financières auprès des autres institutions financières pour les clients ayant donné leur consentement.
Aussi, pouvons-nous nous attendre à ce que les solutions d’« Open Finance » déjà existantes, permettant par exemple de proposer des services automatisés de comptabilité d’entreprise ou d’évaluer le risque de crédit d’un client en ligne, se multiplient. En France, on peut souligner que la moitié des établissements de paiement et de monnaie électronique agréés depuis la mise en place de la DSP2 ont désormais intégré une composante « Open Banking » à leur modèle d’affaires.
Pour autant, cette évolution de la réglementation afin de faciliter l’accès aux données financières n’est pas sans défi.
Tout d’abord, le marché doit travailler à une mise en œuvre plus harmonisée des normes sécurisées d’accès aux données financières, en tenant compte des investissements déjà réalisés par les acteurs bancaires dans la construction des APIs DSP2. Si avec la DSP2, le secteur s’est bien engagé dans l’élaboration de normes de marché pour les APIs (cf. celles du « Berlin group » ou de STET), force est de constater que leur mise en œuvre est encore loin d’être harmonisée au niveau européen, voire même au sein d’un même marché national. Ce manque d’harmonisation, notamment au niveau de l’étendue des services offerts par chaque API, a nécessité de nombreuses clarifications de la réglementation par les autorités, notamment par l’Autorité bancaire européenne.
Ensuite, le secteur doit favoriser le développement d’un modèle d’affaires viable pour l’accès aux données. En l’absence de dialogue constructif entre les gestionnaires de comptes et les prestataires de l’« Open Banking », la DSP2 a imposé la gratuité de l’accès aux comptes faisant ainsi peser les coûts de construction des APIs aux seuls gestionnaires de comptes. Cette gratuité a finalement abouti à la mise en place d’interfaces offrant un accès limité aux seules données requises par le règlement.
Pour que l’« Open Finance » soit un succès, le secteur doit s’inspirer l’expérience de la DSP2 en favorisant le développement d’APIs « premium » payantes permettant aux détenteurs des données de récupérer une partie du coût de construction et de maintenance des interfaces d’accès. Cela les incitera à fournir un accès évolutif aux données à valeur ajoutée pour les tiers.
À ce titre, la création d’un schéma européen couvrant l’ensemble des règles, pratiques et normes permettant l’échange de données (« SEPA Payment Account Access (SPAA) ») par le Conseil Européen des Paiements est une avancée attendue par les législateurs. Par ailleurs, face à la multiplication des services d’accès aux données, la possibilité pour les consommateurs d’identifier à tout moment les acteurs ayant accès à leurs comptes devient une nécessité. À ce titre, la proposition de la Commission prévoit que les gestionnaires de compte mettent à leur disposition dans l’espace de banque en ligne un « tableau de bord » permettant de visualiser les entités ayant accès à leurs comptes et révoquer au besoin les droits d’accès. C’est une avancée très utile pour les utilisateurs mais dont les modalités de mise en œuvre seront à suivre pour assurer le succès de l’« Open Finance ».
Enfin, du point du superviseur, un certain nombre de points restent à clarifier dans les discussions à venir relative à l’adoption de cette nouvelle réglementation européenne, notamment en ce qui concerne le statut qui sera applicable aux nouveaux acteurs non déjà agréés pour accéder aux données financières au sens large ainsi que les nouvelles responsabilités qui pourraient être confiées aux autorités de supervision dans la mise en œuvre de ces nouvelles normes.
1/ Liste des entités couvertes par la réforme : a) les établissements de crédit; b) les établissements de paiement, en vertu de la directive (UE) 2015/2366; c) les établissements de monnaie électronique en vertu de la directive 2009/110/CE, d) les entreprises d’investissement; e) les prestataires de services de service sur crypto-actifs; f)les émetteurs de jetons se référant à des actifs; g) les gestionnaires de fonds d’investissement alternatifs; h) les sociétés de gestion d’organismes de placement collectif en valeurs mobilières; i) les entreprises d’assurance et de réassurance; j) les intermédiaires d’assurance et les intermédiaires d’assurance auxiliaires; k) les institutions de retraite professionnelle; l) les agences de notation de crédit; m) les prestataires de services de financement participatif et n) les fournisseurs de produit paneuropéen d’épargne-retraite (PPEP)
2/ Les conditions pour obtenir cette autorisation sont actuellement équivalentes à celles imposées aux prestataires de services d’information sur les comptes de paiement.
Geoffroy GOFFINET,
Directeur des autorisations de l'ACPR