Depuis plus de trois ans, et le 13 janvier 2018 précisément, le monde du paiement est entré dans un nouveau cadre réglementaire. Celui de la DSP2, la Directive sur les services de paiement, qui vient actualiser le cadre des paiements en Europe : elle étend la régulation européenne à de nouveaux prestataires de services de paiement (les PSP tiers), encadre le partage des données bancaires et renforce les exigences sécuritaires en faveur des consommateurs.
Cette réglementation crée dans son giron 2 types précis de tiers prestataires de services de paiement, l’un d’initiation de paiement (PSIP) et l’autre, d’information sur les comptes (PSIC), dont fait partie Spaycial, et qui nous intéressent ici. Ces derniers fournissent un service d’agrégation d’informations relatives aux différents comptes bancaires détenus par un client (particulier ou professionnel) pour lui offrir des services et avantages personnalisés.
“Cette directive était attendue”, nous raconte Nurgul Sivasli, la DPO (Déléguée à la protection des données) de Spaycial. Car si ce type de services existait déjà auparavant, plus connu notamment sous le nom de screen ou web scrapping, il n’était pas du tout sécurisé pour les données. En effet, cette méthode obligeait les utilisateurs à partager tous leurs identifiants bancaires jusqu’aux mots de passe de leurs comptes ! “La DSP2 l’interdit sans agrément et crée ainsi ces nouveaux statuts réglementés”, poursuit-elle.
Alors depuis trois ans, le monde du paiement bancaire est en pleine révolution, technologique, mais aussi culturelle. Des changements importants qui prennent du temps, car ils imposent que les banques se mettent au niveau réglementaire. Concrètement, elles doivent désormais accepter d’une part de communiquer aux prestataires leurs interfaces bancaires (et ainsi les données des comptes bancaires de leurs clients, avec accord exprès et révocable de ces derniers) et d’autre part de se mettre aux normes de sécurité et technologiques.
Certains pays ont plus de mal que d’autres, par tradition, comme la Suisse, à aller vers cette nouvelle technologie de l’API (Application Programming Interface), ces interfaces sécurisées qui permettent de partager les données. “Car l’idée de communiquer les interfaces bancaires n’est pas bien acceptée”, explique la DPO. Une difficulté face à l’innovation qui peut créer des ralentissements dans le développement de ces services, pourtant destinés à protéger les données de leurs clients.
Que les néophytes se rassurent, ces fameux prestataires de services d’information sur les comptes ne peuvent pas exercer leur activité d’agrégation des données sans recevoir d’autorisation préalable. En France, c’est l’ACPR, Autorité de contrôle prudentiel et de résolution, l’autorité de protection des consommateurs, qui les délivre. On parle alors d’un enregistrement à l’ACPR, comme celui dont dispose par exemple Spaycial.
Ces services doivent être capables de répondre aux normes de sécurité et de gouvernance, inscrites dans l’article 98 de la DSP2, et conformément à un référentiel européen unique RTS, créé par l'ABE, Autorité bancaire européenne (voir la fiche technique de Spaycial, sur le site de l’ABE, respectant les normes dans différents pays européens).
Cette autorisation est renouvelée tous les ans, tous les 30 avril, c’est un contrôle régulier qui a pour but de renforcer cette image de marché extrêmement bien cadré. “Sans autorisation, pas d’application possible, réaffirme Nurgül Sivasli. C’est ce contrôle permanent qui protège les Français et leurs données. De même, si nous perdons l’autorisation, ou si elle n’est pas renouvelée, nous ne pouvons plus proposer notre service”.
De cette autorisation, naît ainsi un agrégateur bancaire, français et européen, un prestataire qui peut lancer sa solution, comme Spaycial et son application de programme de fidélité, qui s’interface aux banques via les API et propose des services innovants aux consommateurs.