Dans la continuité de la directive sur les paiements DSP2, la DSP3, le règlement sur les services de paiement (RSP) et le nouveau cadre d’accès aux données financières (FIDA) ont ont pour objectif l’accélération de l’open finance1. Ils ouvrent, à horizon 20262 et pour tous les acteurs financiers, la possibilité de disposer à tout moment et en temps réel d’une vision à 360° du patrimoine financier du client. Les opportunités sont nombreuses : connaissance client décuplée, parcours de souscription simplifiés et accélérés, services plus inclusifs, etc.
Les enseignements de DSP2, et notamment le succès d’estime de l’open banking3, invitent néanmoins à la prudence. Y a-t-il réellement un marché de la donnée financière capable de faire émerger de la valeur ? Pourquoi l’open finance réussirait-il là où l’open banking a échoué ?
Les agrégateurs tels que Bridge, Linxo ou Powens n’ont pas attendu DSP2 pour agréger les données des comptes bancaires de leurs utilisateurs, par webscrapping4. La réglementation devait leur permettre d’accélérer en leur donnant un statut reconnu ainsi qu’un environnement sécurisé et en temps réel. Mais cinq ans après l’entrée en vigueur de DSP2, force est de constater que le marché stagne. La plupart des agrégateurs de compte ont été intégrés à de grands groupes bancaires, et le marché n’a pas vu percer de nouveaux arrivants. Peu de nouveaux parcours ou services ont vu le jour. Et ceux qui devaient décoller, tels que le Personal Finance Management5, n’ont finalement enregistré que peu d’innovations.
Plusieurs éléments expliquent ce constat : freins d’ordre culturel bien sûr, mais aussi plusieurs retards dans la mise à disposition des API, et défauts de performance récurrents. Les règles et parcours d’authentification forte se sont par ailleurs révélés trop contraignants, les échecs trop fréquents. La valeur perçue par les clients n’est pas encore suffisante pour justifier de l’effort du partage des données.
Pour autant, DSP2 a permis l’essor d’un cas d’usage dans le domaine du crédit. Grâce au parcours open banking, l’emprunteur se voit dispensé de fournir certains justificatifs et peut bénéficier de critères d’octroi plus inclusifs. Il est de ce fait davantage enclin à partager ses données. Algoan et Revolut ont ainsi partagé il y a quelques semaines les bons résultats de leur collaboration. Les success stories de ce type sur le crédit consommation et le Buy-Now-Pay-Later (BNPL) se multiplient par ailleurs.
C’est encourageant, mais insuffisant au regard des efforts et coûts supportés par l’ensemble du secteur pour se conformer à DSP2. À l’heure où tous les acteurs financiers doivent déjà se pencher sur la mise en conformité à DSP3/RSP et FiDA, peuvent-ils réellement espérer en tirer des bénéfices ? Les textes publiés par la Commission européenne en juin 2023 sont encourageants sur ce point, à plusieurs titres.
Les fondements qui manquaient
L’esprit des textes, tout d’abord, rassure ceux qui souhaitent l’avènement de l’open finance. DSP2 avait généré de nombreux débats, interprétations et applications différenciées selon les États membres. À l’inverse de l’objectif initial, elle a été à l’origine de distorsions de concurrence. En optant pour des règlements, le régulateur donne d’emblée un fort indicateur de sa volonté de libérer le marché.
En réponse aux défaillances techniques constatées depuis 2019, les articles 35 et 36 du RSP énoncent très clairement les devoirs des détenteurs de données. La liste des fonctionnalités attendues des API est précisée, ainsi que la nécessité d’exposer trimestriellement leurs statistiques de performance. Le motif d’échec de l’authentification forte devra également être indiqué, le cas échéant. L’article 97 donne quant à lui la possibilité aux autorités nationales de sanctionner pénalement et financièrement tout acteur ne respectant pas le règlement, jusqu’à 10 % de son chiffre d’affaires mondial. Après une DSP2 plus incitative que coercitive, le régulateur passe à la vitesse supérieure et confirme la marche avant que doit prendre l’ouverture des données de flux.
Pour accélérer l’ouverture de l’ensemble des données financières, FiDA ouvre par ailleurs la voie à la monétisation par les banques, assurances et autres détenteurs des données de crédit, épargne et assurance. Ce choix est absolument clé pour favoriser un écosystème juste entre l’ensemble des acteurs.
Mais, comme pour l’open banking, l’ensemble de ces mesures ne vaudra rien si les clients ne voient pas un intérêt à partager leurs données. Sur ce point, l’enjeu est triple : valeur d’usage, confiance et fluidité.
Le périmètre prévu par FiDA permet l’agrégation de l’ensemble des données financières6 d’un client, là où DSP2 n’embarquait que les données de flux. Pour le marché des particuliers et professionnels, cela ouvre la voie à un réel marketing ciblé. Soutenu par une véritable expertise ou une bonne intelligence artificielle (IA), le conseil devient plus pertinent. De nouveaux services à valeur ajoutée peuvent ainsi émerger, de nature à convaincre les utilisateurs de l’intérêt du partage de leurs données.
L’obligation des détenteurs de données de fournir aux clients un tableau de bord de leurs consentements est également encourageante. Concrètement, chacun disposera dans ses interfaces digitales de la vision des permissions données, de leur historique, et aura la capacité de les révoquer. Cette mesure favorise la transparence et le pouvoir donné aux clients.
Les bonnes nouvelles concernent également la fluidité des parcours. Sur ce plan, l’article 86 du RSP acte définitivement le renouvellement de l’authentification forte tous les 180 jours et, surtout, en donne la responsabilité à l’utilisateur des données. Concrètement, un client qui souhaite partager ses données avec un prestataire de services financiers sera moins souvent confronté à l’authentification forte. Lorsqu’il le sera, il ne sera plus redirigé vers l’interface de chacun de ses détenteurs de données : c’est la fin des ruptures de parcours, qui favorisera la finance embarquée et le modèle producteur vs distributeur.
De la théorie à la pratique, un long chemin
Entre fondements d’un écosystème plus juste et mesures favorisant l’adoption des utilisateurs, l’heure est plutôt à la fête pour les promoteurs d’un système financier ouvert. La prudence est néanmoins de mise car plusieurs éléments clés restent à préciser.
Les textes peuvent en effet encore évoluer. Par ailleurs, un grand nombre de dispositions doivent être éclairées. C’est particulièrement vrai pour FiDA, qui nécessite bien des précisions quant au périmètre des produits concernés, règles d’authentification sécurisée et systèmes d’échange des données. L’adhésion obligatoire à des schémas multilatéraux s’inscrit par ailleurs en rupture des pratiques usuelles des acteurs financiers et apparaît bien plus complexe à mettre en œuvre que les Regulatory Technical Standards (RTS), qui avaient régi les standards API et authentification forte de DSP2.
Enfin, le calendrier de DSP3/RSP et FiDA est très incertain. Au-delà de la date d’adoption du corpus législatif, qui déterminera la date d’entrée en vigueur des nouvelles réglementations, se pose la question de la soutenabilité du rythme proposé par le législateur. Les chantiers à lancer sont denses et nombreux. Sur le front des paiements, les évolutions à mettre en œuvre sur la lutte antifraude viennent s’ajouter à celles attendues pour les API, authentification forte et interfaces clients à déployer. Sur le front de FiDA, les imprécisions du texte, l’ampleur du périmètre des données à structurer et « APIser » ainsi que la complexité de l’écosystème rendent peu probable la capacité des acteurs à respecter les délais aujourd’hui annoncés. L’open finance est sans doute en marche, mais il faudra faire preuve de patience.
