La directive n°2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur dite "DSP2" est entrée en vigueur le 13 janvier 2018. Cette directive qui vise à développer les services de paiements innovants a été transposée en droit français par l’ordonnance n°2017-1252 du 9 août 2017.
Outre des mesures relatives à la sécurisation des paiements, la directive DPS2 instaure un droit pour les nouveaux fournisseurs sur le marché tels que les sociétés de technologies financières (les Fintechs) d’accéder, par un canal de communication sécurisé, aux données des comptes clients détenues par les banques. Ainsi, lorsque leurs clients y ont expressément consenti, les banques ont désormais l'obligation de communiquer les données concernant leurs comptes de paiement à deux types d'acteurs tiers :
- les initiateurs de services de paiement (PSP) et
- les prestataires de services d'informations sur les comptes (PSIC), plus communément appelés les agrégateurs.
A cet effet, les banques devront donc adapter leur interface bancaire (API) ou en créer une spécifique pour permettre à ces nouveaux acteurs d'accéder auxdites données en toute sécurité. Les banques devront développer ces API en conformité avec les normes techniques de réglementation adoptées par la Commission européenne le 27 novembre 2017. Sauf objection du Conseil et du Parlement européen dans les trois mois de cette adoption, ces normes techniques de réglementation s'appliqueront dans les dix-huit mois suivant leur publication au Journal Officiel de l'Union européenne. Les banques auront alors jusqu’à septembre 2019 pour se mettre en conformité. Avant même cette date, les Fintechs pourront commencer à utiliser les API des banques au fur et à mesure de leur mise à disposition par les banques.
A ce jour, les initiateurs de services de paiement et les agrégateurs peuvent d'ores et déjà accéder aux données des clients par le biais de la technique du "screen-scraping" qui consiste à utiliser les identifiants du client via des captures de données. Toutefois cette technique est très critiquée par les banques car peu sécurisée, raison pour laquelle il convenait de trouver un compromis permettant aux banques et aux Fintechs de collaborer.
La DSP2 constitue une véritable opportunité pour les Fintechs qui pourront, grâce aux API, sous réserve d'avoir obtenu les agréments nécessaires, accéder à davantage d'informations relatives aux comptes des clients que celles qu'elles obtiennent par la technique du "screen-scraping".
Toutefois, le texte comporte des limites puisque les dispositions de la directive permettent aux Fintechs d'avoir accès uniquement aux données de paiement et non pas aux comptes d'épargne ou aux informations relatives aux crédits. Pour accéder à ces données, les Fintechs seront vraisemblablement tentées de continuer à recourir au "screen-scraping".
Pour éviter cela, certaines banques envisagent d’ailleurs d’étendre leurs API à d’autres données que les seules données de paiement.