Attendue depuis l'adoption de la précédente version en 2015, la troisième mouture de la directive européenne des services de paiement commence enfin à prendre corps avec une proposition que vient de présenter la Commission. Elle semble prendre en compte et corriger les reproches formulés à l'encontre de sa prédécesseure.
Indépendamment des faiblesses observées depuis l'entrée en vigueur de la DSP2, l'évolution de la réglementation est aussi rendue impérieuse par les transformations profondes qui affectent le monde. À la faveur de la crise sanitaire, notamment, les paiements électroniques connaissent une croissance fulgurante, suivie d'un mouvement similaire sur la fraude, toujours plus sophistiquée, tandis que le marché s'est enrichi d'une armée d'acteurs supplémentaires profitant des opportunités « digitales ».
Sur le plan strict des paiements, d'abord, outre quelques mesures destinées à affermir l'équité entre les intervenants, l'accent est placé sur la protection des consommateurs. Il est donc question de leur garantir une communication transparente et, surtout, de mettre en place des barrières plus efficaces contre la fraude : le renforcement de l'authentification (hélas sans considération spécifique pour l'expérience utilisateur), l'extension du droit au remboursement, l'autorisation explicite d'échanger des informations entre pairs… et – avancée élémentaire et indispensable ! – l'obligation de contrôler la concordance entre bénéficiaire enregistré et titulaire d'IBAN, sur les virements.
Cependant, la grande nouveauté du futur dispositif réside dans une proposition complémentaire traitant de l'ouverture de l'accès aux données financières, désormais isolée de la DSP3 puisqu'elle concernera l'ensemble du périmètre et non plus seulement les comptes de paiement. Les principes de base restent inchangés, reposant sur la possibilité pour les clients de mettre leurs données à disposition de tiers, dans un format électronique sécurisé, et l'exigence pour les fournisseurs de le leur permettre.
En revanche, les leçons accumulées au cours des quelques années écoulées avec la DSP2 conduisent la Commission à introduire plusieurs prescriptions périphériques, dont la plus critique, selon moi, est une logique de normalisation des données et des interfaces techniques, « dans le cadre de systèmes de partage » auxquels la participation devrait être obligatoire. La cacophonie actuelle des API hétéroclites, qui nuit au respect des promesses de la banque ouverte, pourrait de la sorte devenir un mauvais souvenir.
Il faut encore signaler la définition d'un modèle clair de responsabilités dans les cas de fuites d'information et l'instauration de mécanismes de règlement des litiges, dont l'absence engendrait une inquiétude (légitime mais souvent exagérée) de la part des grandes banques soucieuses de leur image. Ces dernières obtiennent également gain de cause sur le volet pécuniaire, avec une indemnisation « raisonnable » (conflits en vue !) d'exploitation de leurs interfaces. Dans un tout autre registre, les détenteurs de données devront offrir à leurs clients des tableaux de bord de suivi de leurs partages.
Sans apporter aucune révolution, les propositions de la Commission Européenne paraissent orientées dans le bon sens, en répondant à toutes les frustrations créées par la directive précédente. Restons toutefois prudents et patients car les conditions opérationnelles de mises en œuvre, essentielles pour atteindre les objectifs envisagés, devront encore être précisées et on connaît la capacité de certaines organisations à faire durer les discussions et à tenter par tous les moyens de réduire l'ambition initiale.
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)