Les impacts de la réglementation DSP2 Financial Services / Strategy

Le 14 septembre dernier, la suite de la réglementation DSP2 sur la haute authentification devait entrer en vigueur mais la publication de l’Autorité Bancaire Européenne en juin dernier a permis un rallongement dans le délai de sa mise en œuvre. Ainsi, la France, l’Angleterre, l’Espagne, l’Italie et l’Allemagne bénéficient de sursis (allant jusqu’à trois années supplémentaires) pour être aux normes concernant l’authentification forte.

Les parties-prenantes avaient manifesté leur inquiétude concernant la mise en application de la réglementation. En effet, banques, entreprises de service de paiement et e-commerçants n’étaient pas prêts : 60% des entreprises de commerce de moins de 100 personnes ne connaissent pas les obligations liées à l’authentification forte. La crainte majeure liée à cette directive est la chute des ventes en ligne. 451 Research estime une perte de 57 milliards d’euros pour l’économie européenne.

Retour sur les objectifs de la DSP2, ses freins et ses enjeux pour le futur.

Une réglementation au service des clients finaux

Aujourd’hui les acteurs impactés par la DSP2 sont inquiets mais il est important de rappeler les deux ambitions derrière la Directive sur les Paiements n°2 (DSP2) :

La sécurité : l’objectif est de diminuer le nombre de fraudes en protégeant d’une part les données et les fonds de chacun et en garantissant la sécurité des opérations de paiement. En 2017, 66% des fraudes à la carte étaient réalisées lors de paiement en ligne1. Même si la fraude par carte bancaire est faible (0,03% en France et 0,21% en zone SEPA1), le pourcentage de cyber attaque est grandissant (en 2018, une augmentation annuelle de 32%2) et les moyens mis en place pour protéger les clients sont encore trop faibles.

L’innovation : avec la DSP2, les banques européennes ont le devoir de faciliter l’accès aux données de leurs clients à des Third Party Providers (TPP) à travers des APIs spécifiques. L’enjeu est d’ouvrir le marché européen à la concurrence en entrant dans l’ère de l’« Open Banking ». Ces transferts de données vont donner lieu à une innovation grandissante et aux développements de nouveaux services pour les TPP.

En résumé, c’est le client final qui est au cœur de cette directive, qui lui apportera de la sécurité et un enrichissement des offres et des services (ultra personnalisation, innovation, simplification…) dans un secteur encore en retard en matière d’expérience client.

Une authentification plus forte qui complexifie le parcours client

Aujourd’hui, lorsqu’un consommateur fait un achat en ligne, la finalisation du panier est simple, il rentre son code de carte bleue, la date d’expiration ainsi que les 3 derniers chiffres situés au dos de la carte. Dans certains cas, après validation du paiement, le consommateur  reçoit un code de validation par SMS. Le parcours est fluide et l’effort demandé au client est assez faible. Il en va de même pour les applications d’agrégation de compte, en effet, lorsqu’un client détient différents comptes dans différentes banques il peut, grâce à l’agrégateur de compte, retrouver tous ces comptes sur une seule et même plateforme. Après avoir téléchargé l’application, l’utilisateur remplit ses identifiants et mots de passe pour chacun de ses comptes. Une fois cette étape terminée, le client peut avoir une vue d’ensemble sur l’intégralité de ses comptes et initier des paiements de manière simple et fluide.

La conséquence directe de ce contrôle de sécurité plus important est la complexification du parcours client

Avec la DSP2 et sa mesure d’authentification forte, des étapes se rajouteront aux processus (achat en ligne et agrégateur de compte). La conséquence directe de ce contrôle de sécurité plus important est la complexification du parcours client, dorénavant, le consommateur devra passer par deux étapes parmi trois possibilités :

⏩ Quelque chose qu’on possède : un appareil détenu par le client (smartphone, tablette…)

⏩ Quelque chose qu’on connaît : une information définie par le client (mot de passe ou code pin)

⏩ Quelque chose qu’on est : système de biométrie (reconnaissance vocale, faciale, de l’iris, ou une empreinte digitale)

La complication des parcours clients représente deux risques : du point de vue des e-commerçants, il y a un danger d’une augmentation des taux d’abandon qui entrainera une baisse des ventes. Du point de vue des Fintechs, un abandon des services proposés et une dégradation de l’image de la simplicité véhiculée par ces entreprises.

Bien sûr, comme lors de tout changement majeur, une phase d’adaptation est nécessaire et les acteurs qui seront réagir en conséquence en proposant un accompagnement et des offres et services adaptés sortiront gagnants.

Des challenges organisationnels et sécuritaires à relever pour les parties prenantes

Pour les banques, les challenges résideront dans la mise en place d’API efficaces pour partager les données des clients aux TPP de manière sécurisée au service de l’innovation et de l’expérience client. Chantier mis à mal par la plupart des acteurs bancaires qui se sont concentrés dans un premier temps sur le sujet de l’authentification forte. 

Pour les e-commerçants, les défis seront : dans un premier temps, la mise en conformité de la haute authentification en travaillant main dans la main avec les banques ou les services de paiement. Dans une deuxième phase il faudra « éduquer » les clients finaux à ce nouveau parcours pour limiter le taux d’abandon. La conduite du changement dans les habitudes de paiement des consommateurs sera clé et les entreprises qui sauront limiter les effets de la complexification du parcours auront une belle longueur d’avance sur la compétition.
Les services de paiement, qui auront à intégrer l’authentification forte au sein de leurs solutions, chercheront bien sûr à reporter le coût engendré sur les transactions facturées. Cette surcharge financière sera bien évidemment plus difficile à absorber pour les petites structures e-commerce…

Conclusion : une réglementation qui va marquer la différence entre les institutions et les plus petits acteurs

Pour tous, le constat est le même, cette réglementation nécessite beaucoup de changements en transverse qui impliquent des investissements financiers forts et des réorganisations à effectuer au sein des entreprises. La réglementation donne ainsi un avantage conséquent aux grandes institutions, dotées de davantage de ressources (équipe marketing, IT, juridique…) pour relever ces défis. Les plus petites structures vont donc devoir redoubler d’efforts pour rester compétitif.
Ainsi, un paradoxe, au moins temporaire, apparaît entre les objectifs initiaux de la DSP2 (l’innovation et l’ouverture à la compétition) et ses conséquences.

1 La Banque de France – Observatoire de la sécurité des moyens de paiement – 2018
2 Fédération bancaire française – F-Secure – 03/2019



Avatar de Camille Bocquentin
Camille Bocquentin

Diplômée d'un master en marketing international à l’ESCE et d’un master en Stratégie à l’ESSEC Business School, Camille a rejoint Equancy en juin 2018 en tant que consultante junior dans l’équipe Stratégie. Auparavant elle a travaillé pendant 2 ans en tant que Chargée d’Etudes Loyalty – CRM dans l’institut Ipsos sur des missions d’amélioration d’expérience client et de suivi de relation client.