Alors que la Commission européenne finalise son projet ambitieux de création d’un marché européen unique des paiements, une proposition énoncée à l’article 58 de la prochaine Directive sur les Services de paiement (PSD2) pourrait bouleverser les modalités des paiements dans le bloc des 28 États membres. L’article inclut en effet une disposition prévoyant de réglementer l’accès de tiers (« fournisseurs tiers de services de paiement ») aux informations de comptes de paiement, dont le montant des fonds présents sur le compte. Le but est de normaliser et réglementer l’accès aux informations financières et permettre ainsi des opérations directes de paiement sans passer par des systèmes de cartes et fournisseurs intermédiaires de services. De grands revendeurs pourraient même envisager de devenir eux-mêmes des fournisseurs tiers de services de paiement et effectuer par là-même des paiements directement à partir du compte bancaire du client.

Cette solution qui permet de réduire les coûts des opérations de paiement pour les marchands et leurs clients est bien sûr séduisante. Les répercussions pour le système de paiement classique à quatre coins, dont une protection correcte des données du consommateur, ne sont toutefois pas négligeables.

Le régulateur ne l’a pas oublié et les tiers feront l’objet de contrôles visant à s’assurer qu’ils traitent avec soin des données de consommateurs. Cela dit, on peut se demander si les consommateurs autoriseront volontiers des tiers à accéder à leurs informations. Et qu’en est-il pour les banques qui pourraient être tenues responsables et se trouver confrontées à de nouveaux risques quant à leur réputation en cas de violation de données ?

Même si le bouleversement risque d’être radical, le cloud apparent de libre accès aux informations de paiement pourrait apporter un avantage substantiel aux banques européennes. Nous avons identifié ci-dessous quelques opportunités qui, à notre avis, pourraient passer inaperçues dans la précipitation en faveur d’une modification des propositions :

• Pour les banques, l’introduction de nouveaux processus de paiement est une occasion idéale de renforcer leurs systèmes de défense. Cela améliorerait leur efficacité dans la prévention de la fraude tout en renforçant la confiance des clients. Malgré les dégâts de la crise dans d’autres secteurs de l’industrie bancaire, les banques ont préservé leur réputation en termes de confiance et de fiabilité dans les paiements. Bien plus que des sociétés telles que Google, Apple, Facebook et PayPal qui, pour les paiements, ont fait savoir qu’elles comptaient bien entrer dans l’arène. En mettant à profit leurs acquis en termes de marque et de confiance, les banques devraient saisir une opportunité, ce qui leur permettrait d’occuper à nouveau une place centrale dans la nouvelle ère qui s’ouvre en matière de paiements.

• Les banques pourraient également proposer de nouveaux services, vérifier par exemple  l’identité des clients qui effectuent des opérations, tout en s’assurant qu’ils disposent alors de fonds suffisants. Une nouveauté qui non seulement réduirait la vulnérabilité des marchands face à la fraude mais profiterait également aux clients qui n’auraient plus besoin d’autoriser des tiers à accéder à leurs informations personnelles. Le GoogleWallet le propose déjà, ce qui montre la nécessité pour les banques de relever le défi lié à l’arrivée de certains nouveaux arrivants sur le marché des paiements.

• Les banques qui, face au défi PSD2, préfèrent prendre le taureau par les cornes pourraient couper l’herbe sous le pied à leurs concurrents en proposant de nouveaux services innovants. Par exemple, un service SSO (tel que l’OpenID Connect) permettant aux utilisateurs de se connecter à plusieurs comptes en ligne – dont LinkedIn et Gmail, via un seul compte – chaque compte faisant l’objet d’un contrôle de sécurité par la banque. Cela simplifierait et sécuriserait la navigation et pourrait améliorer également la fidélité du client. Associé à une surveillance des transactions en temps réel, telle qu’IRIS Analytics la propose, il n’y aurait pas plus de fraudes et la protection des données du client serait garantie.

Prendre le taureau par les cornes plutôt que de réagir comme un éléphant dans un magasin de porcelaine face à la nouvelle réglementation pourrait finalement apporter des avantages plus qu’accessoires. Par exemple, pourquoi partager des bénéfices avec les systèmes de cartes ou PayPal si on peut l’éviter ? Les revenus complémentaires liés à des transactions « directes avec le consommateur » pourraient couvrir une partie des frais d’investissement dans les nouvelles infrastructures imposées par l’entrée en vigueur de la réglementation.

Dans le même temps, l’importance des mesures de sécurité des données de tiers serait nettement moindre, ce qui mettrait fin à la situation dramatique actuelle de violation de données comme celles de Target aux États-Unis. Une attaque qui s’est traduite par le vol de 70 millions d’informations, dont les adresses et numéros de téléphone des clients de Target et de 40 millions d’informations de cartes de débit et de crédit.

En l’absence de données PAN stockées chez les marchands, en ne confiant que les enregistrements des transactions à des revendeurs et en permettant une meilleure vue globale des transactions de leurs clients, le risque encouru par les banques en termes d’image pourrait être nettement moindre.

PSD2 est encore au stade des discussions, il est donc trop tôt pour en voir l’impact direct sur l’industrie des paiements en Europe. Nous sommes cependant sûrs d’une chose, la Commission entend bien créer un marché européen unique des paiements. Auquel cas, alors que les banques s’acharnent à garder leur place dans l’arène face à de nouveaux concurrents innovants, il est possible que pour les banques la corrida soit plus prometteuse qu’il n’y semble à première vue.

Nikolaus Bayer, directeur général, IRIS Analytics