Deux réglementations très importantes, mais dont certaines exigences peuvent sembler contradictoires, attirent beaucoup d’attention dans le monde financier européen : la Directive révisée sur les services de paiement (DSP2) et le Règlement général sur la protection des données (RGPD). Les institutions financières de l’Union européenne affichent déjà un excellent bilan lorsque vient le temps de se conformer aux nouvelles réglementations. Elles savent comment traduire les nouvelles règles en exigences d’affaires et disposent des ressources pour les satisfaire. Cependant, cette fois-ci, c’est différent. L’adaptation aux changements entraînés par la DSP2 et le RGPD pose un défi pour plusieurs d’entre elles.
En quoi ces réglementations sont-elles différentes, et comment façonneront-elles le secteur? Seront-elles source de conflits?
La date d’entrée en vigueur de ces nouvelles réglementations est le premier défi qui attend les organisations du secteur. Bien qu’elles soient habituées à s’adapter aux nouvelles réglementations, elles peuvent généralement intégrer les changements de façon graduelle. Cependant, en plus de la DSP2 et du RGPD, plusieurs autres réglementations majeures entreront en vigueur en 2018. On note entre autres la Directive concernant les marchés d’instruments financiers (MIF II) et, vraisemblablement, une nouvelle révision de la directive « vie privée et communications électroniques ». Les organismes de réglementation rattrapent enfin leur décalage par rapport à l’innovation et à l’évolution du marché, et mettent en œuvre de nouveaux cadres législatifs afin de réglementer les technologies financières (« FinTech ») et réglementaires (« RegTech »). Que les institutions financières aient de l’expérience ou non, ces nombreux changements constituent pour elles un défi de taille.
En quoi consiste la DSP2?
La Directive sur les services de paiement (DSP) visait principalement à harmoniser le marché européen en mettant en place l’espace unique de paiement en euros (SEPA). La DSP2, quant à elle, vise plutôt à libéraliser le marché. Elle poursuit deux grands objectifs. Premièrement, elle établit un cadre législatif adapté aux nouveaux acteurs du marché, qui se retrouveraient autrement devant un vide juridique. Par exemple, en vertu de la DSP2, PayPal sera désigné « fournisseur de services d’initiation de paiement » par la loi, et aura besoin d’un permis pour exercer ce type d’activités.
Ce cadre législatif permettra également de réglementer les acteurs qui pratiquent le « screen scraping ». Ce procédé permet aux organisations de consulter les renseignements des comptes des clients en obtenant uniquement leurs justificatifs d’identité et n’offre aucune mesure de protection de la vie privée. Les prestataires de services d’information sur les comptes existaient déjà avant que la DSP2 n’invente le terme, mais cette nouvelle directive définit les limites juridiques qui encadrent ce rôle.
Deuxièmement, la DSP2 éliminera les barrières à l’entrée du marché en augmentant l’accessibilité des données financières et des transactions de paiement au moyen d’un réseau sécurisé : l’interface de programmation d’applications (API) ouverte. Puisque les banques ne seront pas autorisées à refuser l’accès à l’API ouverte sauf si elles soupçonnent une entreprise de fraude, il sera plus facile pour les nouveaux acteurs de pénétrer le marché. Les innovateurs et les entreprises perturbatrices auront ainsi une meilleure chance de connaître le succès.
En quoi consiste le RGPD?
Le RGPD est un nouvel ensemble de règles s’appliquant à tous les résidents d’Europe (appelés « personnes concernées » dans le règlement). Son champ d’application est unique. Quel que soit l’endroit où la personne concernée ou l’entité responsable du traitement des données personnelles est située, le RGPD s’applique dès que ces données concernent un résident d’Europe.
Le principal objectif du RGPD est de défendre le droit à la protection des données des citoyens. Les données devraient appartenir à la personne qu’elles concernent, et non à l’entité qui les héberge ou les traite. Cette entité devra donc s’assurer de recueillir les données de façon licite (p. ex. obtention du consentement de la personne concernée, traitement nécessaire dans le cadre de l’exécution d’un contrat, obligation juridique ou intérêts légitimes). En outre, la personne concernée doit être dûment informée de l’utilisation prévue de ses données, doit être avisée si ses données sont transmises à un tiers, et doit savoir comment modifier ou supprimer ses données. Bref, le RGPD octroie aux résidents de l’UE de nouveaux droits à la vie privée en vue d’assurer une transparence et un contrôle accrus de leurs données personnelles.
Quelles sont les conséquences de chacune?
Il est important de noter que la DSP2 est une directive, tandis que le RGPD est un règlement. Cette distinction est fondamentale. Les directives doivent être transposées dans le droit national, ce qui peut entraîner des interprétations différentes d’un pays à l’autre. Les règlements, au contraire, sont appliqués de façon uniforme dans tous les pays membres de l’Union européenne. De plus, la DSP2 ne concerne que le secteur financier, tandis que le RGPD s’applique à tous les secteurs.
La conséquence la plus importante de la DSP2 sera sans doute la création d’une interface entre le titulaire du compte et le fournisseur de services tiers. Bien que la directive soit conçue comme une norme, chaque banque a la possibilité de mettre en œuvre ses propres normes, ce qui pourrait conduire à une certaine fragmentation et engendrer plusieurs problèmes. Certains marchés ont établi des programmes visant à uniformiser sa mise en œuvre (p. ex. l’organisation Open Banking Implementation Entity au Royaume-Uni, le Berlin Group en Allemagne et l’entreprise STET en France), mais ce n’est pas le cas partout.
Le RGPD pose un défi encore plus complexe. Traditionnellement, les banques entreposent et archivent toutes les données qu’elles recueillent. En effet, la configuration de leurs architectures de données ne permet pas de les supprimer facilement. D’ailleurs, compte tenu des importantes menaces qui pèsent actuellement sur l’économie de l’information, certaines d’entre elles se demandent s’il est même possible (ou judicieux) de supprimer des données. Selon le RGPD, est-il vraiment permis de jeter la clé de chiffrement, et d’ainsi rendre les données illisibles? Et qu’en est-il de la complexité découlant de plusieurs années d’impartition? Même si les banques gèrent l’utilisation des données, elles ne les traitent pas toujours elles-mêmes. Elles sont toutefois tenues d’agir avec transparence envers les personnes concernées.
Comment façonneront-elles le secteur?
L’objectif à long terme de la DSP2 et du RGPD est de favoriser la concurrence dans le domaine des services bancaires de détail. Grâce à la DSP2, tous les commerçants auront l’occasion de développer leur propre solution de paiement à un coût relativement faible en devenant fournisseurs de services d’initiation de paiement. Les possibilités en matière d’offres de services seront pratiquement infinies.
Cependant, l’accroissement de l’accessibilité des données exigera la mise en place de mesures de protection très robustes, et ce nouveau modèle devra être adopté par une masse critique. C’est ici que la DSP2 et le RGPD s’emboîtent parfaitement. D’un côté, on facilite l’accès aux données, et de l’autre côté, on s’assure que l’utilisation de ces données est réglementée et qu’elles sont gérées par leur propriétaire légitime : la personne concernée.
Pour s’adapter à ces deux réglementations majeures et à la nouvelle dynamique du marché, les banques devront non seulement protéger l’argent des citoyens, mais également leurs données.
CGI collabore avec les banques afin de les aider à se conformer à la DSP2 et au RGPD. Pour en savoir davantage au sujet de nos services et de la façon dont nous pouvons aider votre organisation, n’hésitez pas à communiquer avec moi.