Accueil > Actualités > Passionnez-vous pour la DSP2 !

Passionnez-vous pour la DSP2 !

8 septembre 2020

Vous voulez appréhender quelques-uns des principaux enjeux de la banque d’aujourd’hui : usage de la donnée, sécurité, consentement, open banking, confiance numérique, expérience digitale…? Je vous invite à vous plonger – si ce n’est déjà le cas – dans les dispositions de la deuxième directive européenne sur les services de paiement.

En 2 minutes, c’est quoi la DSP2 ?

Beaucoup de ceux qui animent ou contribuent à la mise en œuvre de la DSP2 connaissent cette situation. Un collègue, ou mieux – un collège de décideurs – vous interpelle : « Tu peux nous expliquer/présenter la DSP2 en 2 minutes ? » On s’exécute de son mieux mais force est de constater que l’objectif n’est jamais tenu.

On sacrifie soit la présentation soit le délai en raison de la profondeur et des ramifications du sujet.

Pour simplifier, on peut présenter la DSP2 comme portant sur 3 champs principaux :
• la sécurisation de l’accès aux données des comptes de paiement;
• la sécurisation des paiements à distance (volet commerçant et volet client);
• la mise à disposition de tiers agréés d’un accès aux comptes de paiement et la capacité d’initier un paiement.
Elle s’applique à toutes les clientèles dans le cadre de leurs activités numériques.

Généralement, dès ce stade les questions fusent : « Qu’est-ce qu’un compte de paiement ? », « C’est quoi un tiers agréé ? » « Pourquoi et comment accèdent-ils à ces informations ? » « Quelle différence entre un paiement carte et un virement depuis mon espace client ? » « Qu’est-ce que cela change pour moi ? » « Et si je n’ai pas de téléphone ? » « A quelle vitesse les commerçants vont-ils mettre cela en place ? »… Disons que c’est, sinon complexe, du moins touffu. Si l’on rajoute que les jalons et plannings sont distincts…

La bonne nouvelle, c’est que la DSP2 est désormais une réalité que tout un chacun peut concrétiser.

Pratiquez la DSP2 !

Plutôt que de vous référer aux textes, je vous propose de vous poser quelques questions par rapport à votre usage des services de paiement et, plus généralement, de banque en ligne :
– Est-ce que j’utilise l’application mobile de ma banque ?
– Est-ce que j’agrège les comptes que je détiens dans plusieurs établissements sur une même application ou un même site internet ?
– Est-ce que j’utilise mon smartphone pour effectuer des paiements sur des sites marchands ?
– Qu’est-ce qui est vraiment pratique ? Qu’est-ce qu’il ne l’est pas ? Quel équilibre pour moi entre sécurisation et partage de la donnée ? Entre sécurité et fluidité d’usage ?
– A qui fais-je confiance pour traiter tel type d’information ? Etc…

Les réponses sont assez individuelles car les contextes d’usage sont extrêmement nombreux.

Si vous n’avez pas d’avis, prenez en main l’application mobile de votre banque (téléchargez là si vous ne l’avez pas déjà fait), agrégez vos comptes via un agrégateur (proposé par les banques ou des acteurs spécialisés), regardez la sécurité et les moyens mis en place pour sécuriser vos données ou vos paiements (sécurité via un code sur l’application mobile, la biométrie, l’envoi d’un code, l’usage d’une « calculette » etc…). Forgez-vous une opinion.

Lorsqu’il vous est demandé périodiquement un code en complément de votre habituel identifiant mot de passe pour accéder à vos comptes, c’est la DSP2. Lorsque votre banque vous propose de changer de moyen pour sécuriser votre paiement à distance grâce à votre application bancaire, c’est la DSP2.

Le numéro des « assiettes tournantes »

Vous connaissez sans doute ce numéro de cirque venu de Chine où un jongleur commence par faire tournoyer une assiette sur une tige puis deux, puis trois, puis quatre…en maintenant toutes les assiettes en mouvement. Il y a de ça dans la mise en œuvre de la DSP2 à la différence que les assiettes ne devront jamais s’arrêter (au titre de la DSP2 ou de futures réglementations)

Comme pour nos assiettes, les différents volets de la DSP2 sont interdépendants et exigent une grande coordination : le client à qui l’on propose un nouveau moyen d’accès à la banque en ligne est à la fois client particulier et client professionnel, la personne à qui l’on demande de faire une authentification forte pour un paiement en ligne sur sa carte n’utilise jamais son espace client, l’expérience via les tiers de paiements doit être alignée au gré des évolutions sur celle de la banque en ligne ou des paiements à distance etc etc…

L’ensemble doit rester le plus cohérent et le plus harmonieux possible, techniquement impeccable et ce dans la durée.

Déploiements massifs et industriels

Lorsque l’on se pose les questions pratiques de mise en place, on est amené à repousser certaines limites et à relever des enjeux industriels.

L’enjeu de la volumétrie pour un groupe bancaire à plusieurs millions de clients quotidiennement actifs sur ses canaux digitaux est majeur. Par exemple, l’usage d’un code SMS pour accéder à ses comptes même une fois tous les 90 jours (comme le permet la réglementation) entraîne une augmentation considérable du nombre de SMS que doivent supporter les infrastructures. Il nous a ainsi fallu lisser cette mise en œuvre au mieux pour éviter de générer des vagues trop importantes tant pour notre informatique que pour les chargés de clientèles et les centres de relation client qui les accompagnent. Ceux-ci informent les clients, les aident en situation de difficulté de prise en main ou dans des situations atypiques (non réception de SMS en zone blanche par ex). Une nouvelle fonction est ainsi apparue : « responsable d’activation DSP2 » en complément des « PMO deploy » qui accompagnent le déploiement des produits digitaux auprès des Caisses d’Epargne et des Banques Populaires.

Dans le Groupe BPCE la barre des 100 mises en production informatiques majeures a été franchie. Et c’est loin d’être achevé ! Cela démontre sur ce plan l’ampleur des travaux. Je profite de ce billet pour saluer le travail des équipes informatiques qui ont su relever ces défis et enchaîner les marathons. Celles de la 89C3 Factory, bien sûr, mais plus largement celles de toutes les opérateurs du Groupe : i-BP, IT-CE, BPCE-IT, Natixis, BRED.

De nouveaux horizons

La DSP2, c’est également l’opportunité de repenser certains points ou d’accélérer sur d’autres.

Le vaste mouvement engendré autour de la sécurisation des services de paiements demande de faire évoluer :
• Les moyens d’authentification forte ;
• Ceux de lutte contre la fraude et la cyber criminalité ;
• La stratégie de défense parfois encore assez statique pour qu’elle devienne plus dynamique et contextualisée.

L’open banking y a trouvé un terreau de développement pour la mise en place du socle d’infrastructure ou de service permettant d’exposer des services bancaires sous forme d’API aux tiers de paiements agréés. Dans ce domaine également, des jalons importants ont été franchis ces derniers mois. L’usage des APIs DSP2 est devenu industriel – maintenu et supervisé tel quel (cela a représenté plus de 16 millions de requêtes en mai 2020). Le support aux organisations utilisatrices a également dû être structuré au regard de cette exigence. Ici encore une nouvelle fonction – coordinateur API DSP2 – est apparue.

N’hésitez pas !

En conclusion, n’hésitez pas : quand vous croisez quelqu’un qui travaille de près ou de loin sur la DSP2, demandez-lui s’il a 2 mn. Cela pourra vous demander d’investir un peu plus de temps, mais vous comprendrez mieux certains grands enjeux de transformation de la banque.