Des centaines de millions d'euros d'économies pour les consommateurs : c'est ce que promet la Commission européenne avec l'entrée en vigueur samedi d'une directive sur les paiements électroniques, qui vise un équilibre délicat entre sécurité et libre concurrence.

« Cette législation (...) ira dans le sens du développement de paiements innovants en ligne et sur mobile, ce qui bénéficiera à l'économie et la croissance », a annoncé vendredi le vice-président de la Commission européenne, Valdis Dombrovskis, dans un communiqué. Derrière cette « directive révisée des services de paiement », alias DSP2, se cachent de longs mois de débats entre anciens -les grandes banques traditionnelles- et nouveaux venus -les start-up financières, dites « fintechs ». « L'enjeu est de mettre des règles sur tout le foisonnement de nouveaux acteurs et de modes de communication », explique à l'AFP Damien Schmitt, spécialiste du secteur bancaire au cabinet Sia Partners.

La directive répond à l'arrivée de deux types d'acteurs numériques. D'un côté les agrégateurs, comme Bankin' ou Linxo, qui proposent une interface unique pour gérer des comptes domiciliés dans plusieurs banques. De l'autre, des groupes qui exploitent le paiement mobile, à l'image de la jeune pousse Lydia qui propose par exemple aux particuliers des services de virement par texto.

Favoriser la concurrence et assurer la sécurité

Pour Bruxelles, la contrainte est double. Il s'agit d'établir un cadre favorable à l'innovation et la concurrence - nombre de ces fintechs ambitionnant de bousculer les mastodontes de la banque -, tout en assurant la sécurité des utilisateurs. Symbole de ce grand écart, Valdis Dombrovskis promet successivement « aux consommateurs de l'UE d'économiser plus de 550 millions d'euros par an » et d'être « mieux protégés quand ils effectuent leur paiement ».

Le commissaire insiste sur le fait qu'il ne sera désormais plus possible d'exiger des frais supplémentaires lors de paiements sur internet avec une carte de crédit. Parmi les mesures qui entrent immédiatement en vigueur, les consommateurs pourront aussi exiger d'être remboursés par un service de paiement dès le lendemain d'une transaction frauduleuse.

Accès aux données bancaires

C'est toutefois un autre sujet, plus lointain pour les consommateurs, qui a focalisé les débats entre banques et fintech : l'accès aux données bancaires, domaine sur lequel Bruxelles laissera un an et demi de délai aux différents acteurs pour s'adapter.

Le « web scraping » a tout particulièrement cristallisé les tensions. C'est sur cette technique, qui consiste à aller chercher les informations directement sur le site internet des banques via les identifiants du client, que repose actuellement le modèle de nombreuses start-up. « Notre crainte, c'est que pour siphonner les fonds des clients, (...) on aille hacker la start-up qui fasse de l'agrégation de paiements », explique à l'AFP Marie-Anne Barbat-Layani, directrice de la Fédération bancaire française (FBF). Au final, « la Commission européenne s'est quand même rendu compte qu'il y avait des problèmes de sécurité : le travail a été fait correctement », estime-t-elle.

Pour autant, Bruxelles n'a pas pleinement suivi les recommandations des banques, qui souhaitaient une interdiction totale du « web scraping » tandis que nombre de fintech les accusaient de plaider la sécurité pour privilégier des intérêts commerciaux.

Bankin : « on est parvenus à un terrain favorable »

Certes, la Commission va bien forcer les jeunes pousses à passer par une interface de programmation contrôlée par la banque si cette dernière l'exige. Les établissements traditionnels devront mettre en place ces interfaces - dites API - d'ici à septembre 2019. Mais les fintechs, qui craignaient que les banques proposent des interfaces peu performantes, ont obtenu gain de cause sur un élément crucial : si une API n'est pas viable, la start-up pourra en dernier recours revenir vers le « web scraping ».

En fin de compte, les deux camps se disent pour l'heure satisfaits de l'état de DSP2, qui durcit par ailleurs les règles d'authentification du consommateur dès qu'une opération dépasse quelques dizaines d'euros. « On a beaucoup souffert du flou juridique, mais on est parvenus à un terrain favorable », se réjouit auprès de l'AFP Joan Burkovic, fondateur et PDG de Bankin'.

Conjugué à l'entrée en vigueur le 25 mai du Règlement général sur la protection des données (RGPD), un autre texte européen, il s'agit de « libéraliser les données tout en les sécurisant », conclut-il. « C'est le début d'un mouvement de fond. On en a au moins pour dix ans. »