ou l'authentification forte
|
|
|
Publié le 15 janvier 2019 |
|
|
Article co-écrit avec Marine Bauchère, consultante senior, Ghislain Boulnois, senior manager et Alice Georget, senior manager. |
Réactions d'un citoyen normal |
Il y a un an précisément, la Directive sur les Paiements n°2 (DSP2) entrait en vigueur avec une promesse : ouvrir l’ère de l’Open Banking en favorisant la concurrence. Un an après, le monde des services financiers déchante un peu : l’ouverture promise ne semble pas être vraiment au rendez-vous, et la DSP2 alourdirait le parcours client et tendrait à brider les activités des nouveaux acteurs du marché, de l’agrégateur de compte à l’initiateur de paiement. La DSP2 ne serait-elle qu’un cadeau empoisonné ?
DSP2 : de quoi s’agit-il ?Entrée en vigueur le 13 janvier 2018, la DSP2 régule les nouveaux acteurs du paiement. Son objectif : mieux protéger les clients dans un contexte de cyber criminalité accrue, où les fraudes et usurpations d’identité se multiplient, et favoriser l’innovation, la concurrence et l’efficience du marché. A noter que cette directive ne porte que sur les comptes de paiement (les comptes épargne ne sont pas concernés). Elle porte sur 3 sujets majeurs : |
C'est sans aucun doute pour moi plus qu'un cadeau empoisonné ! un pas de plus vers le contrôle total de l'activité économique des citoyens |
1. Communication sécurisée entre les banques et les Third Party Provider (TPP), tels que les agrégateurs de comptes et initiateurs de paiements (entre en vigueur au 14 septembre 2019). Les banques devront ainsi développer des API mettant à disposition des TPP les données de paiement de leurs clients. |
La communication sécurisée n'est qu'un prétexte pour rassurer |
2. Authentification forte pour la consultation
des comptes et opérations engageantes (entre en vigueur au 14
septembre 2019) : > L’authentification forte est la combinaison de deux éléments d’authentification indépendants l’un de l’autre parmi les trois catégories suivantes : – Possession : Ex.
Smartphone / carte SIM / Clé physique… (
Lire l'article de "Robin des toits" sur
le développement de la 5G) L’authentification forte sera dorénavant nécessaire pour accéder aux comptes de paiement et les partager avec des tiers ; ainsi que pour réaliser des opérations dites « engageantes » tels que les virements par exemple, hors exemptions. > Le client devra renouveler tous les 3 mois son authentification forte pour accéder à ses comptes. |
En mars
2019, sans être prévenu, je ne pouvais plus me connecter et
consulter en ligne mon compte bancaire, le Crédit Agricole. Il fallait que je
donne un numéro de téléphone portable pour recevoir un code d'accès
supplémentaire afin de pouvoir y accéder. C'est ce qu'on appelle
"l'authentification forte". Je n'ai pas de téléphone portable et j'ai encore le droit de ne pas en avoir. Exaspéré par de telles mesures, je me précipite vers mon conseiller bancaire qui me confirme cette directive européenne à laquelle nous serons obligés de nous soumettre. Ma colère est telle que j'ai menacé de retirer mon compte et les quelques placements que je leur avais confiés. |
Un manque d’harmonisation à l’échelle européenne et une interprétation « a minima » de la réglementationPour les Fintech, la DSP2 devait être synonyme d’ouverture massive du marché aux données bancaires. Or le texte européen ainsi que ses règles d’application ont laissé une part importante à l’interprétation. Conséquence : une absence d’harmonisation de la mise en œuvre de la DSP2 au niveau européen et des travaux importants de lobbying auprès des autorités françaises et européennes. La France a opté pour une mise en place « à minima » de la DSP2 : les agrégateurs et initiateurs de paiement devront se plier aux solutions d’authentification forte proposées par chaque banque, et n’auront pas accès à la liste des bénéficiaires « de confiance » du client, limitant a priori la gamme de services qu’ils peuvent proposer. |
15 jours
plus tard, après avoir fait quelques recherches pour ouvrir un compte
dans une autre banque; je tente de me connecter sur mon compte en
ligne, et c'est
cette fois possible. Mon intervention a donc fait de l'effet. Mais j'ai aussi la certitude que l'application selon cette directive n'est pas la même selon les banques ou les agences bancaires régionales. Ma soeur, habitant à Evreux en Normandie, ayant également un compte au Crédit Agricole, n'a jamais eu ce problème et consulte régulièrement son compte par Internet, sans avoir eu à donner le numéro de son téléphone portable. Mon épouse, continue d'avoir accès à son compte bancaire du Crédit Lyonnais, sans téléphone portable. |
Agrégateurs de comptes et initiateurs de paiement : une expérience client qui se complexifie et perd en fluiditéLes agrégateurs de comptes, tels que Bankin, Budget Insight ou encore Linxo, proposent à leurs clients d’agréger, au sein d’une interface unique, l’ensemble de leurs comptes bancaires (de paiement et d’épargne). Aujourd’hui l’expérience client proposée est simple et rapide : un client peut agréger ses comptes et initier des paiements en quelques clics en fournissant ses identifiants de connexion et mot de passe permettant d’accéder à ses comptes bancaires depuis sa banque en ligne. Avec l’entrée en vigueur le 14 septembre 2019 de l’authentification forte, les choses risquent de se complexifier quelque peu… Désormais, des dispositifs d’authentification forte seront mis en place pour chaque banque agrégée et seront à renouveler tous les trois mois. A noter que ces authentifications seront propres à chaque partenaire et opérations, et se cumuleront donc pour le client. Résultat : une expérience client plus complexe et un risque de perte de clientèle pour les agrégateurs de comptes. |
Pour terminer sur ce sujet, j'ai fait une demande d'inscription de compte au Crédit Mutuel de Villeurbanne (Région lyonnaise) avec l'intention de quitter le crédit Agricole : ils m'ont bien précisé que sans téléphone portable il n'est pas possible d'ouvrir un compte chez eux. Il est cependant possible que l'employée à l'accueil derrière le guichet ne fait que son devoir sans état d'âme sur le fait que l'on ne saurait vivre sans avoir un téléphone constamment dans la main. |
Pour les banques : complexité technique et projets coûteuxSi la DSP2 a permis une prise de conscience de la part des banques françaises de la dérégulation de leur marché et de la nécessité d’offrir à leurs clients des interfaces plus agréables ainsi que de nouveaux services d’agrégation de compte, elle présente également de forts enjeux financiers et organisationnels. La mise en conformité DSP2 représente en effet pour chacune des banques française un chantier de plusieurs dizaines de millions d’euros. Si certaines banques utilisent d’ores-et-déjà des API internes, elles doivent aujourd’hui « API-ser » vers l’extérieur leurs systèmes d’information et organiser les phases de tests avec les futurs utilisateurs de leurs API. Si certaines grandes banques françaises commencent à sortir la première version de leur API et à les faire tester par des TPP de la place, d’autres ne seront probablement pas prêtes à exposer les API de DSP2 pour l’échéance réglementaire. Autre challenge pour les banques : développer les dispositifs d’authentification forte des clients, les mettre en œuvre et préparer les plans de conduite du changement auprès des clients. Enfin, elles doivent depuis janvier 2018 intégrer les impacts organisationnels de cette nouvelle réglementation : mise en place de nouveaux reportings (notamment sur les connexions des TPP via les API), modification des outils de gestion de la fraude et mise en place de nouveaux processus (mise en place d’obligations en termes de service client, remboursements, analyses à postériori, gestion réclamations…). La DSP2 ne sera finalement pas forcément le catalyseur d’innovation que nous attendions. Elle sera peut-être même un frein au développement de nouveaux services des nouveaux acteurs du marché. En stimulant l’innovation des banques traditionnelles, en complexifiant l’expérience client des services proposés par les nouveaux acteurs, et compte-tenu de la réticence latente des français au partage de leurs données, elle a réduit le marché des nouveaux acteurs BtoC. Néanmoins, la DSP2 a ouvert de nouvelles perspectives. D’abord, le développement pour les nouveaux acteurs de nombreux cas d’usages BtoB, ouvrant de nouveaux marchés pour les agrégateurs et pour leurs clients potentiels. Ensuite, une accélération de l’innovation pour fluidifier les solutions et parcours d’authentification forte. Enfin, la directive a permis aux acteurs traditionnels de prendre davantage conscience de la nécessité de mieux gérer et exploiter les données clients ... |
|
J'interprète cette dernière phrase plutôt dans ce sens : exploiter les clients |
|
Ouverture des données : une bonne nouvelle pour les banques, assureurs et leurs clients ? |
|
La Directive sur les Paiements n°2 (DSP2) n’a pas été
accueillie d’un très bon œil par le monde des services financiers. Comme
nous l’avons montré dans un précédent
article, l’ouverture des données n’a pas donné les résultats
attendus, et la nouvelle réglementation a souvent été perçue comme un
frein à la qualité de l’expérience client. Tout ceci est vrai mais la directive n’apporte pas que des mauvaises choses, bien au contraire. Changeons donc d’optique et tâchons de voir le verre « à moitié plein ». La DSP2 demande aux banques de développer trois API : « Agrégation de comptes », « Initiation de paiement », « Couverture de solde » Cette initiative est le premier pas vers l’ouverture des données bancaires. En effet, ces données bancaires ne sont plus le monopole des banques, elles sont désormais mises à disposition de tiers qui pourront eux aussi y avoir accès. Il est donc plus que jamais stratégique pour les institutions financières de tourner à leur profit cette ouverture des données bancaires. D’autant plus les banques ont déjà dépensé plusieurs dizaines de millions d’euros pour se mettre en conformité DSP2 (mise en place des API, des dispositifs d’authentification forte, d’outils de fraude, refonte des reportings…), et la marche à franchir pour tirer profit de ces investissements semble aujourd’hui marginale comparée aux efforts déjà engagés sur le volet réglementaire. En parallèle, cette ouverture des données bancaires va renforcer l’environnement concurrentiel : d’autres acteurs (assureurs, agrégateurs de comptes, initiateurs de paiements), pourront désormais eux aussi accéder à ces données et en tirer profit. La DSP2 place la donnée au cœur des réflexions aussi bien des banques que des acteurs tiers. Alors comment les banques et les assurances pourront-elles tirer parti de ces données ? Plus précisément, comment pourront-elles en faire de nouvelles sources de revenus ? De trois manières différentes : par la commercialisation d’API (pour les banques), par la monétisation des données et par la détection de nouvelles opportunités de vente grâce aux données. |
La véritable intention dans cette directive est donc bien pour les banques de chercher des nouvelles sources de revenus en tirant parti de toutes les données bancaires |
La commercialisation d’API (banque) :La banque expose ses API à des tiers pour que ces derniers les consomment, gratuitement ou contre rémunération : en proposant des services bancaires qui viennent enrichir les API DSP2 (ex. : score de solvabilité, modules de paiement, services de transfert d’argent, de vérification de l’identité…) ou non bancaires (ex. la banque propose des services de partenaires non bancaires tels que des agences immobilières, des concessions automobiles, des compagnies de taxi, des planificateurs de voyages…). Commercialiser ces API permettra à la banque de générer des revenus additionnels, aussi bien sur les segments B2B que B2C. Qu’appelle-t-on API ? C’est un diminutif signifiant Application Programing Interface. Le mot « interface » en est la source. Sans nous en rendre compte, nous utilisons de nombreuses interfaces au quotidien. À l’exemple de la télécommande d’une télévision, elle vous permet d’interagir avec cette dernière. Pour ce qui est de l’API bancaire et du côté informatisé, il s’agit d’interfaces servant à deux programmes informatiques de communiquer. Différents services peuvent être regroupés dans une API qui constituera un seul point de contact avec la banque. Si auparavant, les banques pensent ne pas pouvoir se développer sans disposer d’un site web ou d’une application mobile, aujourd’hui, elles ne peuvent pas penser à un meilleur développement sans une API. C’est une source de revenus pour les personnes qui les conçoivent, une base pour inventer de nouvelles méthodes de distribution, afin de mieux gérer l’informatique interne et externe. Le rôle d’une API consiste à créer des passerelles entre différentes applications pour faciliter leurs échanges. Un des exemples les plus connus est l’API de Google « Maps », qui donne accès aux données et aux fonctionnalités de géolocalisation de Google. Pour le cas d’une API bancaire, c’est un outil puissant servant à refondre l’architecture vieillissante du système d’information bancaire et adapter son mode de fonctionnement aux enjeux actuels. La mise en place des API permet d’accroître l’agilité des systèmes d’informations bancaires. Elle permet également aux banques d’offrir à leur clientèle plus de valeur en dehors d’un environnement fermé. De plus, elle rend possible la gouvernance informatique aussi bien interne qu’externe. Une vraie révolution pour les établissements bancaires. |
c'est l'ère du numérique Nous y sommes complètement. Vous n'aurez plus jamais à vous inquiéter, on s'occupe de tout.
Nous sommes entrés dans l’ère de la
Technopoly. Soit une société dans laquelle la culture
et nos comportements quotidiens sont entièrement
soumis aux impératifs technologiques, et de l'économie capitaliste. Tout doit y être mesuré, évalué
avec le plus haut degré de précision, converti sous forme de données
quantifiables et objectives, pour permettre à des machines ou à des
experts d’assurer, pour notre plus grand bonheur, la gestion de nos
vies. Bien que l’information n’ait jamais été aussi facile d’accès et
présente en telle quantité, nous sommes désemparés, incapables
d’appréhender un monde devenu d’une grande complexité. D’autant que les
institutions sociales (l’école, la famille, les organisations
politiques…) et les valeurs au fondement de la culture humaniste – qui
structuraient jusqu’alors nos existences tout en favorisant le
développement de notre autonomie et de notre faculté de jugement – ont
rendu les armes face au monopole de la technique. |
Monétiser les données bancaires :Certaines startups proposent aux banques de monétiser leurs données bancaires auprès de marchands. Le concept est le suivant : la startup fait le lien entre les banques, les marchands et les clients finaux. Elle agrège les données bancaires des clients via l’API agrégation de comptes et les analyses pour profiler les clients. D’autre part, elle dispose d’un réseau de commerçants partenaires qui proposent des promotions. La startup permet ensuite aux banques de pousser, depuis leur application, des offres promotionnelles personnalisées pour chaque client. La banque prend une commission sur chaque offre promotionnelle poussée : elle monétise les données de ses clients en échange d’avantages fidélité. |
En remontant aux origines de la science moderne et de l’idéologie du progrès, l’auteur dresse un constat sans appel , notre soumission à la technologie numérique menace à terme de détruire les sources vitales de notre humanité. |
Optimiser l’offre produit et détecter de nouvelles opportunités de vente :Les banques et assurances pourront accélérer la souscription de leurs offres par l’analyse des données bancaires externes. Prenons l’exemple du crédit, des garanties locatives, ou encore des assurances emprunteur. Au lieu de demander à leurs clients d’importer leurs relevés de comptes, elles pourraient directement aller les chercher pour eux en consommant l’API agrégation de comptes. Premier avantage : le client est libéré des tâches administratives : il n’a plus à aller chercher ses relevés de comptes, ni à les envoyer. Second avantage, ces données sont récupérées sous un format directement exploitable qui permettra de développer des scoring de risques automatisés. En quelques minutes, le client saura si son prêt lui est accordé ou non. Une fois le crédit ou l’assurance souscrite, pourquoi ne pas le faire évoluer selon les changements qui affectent la vie du client ? En actualisant les analyses de risques pour proposer des prêts ou assurances évolutifs, les banques et assurances pourraient récompenser les clients qui adoptent un comportement financier sain, et renforcer l’engagement des clients et leur propension à respecter leurs échéances. Au-delà de la souscription, ces données bancaires permettront de détecter des opportunités de ventes additionnelles. Prenons l’exemple de l’assurance : |
En définitive, un comportement
financier sain est d'obéir à toutes directives qui ne révèlent aux citoyens
que des avantages, sans en préciser les vraies raisons comme celles qui
sont clairement définies ici. Nos comptes
bancaires doivent être transparents et accessibles à tous les partenaires
financiers. Inversement, pourrions nous demander en nos qualités de citoyens, à ce que les comptes bancaires, particulièrement ceux des Paradis Fiscaux, soient eux aussi transparents de façon à pouvoir les sanctionner quand on découvrirait que les sommes d'argent qu'ils obtiennent sont illégales ? ... comme par exemple provenant du trafic de drogue, du vol, de la revente d'armes à feu, de l'escroquerie, d'une fraude fiscale, ... (Lorsque ces fonds sont réintroduits dans le circuit légal afin d'en dissimuler la provenance, on parle de blanchiment d'argent sale,) infraction réprimée par le Code pénal. Tout le monde sait que ce prétendu Code Pénal n'a que très peu de pouvoir de condamnation, mais qu'il en aurait beaucoup plus vis à vis des citoyens qui obtiendraient le droit ... "de pouvoir intervenir dans la comptabilité frauduleuse des banques, et leurs investissements spéculatifs qui ne respectent pas, par exemple, les mesures contre le réchauffement climatique". |
les assureurs et leurs clients : la bonne nouvelle ?
Cliquez sur le tableau |
RENFORCER LA PRÉVENTION ? Lisez bien le tableau de gauche : n'est ce pas hallucinant ? Ce qui me fait dire, haut et fort : Pour toutes les raisons suivantes: La fabrication du consentement" ou "comment on a fait de nous des moutons", l’intelligence artificielle qui n’a rien à voir avec l’intelligence mais plutôt l'émergence programmée d'une humanité sans conscience, le temps passé devant les écrans qui nous font passer à coté de l’essentiel et nous pousse à la médiocrité, la passivité et souvent la violence dans les jeux vidéo , le rôle manipulatoire et le formatage des cerveaux par les médias, (Article de Pierre Jourde du Monde Diplomatique) ... » voilà toutes les méthodes, comme celle décrite dans le cadre de gauche, qui sont mises en place, à notre insu, pour ne plus être que des consommateurs stupides, ignorants, jusqu'à devenir totalement débiles quand organiser nos vies quotidiennes ne sera plus possible sans l'assistance des applications et des robots ... obéissant à ces mots d'ordre qui me font vomir et hurler de colère : "CONNECTEZ - VOUS" |
L’ouverture des données constitue une source importante de revenus additionnels, dont les banques et assurances auraient bien tort de se priver ! D’autant qu’il s’agir d’une stratégie gagnant-gagnant, qui profite autant aux institutions financières qu’à leurs clients. Pour assurer cette stratégie de valorisation des données, des réflexions devront être menées sur les cas d’usage, la valeur ajoutée réelle auprès du client, mais également en interne, le ROI attendu et la légitimité d’une telle action. |
QUELLE MISÈRE ! |
Dans le cadre de la Directive sur les Paiements n°2
(DSP2), les données bancaires sont mises à disposition de tiers, qui
peuvent désormais, comme les banques, y avoir accès. Cette ouverture des
données est riche d’opportunités pour les banques, qui peuvent en tirer
des revenus
additionnels. Mais si les français sont enclins à partager leurs
données bancaires, ils attendent en retour des services à forte valeur
ajoutée. Les établissements financiers doivent donc porter une attention
toute particulière au discours porté et la valeur perçue autour de leur
utilisation des données bancaires des clients. Ainsi, 57% des français
seraient prêts à partager plus d’informations personnelles avec les
institutions financières si, grâce à ces données, des produits et
services mieux adaptés à leurs besoins leur étaient proposés. Alors comment les banques et les assurances peuvent-elles, grâce aux données, améliorer l’expérience de leurs clients et renforcer leur engagement ? La donnée est la voie royale vers une meilleure connaissance des clients. Certaines startups se sont spécialisées dans l’analyse et l’interprétation des données bancaires. Elles développent des algorithmes d’intelligence artificielle pour restituer à la banque ou assurance des segmentations de leur portefeuille client, affiner les ciblages clients, mesurer des parts de marché… Toutes ces nouvelles données permettront aux banques et assurances de mieux comprendre les besoins de leurs clients, pour leur proposer des services sur mesure. Par exemple un coach financier ou d’épargne qui accompagnera un client au quotidien dans la gestion de son budget, et l’aboutissement de ses projets personnels. Il est possible d’aller plus loin et de devenir le partenaire de vie de son client, en lui proposant des services qui vont au-delà des prestations classiques des banques ou assurances. Sur son application bancaire ou assurantielle, le client pourra être épaulé au quotidien dans la gestion de ses finances, mais également disposer de tous les services répondant à ses univers de besoins. En deux clics il pourra réserver ses billets d’avion, faire appel aux services d’entrepreneurs pour rénover son appartement, commander un taxi, réserver un restaurant… D’après la dernière étude Deloitte « Les Français et les nouveaux services financiers », 78% des français seraient intéressés pour que leur banque / assurance leur propose un service hors de leur champ d’action naturel. Cela traduit une légitimité forte des banques et des assurances à proposer des services d’accompagnement en dehors de leur cœur de métier. Elles capitalisent ainsi pleinement sur la notion de tiers de confiance que les français lui donnent légitimement. Les banques pourront également proposer à leurs clients un agrégateur de comptes bancaires. Un service qui, d’après le dernier baromètre Fintech Deloitte, suscite de plus en plus l’intérêt des français. 14% des Français en utilisent déjà un, 66% utilisant celui de sa banque ou de son assureur plutôt que celui d’une fintech. Cet agrégateur de compte pourra être enrichi d’un agrégateur de contrats d’assurances – pour se différencier des agrégateurs traditionnels – et complété par de nouveaux moyens de paiement via la consommation de l’API d’initiation de paiement. Le client a ainsi la possibilité de mieux gérer son budget et de faire des allocations optimisées entre ses comptes pour éviter les découverts et placer tout excédent de trésorerie. Autre idée : s’inspirer des géants asiatiques tels que AliPay qui proposent à leurs clients une market place sur laquelle le client trouvera l’ensemble des services de partenaires dont il a besoin. Les possibilités offertes par l’ouverture des données sont infinies… Le mouvement est amorcé, certains acteurs bancaires et assurantiels ont déjà lancé des initiatives sur le sujet. A quand votre tour ? |
Je n'ai vraiment pas envie d'être mieux connu par ma banque je n'ai pas envie que mes besoins soient mieux compris d'avoir des services sur mesure de permettre à ma banque d'en tirer des revenus d'avoir un coach financier, d'un agrégateur de comptes bancaires et de contrats d'assurance de faire partie de ces 78% de français qui le souhaitent
plutôt crever que d'acheter un portable pour tout ça !
J'ai consulté un journaliste du Monde Diplomatique qui, inspiré, a traité ce sujet dans le numéro de juin 2020 : Bienvenue dans une société sans contact
Une première réaction : Un lecteur du Monde Diplomatique
JE NE SUIS PAS LE SEUL ! |
Philippe d'Hennezel 6/04/2020 |