DSP2, GDPR : quels enjeux pour les Fintech ?

La deuxième vague offre aux Fintech l’opportunité d’élargir leur offre de service et de prendre leur indépendance. À condition de reconsidérer leur rapport à leur environnement réglementaire pour en tirer parti.

Le premier les avait vus chahuter les business models traditionnels des banques, qui se trouvaient menacées sur l’ensemble de l’expérience et de la relation client. La deuxième vague offre aux Fintech l’opportunité d’élargir leur offre de service et de prendre leur indépendance. À condition de reconsidérer leur rapport à leur environnement réglementaire pour en tirer parti.

L’optimisation du parcours client est à l’origine même du développement des Fintech qui ont su proposer des innovations technologiques majeures et leur ont permis de s’intéresser à un premier segment de marché, par exemple les solutions de paiement, la gestion des devises… Elles se sont aujourd’hui fortement développées autour d’une très large palette de services bancaires sur les activités cœurs de métier des acteurs traditionnels bancaires : épargne, paiement, découvert/crédit, conseils financiers…. Cette évolution est majeure pour l’industrie, car elle permet aux Fintech de s’affranchir d’un adossement à un grand réseau bancaire voire à un GAFA, et ainsi de garantir leur indépendance à l’heure même où l’environnement réglementaire à travers DSP2 leur est fortement favorable.

Le premier challenge, et non des moindres, pour ces néobanques est de décrocher rapidement l’agrément bancaire, qui les fait basculer dans un univers régulé. Elles sont dès lors soumises aux mêmes normes que l’ensemble des acteurs bancaires qui ont connu une vague de réglementations sans précédent orientée principalement vers la transparence des processus et la protection des clients et épargnants.

KYC, qualité des données, prérogatives éthiques…, cette imbrication inédite entre réglementation et technologie met les néo-banques face à des situations complexes : l’évolution des architectures IT, incontournable avec l’adoption du cloud/Saas et de l’IoT, fait par exemple exploser les occasions de cybermenaces. Le recours aux chatbots, fait en même temps peser de nouvelles exigences d’auditabilité des algorithmes. Enfin, l’entrée en vigueur le 25 mai prochain du règlement GDPR aura également un impact majeur sur le secteur.

GDPR : un impact non négligeable

La data est au cœur même du business modèle des Fintech. Or, GDPR revêt un impact dès la collecte de ces informations, les Fintech devant démontrer l’intégrité et la validité du consentement des clients quant au partage et l’exploitation marketing et commerciale des données personnelles. Les Fintech vont également devoir indiquer aux clients les finalités de ce traitement et de cette exploitation, et créer un poste dédié à la protection des données ou Data Protection Officer. Enfin, la sanction du non-respect des principes du règlement, notamment le fait que les parcours clients et les processus d’inscription soient dûment enregistrés, est lourdement sanctionnable, y compris pour une Fintech en attente de développement (entre 2 et 4 % du CA mondial).

Face à ces enjeux, les Fintech doivent démontrer à leurs clients le respect de la confidentialité des données personnelles dans l’architecture de leur solution et de leurs services. Enfin, le droit à l’oubli sous-tendu par la mise en place de GDPR n’ira pas sans remettre en cause certaines pratiques en fort développement, comme la Blockchain.

Quelles conséquences de la Directive PSD2 ?

Dans la deuxième version de sa directive concernant les services de paiement (Payment Service Directive PSD2), dont la période de mise en conformité court finalement jusqu’en septembre 2019, l’UE redéfinit les règles du jeu en matière de services de paiement bancaires. Ce texte qui annonce l’ouverture de l’Open Banking, oblige les banques à instaurer un droit d’accès aux comptes bancaires en faveur de prestataires tiers (Third Party Payment Services Providers, TPP) et à une diffusion accrue de l’information relative aux services de paiement mis à la disposition des clients.

Pour les Fintech, l’enjeu est primordial. Le texte pose tout d’abord les bases d’un nouveau marché pour les néobanques qui souhaitent utiliser les infrastructures bancaires et de paiement existantes. Si le texte implique pour les acteurs traditionnels d’expliquer au régulateur leur stratégie, en termes de conformité ou de transformation digitale), l’adoption pour les Fintech devrait être plus facile.

Le texte questionne également les changements opérationnels importants pour l’ensemble des prestataires de services de paiement, notamment en ce qui concerne la sécurité des paiements en ligne et la protection des données financières des clients. Là encore, une Fintech, plus agile, à la structuration récente, pourra plus facilement faire évoluer son modèle en matière :
• d’architecture et systèmes IT et interfaces client,
• de produits et services y compris d’éventuelles améliorations et opportunités,
• de documentation commerciale, conditions générales et pédagogie,
• du mode de traitement des réclamations et procédures alternatives de règlement des litiges,
• des obligations de publication et de déclaration,
• de la gestion de la fraude, de la sécurité et des risques,
• de besoins en termes de ressources, de budgets et de formation du personnel.

Pour peu qu’elles prennent conscience du caractère stratégique de la conformité dans l’environnement bancaire, les Fintech sont ainsi potentiellement en capacité d’intégrer plus facilement les contraintes réglementaires inhérentes aux élargissements successifs de leur offre de service. Autrefois start-ups, elles sont aujourd’hui des acteurs financiers à part entière, évoluant dans un environnement fortement réglementé. 

Soucieuses de prévenir les nouvelles natures de risques portés par les technologies à la source même de leurs avantages concurrentiels, l’ACPR, l’AMF et la CNIL ont renforcé leur coopération. L’ACPR s’est d’ailleurs plus particulièrement penchée sur la question de leurs agréments et a mené une phase de préfiguration en instaurant un guichet unique ACPR Fintech et en recevant au sein de Station F 200 start-up qui ont ainsi pu échanger directement avec un "watchdog".