REVUE DE DROIT BANCAIRE ET FINANCIER - N° 6 - NOVEMBRE-DÉCEMBRE 2019 - © LEXISNEXIS SA
52
L’open banking et ses enjeux
Libres propos 1
Pierre STORRER,
avocat au barreau de Paris, Kramer Levin Naftalis & Frankel LLP 2
1 - L’open banking et ses enjeux. – À dire vrai, nous avions déjà
abordé le sujet 3, sous l’angle de l’apport des fintechs au droit des
services de paiement, à la suite, encore, d’une conférence
donnée dans le cadre d’un colloque organisé le 17 novembre
2016 par l’université Paris-Descartes, sur le thème : l’apport des
fintechs au droit bancaire 4. Plus récemment, nous avons tourné
autour de ce même thème en suivant l’évolution des modèles
d’offres de paiement de la DSP 1 à la DSP 2 5. Cela dit, non pas
tellement pour céder au genre, mineur, de l’autocitation, mais
davantage pour replacer nos propos dans la lignée des précé-
dents, en espérant qu’ils auront muri depuis.
Pourquoi, au demeurant, le phénomène fintech, hier, ou la
vague « de » l’open banking, aujourd’hui touchent-ils en prio-
rité le marché des paiements ? Le premier sous-gouverneur de
la Banque de France, M. Denis Beau, y a apporté récemment
cette réponse intéressante : « Les services de paiement, qui
pèsent peu sur les bilans financiers, ont été jusqu’à présent la
principale voie d’entrée dans le secteur financier pour les entre-
prises technologiques. Du paiement, celles-ci peuvent ensuite
remonter la chaîne de valeur, en s’attaquant à l’activité de
banque de détail et commerciale, à la gestion de patrimoine et
à l’assurance », ajoutant à la suite que « le modèle des entre-
prises technologiques se fonde sur la dissociation des activités
de la banque universelle traditionnelle en une série de fonctions
essentielles distinctes, telles que l’acheminement des paiements,
la fourniture de financements, le partage des risques et la répar-
tition des capitaux, qui sont réassemblées sur une plateforme en
ligne. Dans ce modèle, le contrôle de la plateforme est plus stra-
tégique que l’offre de services financiers elle-même » 6.
Notre sujet présente la commodité (il n’en est pas beaucoup
d’autres) d’annoncer de lui-même le plan pour en parler. Aussi
nous demanderons-nous d’abord ce qu’est, au-delà du succès
de l’expression, l’open banking (1), après quoi nous nous inté-
resserons à ses enjeux, aussi nombreux que cruciaux (2).
1. L’open banking et ensuite ?
2 - Open banking ?. – Littéralement, open banking signifie
« banque ouverte », ou à peu près. Cela est vrai, mais trompeur,
comme tous les slogans, a fortiori lorsqu’ils sont importés et
1. Le style oral de la conférence a été conservé.
2. Les propos de l’auteur n’engagent que celui-ci.
3. V. en premier lieu, D. Legeais, Open Banking : menace ou opportunité pour
les banques ? : RD bancaire et fin. 2017, repère 5.
4. V. P. Storrer, L’apport des Fintechs au droit des services de paiement : RD
bancaire et fin 2017, dossier 6.
5. V. P. Storrer, De la DSP 1 à la DSP 2 : d’un modèle à l’autre : Banque avr.
2019, p. 20.
6. D. Beau, Les enjeux de réglementation et de surveillance financières liés à
l’impact des entreprises technologiques sur les services financiers : Interven-
tion à l’Essec, 29 janv. 2019, p. 3.
Dossier
maniés avec facilité. Banque ouverte, ou qui s’ouvre, en effet,
mais pourquoi, mais à qui et, surtout, pour qui ?
3 - La banque s’ouvre : pourquoi ?. – La question, telle quelle,
est vertigineuse. S’ouvre-t-elle, d’abord, parce que le temps est
à l’ouverture : open innovation, open source, open data, etc. ?
Il y a de cela incontestablement. Si la banque s’ouvre, n’est-ce
pas, ensuite, parce qu’auparavant, elle était (par caractéristique
essentielle) fermée, voire cadenassée ? Demandez – ce qui ne
serait pas du meilleur goût – au Petit Prince de vous dessiner...sa
banque, et il se pourrait qu’il représentât son compte en banque,
gardé derrière les lourdes portes d’un coffre-fort. D’autres, plus
avertis, songeraient au secret bancaire inscrit à l’article L. 511-33
du Code monétaire et financier. Les Sages, eux, disserteraient sur
le monopole bancaire 7.
Et bien tout cela est révolu, balayé, ou peu s’en faut. Ne
serait-ce que les comptes en banque, nos bons vieux « comptes
de dépôt », qui, désormais, se déclinent en « comptes de paie-
ment », que d’autres que les établissements de crédit peuvent
ouvrir et tenir. C’est là le fruit de la « révolution DSP 1 8 » :
l’ouverture du monopole bancaire des services de paiement et
(peu après) des services de monnaie électronique, que des
établissements d’un genre nouveau (établissements de paiement,
établissements de monnaie électronique) peuvent désormais
fournir, dans le cadre d’un autre monopole qui leur est conféré :
le monopole des prestataires de services de paiement (et de
monnaie électronique le cas échéant). Cela n’est pas si vieux, et
pourtant : une dizaine d’années, à l’heure des fintechs (désor-
mais des bigtechs 9, de la blockchain conquérante 10 et de l’intel-
ligence artificielle (IA) 11 galopante, c’est terriblement daté...
En réponse au « pourquoi », nous trouvons donc la DSP 1, qui
portait avant tout le projet politique européen de construire un
marché unique des paiements électroniques de détail : le projet
Sepa (pour Single Euro Payments Area). En d’autres termes, la
Commission européenne a voulu, et est parvenue à ses fins, un
7. V. Haut Comité Juridique de la Place financière de Paris, Rapp. sur le mono-
pole bancaire, 14 mars 2016 : « Ce qu’il est convenu d’appeler « monopole
bancaire » en France repose sur l’interdiction faite à toute personne autre que
certaines catégories d’entités régulées d’effectuer des opérations de banque
à titre habituel. Il ne s’agit donc pas d’un monopole au sens économique du
terme mais de la réservation de l’exercice de certaines activités à certaines
catégories de personnes ».
8. Dir. 2007/64/CE, 13 nov. 2007, concernant les services de paiement dans
le marché intérieur, transposée en droit français par Ord. n° 2009-866,
15 juill. 2009.
9. V. en dernier lieu, BIS Working Papers n° 779, BigTech and the changing
structure of financial intermediation, April 2019. – Adde, D. Beau, Finance
digitale, disruption du marché et stabilité financière : Conférence Banque de
France-TSE, 12 nov. 2018, p. 3 : « Cela étant, les Fintechs font beaucoup
parler, mais l’important, ce sont les BigTechs ».
10. Depuis ce colloque, la loi Pacte a été publiée au JO 23 mai 2019, 155 p.,
dont quelques-unes relatives aux émetteurs de jetons et autres prestataires
de services sur actifs numériques.
11. V. ACPR, Intelligence artificielle : enjeux pour les secteur financier – Docu-
ment de réflexion, déc. 2018.
1
 Dossier
marché concurrentiel des paiements, au bénéfice des consom-
mateurs (on les appelle les « utilisateurs de services de paie-
ment ») qui, toujours, gagnent à la fin. Puis voici que l’innova-
tion technologique s’accélère considérablement et a tôt fait de
rendre la première directive sur les services de paiement dépas-
sée. De nouveaux services sont en effet apparus qui, sans être
tout à fait contra legem, méritent que l’on s’y intéresse et, pour-
quoi pas, qu’on les règlemente un peu. Ces services portent sur
l’accès aux comptes, s’intéressent donc à ce que l’on appelait
parfois « l’or noir » des banques, c’est-à-dire l’immense réservoir
de données qu’elles détiennent. Ils se nomment initiation de
paiement et information sur les comptes (ou agrégation de
données), sans oublier, quoique plus marginale, la confirmation
de la disponibilité des fonds. L’évolution technologique, pour ne
pas dire la révolution numérique 12, fut ainsi l’aiguillon de la
DSP 2 : « La directive 2007/64/CE a été adoptée en décembre
2007, sur la base d’une proposition présentée par la Commission
en décembre 2005. Depuis lors, avec l’apparition de nouveaux
types de services de paiement et la croissance rapide des paie-
ments électroniques et mobiles, le marché des paiements de
détail a connu d’importantes innovations techniques qui mettent
à l’épreuve le cadre actuel » 13.
Le « pourquoi », ici, renvoie à une réponse réglementaire
apportée à une pratique naissante, plutôt qu’un vœu politique
(de politique juridique) entraînant dans son sillage un nouveau
modèle : non plus tellement celui de « néobanque » ou de
« compte sans banque », associé à la DSP 1, mais précisément
d’open banking, cette fois de « banque sans compte », caracté-
ristique de la DSP 2. Le balancement est intéressant à observer
par ceux à qui la question est posée : le droit précède-t-il la
pratique ou court-il après ? Réponse : les deux, tantôt la première
hypothèse, tantôt la seconde, souvent un peu des deux.
4 - La banque s’ouvre : à qui ? – La banque ou, pour être plus
précis, les comptes de paiement (en ligne) qu’elle tient,
s’ouvre(nt) remarquablement à des prestataires que la proposi-
tion de DSP 2 nommait encore des prestataires de services de
paiement « tiers », que l’expression anglaise de « third party
providers » (ou TPP) a contribué à vulgariser, à tort nous semble-
t-il, dès lors que ceux-ci ne sont plus tiers....puisque dans le cadre
de la réglementation nouvelle, et tellement dans le cadre qu’ils
sont soit déjà réglementés (émetteurs de cartes), soit doivent être
agréés établissement de paiement (initiation de paiement), soit
enregistrés (information sur les comptes).
Lesquels sont-ils donc ces prestataires « sans compte » ou « du
compte des autres » – autres qui, en contrepoint, ont été rebap-
tisés « prestataires de services de paiement gestionnaires de
comptes » (PSPGC) ? D’une part, même s’ils ont moins été mis
en valeur, les émetteurs d’instruments de paiement liés à une
carte, autorisés à s’assurer de la disponibilité des fonds détenus
par leurs clients auprès d’autres ; les prestataires de services
d’initiation de paiement (PSIP), d’autre part, qui sont à même de
déclencher des ordres de paiement (virement) à partir du compte
d’un PSPGC ; et, de troisième part, les « fameux » prestataires de
services d’information sur les comptes (PSIC) (communément
dénommés « agrégateurs de données »), faisant remonter les
données de compte(s) consolidées de l’utilisateur de services de
paiement.
Par suite de la transposition de la DSP 2 par une ordonnance
n° 2017-1252 du 9 août 2017, un droit nouveau a intégré le
Code monétaire et financier, aux articles L. 133-39 à L. 133-41,
celui des « modalités d’accès aux comptes de paiement », créant
12. V. ACPR, Étude sur la révolution numérique dans le secteur bancaire fran-
çais : Analyses et Synthèses n° 88, mars 2018.
13. PE et Cons. UE, dir. (UE) 2015/2366, 25 nov. 2015, cons. 3, concernant les
services de paiement dans le marché intérieur.
2
© LEXISNEXIS SA - REVUE DE DROIT BANCAIRE ET FINANCIER - N° 6 - NOVEMBRE-DÉCEMBRE 2019
une sorte de « triangulation » entre prestataires avec et sans
compte et utilisateurs de services de paiement, là où, auparavant,
seules des relations bilatérales et verticales entre prestataires et
utilisateurs existaient.
5 - La banque s’ouvre : pas seulement à qui mais pour qui ?. –
Nous touchons ici l’ambivalence foncière de la DSP 2. Certes,
l’ouverture des (données de) compte profite bien aux prestataires
de services nouveaux qui vont pouvoir les exploiter, participant
ainsi de cette 4e révolution industrielle qui serait celle de la data
numérisée et augmentée. Mais, que l’on ne s’y trompe pas : si les
comptes s’ouvrent « à eux », ce n’est que par la médiation de
leurs titulaires, les utilisateurs de services de paiement qui, seuls,
sont censés détenir les clefs du coffre 14.
Le commandement du consentement (express ou explicite) de
la « personne concernée » (pour reprendre une expression du
RGPD) peut seul, en principe, déclencher les nouveaux
services 7 (initiation de paiement) et 8 (information sur les
comptes). Seul l’utilisateur, le payeur, le consommateur devrait
avoir, et garder (mais ne nous faisons pas d’illusions...), « à sa
main » les données de son compte, tout à la fois parce qu’il y
accède en mettant en œuvre ses « données de sécurité person-
nalisées » 15, parce que de telles données sont assurément des
« données de paiement sensibles » 16 et, puis, à l’évidence, par
ce que celles-ci valent de l’or, et plus encore. La DSP 2 a bien
remis les « clés de sa banque » (les « clés de son compte ») au
titulaire du compte, hors toute question (indue) de propriété que
pouvait jusqu’alors faire valoir son teneur.
Point, dès lors, de relations contractuelles obligées entre
nouveaux prestataires de services de paiement et gestionnaires
de comptes : la fourniture du service d’initiation de paiement ou
d’information sur les comptes « n’est pas subordonnée à l’exis-
tence de relations contractuelles » entre eux, disposent expres-
sément les articles 66 et 67 de la DSP 2 et, en écho, les articles
L. 133-40 et L. 133-41 du Code monétaire et financier. Il est par
ailleurs interdit au gestionnaire du compte d’en refuser l’accès,
sauf « pour des raisons objectivement motivées et documentées
liées à un accès non autorisé ou frauduleux » ; refus valant inci-
dent notifié immédiatement à la Banque de France (C. mon. fin.,
art. 133-17-1). Un partage « obligé » des données de compte est
bel et bien, désormais, inscrit dans la loi 17.
2. Les enjeux et alors ?
6 - Enjeux ? – Le dictionnaire de l’Académie française (en ligne)
nous apprend qu’outre l’acception première de « somme mise
en jeu par chacun des joueurs et destinée à revenir au gagnant
de la partie », l’enjeu est aussi « ce qui fait l’objet d’une compé-
tition, d’un affrontement, d’une discussion ». Compétition,
affrontement, discussion : voilà des mots qui vont assez bien
avec notre sujet. Alors lesquels sont-ils ces enjeux de la
prochaine open banking society ? Ils sont nombreux et divers,
mais on peut en isoler trois principaux : les enjeux de modèle
économique, les enjeux de conformité réglementaire et les
enjeux technologiques.
14. V. P. Storrer, Du droit de donner libre accès à son compte de paiement, Hors-
Série : Banque et droit 2016, p. 14.
15. V. C. mon. fin., art. L. 133-4, a : « Les données de sécurité personnalisées
s’entendent des données personnalisées fournies à un utilisateur de services
de paiement par le prestataire de services de paiement à des fins d’authen-
tification ».
16. V. C. mon. fin., art. L. 133-4, g : « Les données de paiement sensibles
s’entendent des données, y compris les données de sécurité personnalisées,
qui sont susceptibles d’être utilisées pour commettre une fraude [...] ».
17. Comp., Th. Bonneau, L’accès aux données bancaires au regard du respect
de la vie privée : RD bancaire et fin. 2018, dossier 39.
REVUE DE DROIT BANCAIRE ET FINANCIER - N° 6 - NOVEMBRE-DÉCEMBRE 2019 - © LEXISNEXIS SA
7 - Enjeux de modèle économique. – Les enjeux de modèle
économique 18 – la littérature économico-juridique préfère
parler d’« écosystème » – le sont d’abord pour les banques tradi-
tionnelles elles-mêmes, pour les insiders dit-on parfois, non pas
tellement qu’ils soient encore bousculés sur le terrain de leur
PNB (on ne se fait pas trop de soucis pour elles), mais qui pour-
raient se trouver, à terme 19, marginalisés par la concurrence
« exogène » des fintechs. Quand un gouverneur de la Banque de
France fait le constat que « le centre de gravité du processus
d’innovation financière s’est déplacé du secteur bancaire vers de
nouveaux acteurs historiquement étrangers au système financier
utilisant des technologies numériques » 20, c’est qu’il y a peut-
être matière à prendre au sérieux les bouleversements en cours.
Quand d’autres, de la même maison, évoquent une « rupture
digitale » accélérée et envisagent plusieurs scénarios possibles 21
pour la « banque-assurance », dont la fragmentation, la réinter-
médiation, voire la désintermédiation 22, on se dit, en effet, qu’il
se passe quelque chose ; qu’on ne peut exclure, par exemple,
qu’à terme, la banque soit renvoyée « au rôle de back-office et
de porteur de risques » 23.
À l’inverse, le modèle d’affaires des nouveaux entrants, des
outsiders, qu’ils opèrent selon un mode de néobanque ou d’open
banking, est loin d’être assuré. Une récente étude de l’Autorité
de contrôle prudentielle et de résolution (ACPR) – à qui l’on
pourrait toutefois objecter de traiter en même temps des banques
en ligne et des néo-banques, qui ne nous semblent pas avoir
grand-chose en commun – met ainsi en lumière la difficulté
rencontrée par ces dernières d’« établir un modèle d’affaires
rentable », même si elles ont manifestement « réussi à s’instal-
ler dans le paysage bancaire français pourtant mature » 24.
De sorte que l’on assiste, aujourd’hui, aux rachats (ou à des
prises de participation, souvent majoritaires) de nombreuses
fintechs par les acteurs historiques du marché 25, comme si, à un
moment, la fin de la récréation était sifflée. Allons-nous vers une
consolidation du marché bancaire et financier ?
8 - Enjeux de conformité réglementaire. – L’ouverture, certes,
mais à quel prix ? Une fois le vent de la liberté passé, que de
textes et de règles diverses ne sont-elles pas venues encadrer un
droit des services de paiement qui, jusqu’alors, demeurait tout
entier dans sa loi fondamentale : la DSP 1, telle que transposée,
pour l’essentiel, dans notre Code monétaire et financier. Cela est
bel et bien fini, d’autant que le droit des paiements a rejoint, à
l’occasion de l’édiction de la DSP 2, le système européen de
surveillance financière (SESF) et ses autorités européennes de
18. V. Parlement européen, Fin Tech : l’influence de la technologie sur l’avenir
du secteur financier, rés. 17 mai 2017 (2016/2243(INI) : JOCE 30 août
2018, p. 57.
19. V. Deloitte, Open Banking : la révolution de l’industrie bancaire – Comment
les banques doivent se réinventer, juin 2018, p. 2 : « À l’heure de l’Open
Banking, les services financiers sont indispensables à l’économie, mais pas
les banques ».
20. V. F. Villeroy de Galhau, Construire le triangle de compatibilité de la finance
numérique : innovations, stabilité, régulation : Revue de la stabilité financière
n° 20, avr. 2016, p. 8.
21. Comp. les scénarios prospectifs analysés par le Comité de Bâle, Saines
pratiques – Implications des évolutions de la technologie financière pour les
banques et les autorités de contrôle bancaire, févr. 2018, p. 11.
22. V. N. Beaudemoulin, P. Bienvenu, A.-S. Lawniczak et D. Warzee (pôle
FinTech-Innovation de l’ACPR), Les enjeux de régulation et de supervision
liés aux fintechs et à la rupture digitale : Bull. Banque Fr. juill.-août 2017,
p. 39 et s.
23. V. ACPR, Étude sur la révolution numérique dans le secteur bancaire fran-
çais, préc, spéc. p. 18.
24. ACPR, Étude sur les modèles d’affaires des banques en ligne et des
néobanques : Analyses et Synthèses n° 96, oct. 2018.
25. V. à ce propos, Galitt, DSP 2 & Open API : menaces et opportunités pour le
secteur bancaire... En route vers l’Open-Banking : Livre blanc août 2018,
p. 39 et s.
Dossier
surveillance (AES) : l’Autorité bancaire européenne, plus connue
sous son acronyme anglais d’EBA, en ce qui nous concerne.
Les « rendez-vous de la conformité » vont ainsi grandement se
multiplier, entre reportings exigés, obligations renforcées
(authentification forte du payeur) ou nécessités de communica-
tion nouvelles liées à l’ouverture de l’accès aux comptes
(communication sécurisée). Sans compter que des autorités de
contrôle se sont surajoutées à l’ACPR, qui n’est désormais plus
seule à gouverner les paiements. Aussi bien, par dérogation au
champ de compétence de l’ACPR qu’elle tient de l’article
L. 612-1 du Code monétaire et financier, la Commission natio-
nale de l’informatique et des libertés (CNIL) est invitée à veiller
particulièrement au respect des dispositions relatives à la protec-
tion des données à caractère personnel auxquelles ont accès les
prestataires de services de paiement, et recevra toutes plaintes
à cet égard 26. De son côté, la Banque de France, qui était
jusqu’alors en charge de s’assurer de la sécurité des moyens de
paiement (V. C. mon. fin., art. L. 141-1, I, al. 4 et 5), voit sa
mission étendue à la surveillance de « la sécurité de l’accès aux
comptes de paiement et à leurs informations dans le cadre de la
fourniture des services de paiement mentionnés au 7° et 8° du
II de l’article L. 314-1 par tout prestataire de services de paiement
et de la pertinence des normes applicables en la matière ».
La DSP 2, en somme, a rejoint ses grandes sœurs du droit
bancaire (CRD 4, etc.) et financier (MiFID 2, etc.), voyant gros-
sir, à côté du texte de base, les normes de deuxième, voire de
troisième niveau, et participe ainsi à l’inflation des règles euro-
péennes. Mais il n’empêche que la question affleure : l’innova-
tion numérique sans cesse plus rapide exigera-t-elle que l’on
double, bientôt, la régulation prudentielle par une régulation
technologique ?
9 - Enjeux technologiques. – On a pu le constater : même un
« texte princeps » comme la DSP 2 a été littéralement éclipsé par
l’une de ses normes dérivées : le (trop) fameux règlement délé-
gué (UE) 2018/389 du 27 novembre 2017 complétant la direc-
tive (UE) 2015/2366 du Parlement européen et du Conseil par
des normes techniques de réglementation relatives à l’authen-
tification forte du client et à des normes ouvertes communes et
sécurisées de communication.
Un prestataire de services de paiement voudra-t-il échapper à
l’obligation d’authentification forte de ses clients, sans pour
autant être éligible aux dérogations réglementaires ? Il lui reste
l’opportunité d’utiliser une exemption générale fondée sur le risk
scoring. Parfait, se dit-il, avant de se confronter aux conditions
posées pour que l’opération de paiement puisse être considérée
comme présentant un faible niveau de risque : un taux de fraude,
pour tel type d’opération, qui n’est pas supérieur à un taux de
fraude de référence, ainsi qu’un montant qui ne dépasse pas une
valeur-seuil de dérogation correspondante ; et, surtout, une
« analyse en temps réel des risques » susceptible de détecter (rien
moins que) « des dépenses anormales ou un type de comporte-
ment anormal du payeur », « des informations inhabituelles
concernant l’utilisation du dispositif ou logiciel du payeur à des
fins d’accès », « des signes d’infection par un logiciel malveillant
lors d’une session de la procédure d’authentification », « un
scénario connu de fraude dans le cadre de la prestation de
services de paiement », « une localisation anormale du payeur »
ou « une localisation du bénéficiaire présentant des risques
26. V. C. mon. fin., art. L. 521-7, faisant référence à C. mon. fin., art. L. 521-5 :
« Les prestataires de services de paiement n’ont accès à des données à carac-
tère personnel nécessaires à l’exécution de leurs services de paiement, ne les
traitent et ne les conservent qu’avec le consentement exprès de l’utilisateur
de services de paiement ». – V. encore, s’agissant de la lutte contre la fraude,
C. mon. fin., art. L. 521-6.
3
 Dossier
élevés » 27. Le plus simple est encore de recourir à l’authentifi-
cation forte, d’autant que, sinon, le prestataire de services de
paiement sera automatiquement, sauf agissement frauduleux du
payeur, responsable d’une opération de paiement non autori-
sée 28.
Et puis, et enfin, open banking rime indéniablement avec open
API (Application Programming Interface), le grand, le seul
presque, sujet du moment. Qu’est-ce à dire ? Que l’accès aux
comptes de paiement en ligne suppose la définition de « normes
ouvertes communes et sécurisées de communication » ;
communication qui se coule dans une (des) « interface d’accès »
que doivent proposer les gestionnaires de comptes, soit sous la
forme d’une « interface dédiée », soit en ouvrant aux prestataires
sans comptes l’interface servant à l’authentification et à la
communication avec les utilisateurs de services de paiement 29.
Les objectifs de sécurité des interfaces d’accès sont par suite
précisés par un « Référentiel de sécurité des interfaces d’accès
aux comptes de paiement » (RSIAC) élaboré par la Banque de
France. Et lorsqu’un prestataire de services de paiement gestion-
27. Règl. délégué (UE) 2018/389, préc., art. 18.
28. V. C. mon. fin., art. L. 133-19, V : « Sauf agissement frauduleux de sa part,
le payeur ne supporte aucune conséquence financière si l’opération de paie-
ment non autorisée a été effectuée sans que le prestataire de services de paie-
ment du payeur n’exige une authentification forte du payeur prévue à l’article
L. 133-44 ».
29. V. Règl. délégué (UE) 2018/389, préc., art. 30 à 36.
© LEXISNEXIS SA - REVUE DE DROIT BANCAIRE ET FINANCIER - N° 6 - NOVEMBRE-DÉCEMBRE 2019
naire de comptes décide de lancer une interface dédiée, sa
conformité au RSIAC est effectuée est évaluée par un centre
d’évaluation agréé par l’Agence nationale de la sécurité des
systèmes d’information (Anssi) (V. C. mon. fin., art. D. 133-10).
Une régulation technologique des paiements est bel et bien en
train de se mettre en place 30.
Conclusion
10 - Ce n’est plus un enjeu, mais un pari : services de l’écono-
mie de la donnée, les services d’initiation de paiement et d’infor-
mation sur les comptes mettent en jeu (cette fois au sens premier
que nous citions tout à l’heure) assurément la destination,
l’exploitation, la marchandisation des données à caractère
personnel 31. Ce pourquoi il est intéressant que ce texte qui a pris
toute la lumière : le RGPD, soit presque contemporain de la
DSP 2. Qui sera le gagnant de la partie, puisqu’au jeu, il en faut
un ? On n’en sait rien. Mais l’on peut déjà deviner quels seront
les perdants... ê
Mots-Clés : Digitalisation des banques - Open banking - Enjeux
30. V. ACPR, instr. n° 2019-I-01 créant le formulaire de demande d’exemption
de mécanisme d’urgence applicable à une interface dédiée d’accès aux
comptes tenus par un prestataire de services de paiement gestionnaire de
compte.
31. V. Les données à l’heure de la DSP 2 et du RGPD, Colloque AEDBF du
9 octobre 2018, Hors-Série : Banque et droit 2019.