Paroles d’une fintech agréée au lendemain de l’application de la DSP2

 Pouvez-vous expliquer quelles sont les difficultés pour obtenir l’agrément ?

Pour obtenir l’agrément, il est nécessaire de structurer son organisation en y intégrant des processus de gestion de la conformité, de reporting interne et auprès des autorités, d’analyse et de gestion des risques en continue ainsi qu’une mise en conformité d’un point de vue de l’architecture et la sécurité des systèmes de façon conformes aux demandes du régulateur.

Dans notre cas cela s’est traduit par des investissements internes et externes conséquents et des coûts d’infrastructures doublés. Il est aussi nécessaire de comprendre le langage du régulateur et de savoir lui transmettre les réponses qu’il attend ainsi qu’implémenter les évolutions qu’il demande. C’est un investissement interne des dirigeants important ainsi que d’une partie de l’équipe qui sera forcément dédiée à la gestion de conformité. Les coûts de temps et d’argent récurrents liés à ces exigences sont significatifs pour une petite entreprise et il est nécessaire pour les dirigeants d’intégrer parfaitement leur statut d’acteur régulé.

L’agrément, vous donne accès à quels comptes ?

L’agrément donne accès uniquement aux comptes de paiement mais nous accédons aussi aux autres types de comptes même si nous ne sommes pas régulés sur l’accès à ces comptes. Le régulateur est parfaitement au courant de l’ensemble de nos activités qu’il est nécessaire de lui déclarer dans le dossier d’agrément et qu’il faut mettre à jour dans le temps. L’agrément n’encadre donc pas l’ensemble de notre activité pour le moment mais cela ne nous empêche pas de l’exercer. Nous informons les régulateurs pour leur permettre de travailler sur l’évolution des lois afin de proposer à terme un statut qui englobe l’intégralité de nos activités.

De quelle manière les banques se positionnent-elles quant à ce nouveau marché ?

Le positionnement des banques est clairement ambivalent. D’un côté elles achètent massivement nos innovations et les mettent en production auprès de leurs clients (70% de notre CA provient des banques et assurances aujourd’hui), de l’autre elles tentent de limiter au maximum les accès à des tiers dans leurs API dédiées en proposant une interprétation très restrictive des textes. Il est compréhensible pour elles de vouloir jouer la montre car leurs business model sont en pleine mutation et elles ne sont pas prêtes techniquement et culturellement pour ces changements, mais en même temps elles ne peuvent se permettre de rester en marge des évolutions du marché, d’où cette schizophrénie apparente. Nous tentons de les aider à épouser le changement dans l’intérêt de leurs clients plutôt qu’à le rejeter mais c’est un exercice difficile et de longue haleine. Nous sommes cependant confiants si le régulateur propose un cadre juridique dans lequel nous pouvons nous épanouir d’arriver à les aider à passer cette importante transition dans leur industrie.

Se pose alors une vraie problématique de risque liée à la sécurité du système d’information : qu’en pensez-vous ?

En effet la sécurité est un enjeu majeur de notre marché, mais elle ne doit pas être une excuse pour ne pas innover ou augmenter la qualité du service. Aujourd’hui elle est abusivement utilisée comme argument pour limiter les accès des tiers, mais ces derniers seront régulés, soumis à des audits et leur activité sera surveillée par les autorités. L’enjeu selon moi sera dans l’agrément et le contrôle des acteurs tiers pour vérifier qu’ils respectent les exigences du régulateur Européen et national. Avec la DSP2 tous les accès sont tracés et la chaîne de responsabilité est clairement établie. La traçabilité du système est augmentée même si ce dernier est plus ouvert en connectant des acteurs régulés. Nous avons eu l’occasion de tester cette traçabilité et elle a permis d’identifier des fraudeurs. En permettant un accès aux données pour générer des services innovants on peut donc aussi innover sur la sécurité.

¤¤¤

Pour en savoir plus : 

Assistez à la conférence « DSP2: et maintenant? » qui aura lieu le 28 juin prochain avec des experts renommés, dans un grand hôtel au cœur de Paris.


Clément COEURDEUIL

 CEO
BUDGET INSIGHT
Intervenant à la conférence EFE « DSP2: et maintenant? » le 28 juin 2018 à Paris.