La DSP2, PSD2 en anglais, est la directive européenne qui a fait exploser l'Open Banking en Europe. Elle a créé un nouveau marché de fintechs, transformé la relation entre banques et clients, et ouvert un terrain de jeu massif pour les produits financiers.
Cet article explique, sans jargon technique, ce que la PSD2 change pour votre business : qui sont les acteurs, comment circulent les données, et où sont les opportunités. Si vous êtes CTO ou développeur et cherchez la mécanique sous le capot, lisez plutôt l'article frère : Architecture technique d'une API DSP2.
Le problème que la PSD2 résout
Avant 2018, les banques étaient les seuls intermédiaires entre vos clients et leurs données financières. Les services qui voulaient agréger des comptes ou déclencher un paiement passaient par du screen scraping : se connecter à votre place avec vos identifiants bancaires et lire la page web de la banque.
Pas sécurisé, pas fiable, sans cadre légal clair sur les responsabilités.
La PSD2 a remplacé ce bricolage par un cadre clair : les banques doivent ouvrir des canaux d'accès officiels, et les services tiers s'y connectent avec le consentement explicite du client, sans jamais voir ses identifiants bancaires.
Les acteurs de l'écosystème
La PSD2 distingue quatre rôles. Une fois ces quatre lettres en tête, tout le reste s'éclaire.
| Acteur | Rôle en une phrase |
|---|---|
| PSU | L'utilisateur final — votre client. |
| ASPSP | La banque qui détient les comptes et les ouvre aux services tiers. |
| TPP | Le service tiers qui se connecte à la banque (votre app, ou un partenaire). |
| NCA | L'autorité nationale qui agrée les TPP. En France, c'est l'ACPR. |
Le client (PSU) est toujours au centre. Aucun accès à ses données ne se fait sans son consentement explicite. C'est le principe fondateur de la PSD2.
Les trois métiers d'un TPP
« TPP » est un mot-valise. La PSD2 distingue trois métiers très différents, chacun avec son propre agrément.
| Métier | Ce qu'il fait | Exemples |
|---|---|---|
| AISP | Lit les comptes : soldes, transactions, agrégation. | Bridge, Tink, Bankin', Pennylane |
| PISP | Déclenche un virement depuis le compte du client. | Fintecture, Bridge, Trustly |
| CBPII | Vérifie qu'il y a des fonds suffisants (oui / non). | Émetteurs de cartes co-brandées |
Sans agrément délivré par un régulateur (l'ACPR en France), un acteur ne peut pas se connecter aux API bancaires. C'est ce qui protège les clients — et ce qui a structuré tout l'écosystème.
Le consentement : la clé de voûte
Aucun accès aux données ne se fait sans le consentement explicite du client. Ce n'est pas une simple case « j'accepte » : c'est un objet formel, encadré par la directive.
Ce que définit un consentement :
- Périmètre — quels comptes, quelles données (soldes uniquement, ou transactions aussi).
- Durée — jusqu'à 180 jours pour de la lecture récurrente, puis renouvellement obligatoire.
- Fréquence — combien de fois par jour le service peut rafraîchir les données.
- Révocation — le client peut couper l'accès à tout moment, côté banque ou côté service.
Pour un paiement, le consentement est à usage unique : un paiement = un consentement.
Le parcours, vu du client
Pour rendre tout cela concret, voici ce qui se passe quand un client connecte son compte à une app d'agrégation.
L'étape « mot de passe + biométrie » correspond à l'authentification forte, ou SCA : deux facteurs parmi trois (quelque chose que je sais, que j'ai, ou que je suis). C'est obligatoire pour valider le consentement et pour confirmer un paiement, et c'est ce qui a fait basculer le marché du 3D Secure v1 vers la v2 sur l'e-commerce.
Avant / après : ce que la PSD2 a vraiment changé
Concrètement :
- Pour les clients : plus de choix de services, meilleure sécurité, vrai contrôle sur leurs données.
- Pour les fintechs : un cadre légal pour innover sans dépendre du bon vouloir des banques.
- Pour les banques : obligation d'ouvrir leurs données, mais aussi opportunité de devenir des plateformes (logique BaaS et Embedded finance).
Les opportunités business ouvertes par la PSD2
Selon votre position dans l'écosystème, la PSD2 ouvre des chantiers très différents.
Si vous êtes une fintech
L'Agrégation bancaire et l'initiation de paiement deviennent des briques que vous pouvez consommer via des partenaires (Bridge, Tink, Fintecture…) sans devenir vous-mêmes AISP ou PISP. Cas d'usage : PFM (gestion de finances perso, voir PFM / BFM), comptabilité automatisée, scoring crédit, paiements alternatifs aux cartes.
Si vous êtes un marchand ou e-commerçant
L'initiation de paiement (PISP) propose une alternative à la carte : virement instantané déclenché depuis le compte du client, sans frais d'interchange, avec confirmation immédiate. Intéressant pour les paniers élevés, les abonnements, ou les rechargements de wallet.
Si vous êtes une banque ou un établissement
Au-delà de l'obligation, la PSD2 permet de transformer l'API en produit : facturation premium aux TPP, services à valeur ajoutée, distribution embarquée chez des partenaires (logique BaaS, voir Treezor / Swan / Solaris).
Si vous êtes éditeur de logiciel SaaS B2B
Connecter automatiquement les comptes pro de vos clients (via un AISP partenaire) supprime des heures de saisie manuelle. C'est ce qui a propulsé Pennylane, Qonto et la plupart des outils compta modernes.
Et après ? PSD3, PSR et FIDA
La PSD2 a huit ans, et l'Europe prépare la suite. Trois textes structurent les prochaines années :
- DSP3 et PSR (proposés en 2023) — renforcement de la lutte anti-fraude (notamment l'APP fraud), meilleure qualité d'API, fin officielle du screen scraping, refonte du CBPII.
- FIDA — extension de l'Open Banking à toutes les données financières : épargne, crédit, assurance, investissement. C'est l'« Open Finance ».
Le mot de la fin
La PSD2 a l'air complexe à cause de ses acronymes, mais le concept de base est simple : rendre au client le contrôle de ses données bancaires, et créer un cadre de confiance pour que d'autres acteurs puissent innover sans bricoler.
Pour aller plus loin :
- Si vous voulez comprendre la mécanique technique (standards d'API, certificats, sécurité), lisez Architecture technique d'une API DSP2.
- Pour le vocabulaire détaillé, le glossaire Open Banking couvre chaque terme.