L'open banking et les paiements compte à compte (A2A) sont en pleine expansion en Europe grâce à PSD2 et à ses API bancaires ouvertes. Beaucoup d'acteurs pensent que passer aux paiements A2A les libère automatiquement de PCI DSS. La réalité est plus nuancée : si les paiements purement A2A ne font pas intervenir de données de carte, un stack hybride peut maintenir les deux obligations simultanément.
Qu'est-ce que l'open banking dans le contexte des paiements ?
L'open banking, tel que défini par PSD2 en Europe, permet à des prestataires de services de paiement tiers (TPP) d'accéder aux données bancaires des utilisateurs (via AISP — Account Information Service Provider) ou d'initier des paiements directement depuis leur compte bancaire (via PISP — Payment Initiation Service Provider), avec leur consentement.
Les paiements A2A (Account-to-Account) initiés via l'open banking sont des virements directs depuis le compte bancaire du payeur vers celui du bénéficiaire. Ces flux ne transitent pas par les réseaux de cartes (Visa, Mastercard) et n'impliquent aucune donnée de carte de paiement (PAN, CVV, date d'expiration).
Paiements A2A purs : êtes-vous dans le scope PCI DSS ?
Si votre organisation accepte uniquement des paiements A2A via open banking, et que vous ne stockez, ne traitez et ne transmettez aucune donnée de carte, vous n'êtes pas dans le scope PCI DSS. PCI DSS s'applique aux données de compte de paiement (PANs, données de piste, CVV/CVV2, PINs) — non aux coordonnées bancaires (IBAN, BIC).
Cependant, deux points de vigilance s'imposent. Premièrement, si vous stockez des données de compte bancaire comme des IBAN pour des paiements récurrents, ces données relèvent du RGPD (données personnelles) et potentiellement de réglementations bancaires spécifiques, mais pas de PCI DSS. Deuxièmement, si vous aviez précédemment un scope PCI DSS et migrez vers l'open banking, l'ancien scope persiste jusqu'à la destruction certifiée des données de carte.
Stack hybride : quand PCI DSS et open banking coexistent
En pratique, la grande majorité des marchands qui adoptent l'open banking continuent également d'accepter les cartes de paiement. Cette coexistence — stack hybride — est la situation la plus courante. Dans ce cas, PCI DSS s'applique toujours pour les flux carte, même si les flux open banking ne sont pas concernés.
La bonne nouvelle est que les architectures hybrides peuvent être conçues de manière à minimiser le scope PCI DSS. Si les flux carte sont intégralement gérés via la tokenisation PCI Proxy EU, et que les flux open banking passent par des API séparées et sécurisées, la surface d'audit PCI DSS reste très limitée, indépendamment du volume de paiements A2A.
PSD2, open banking et SCA : les obligations additionnelles
Si votre organisation agit comme PISP (initiateur de paiement) dans un cadre open banking, PSD2 impose des obligations spécifiques : agrément de l'autorité compétente (ACPR en France), respect des exigences SCA pour l'initiation de paiement, connexion aux API des banques via les protocoles standardisés (Berlin Group, STET, OBIE), et maintien d'une responsabilité en cas d'opération non autorisée.
Ces obligations PSD2 s'ajoutent aux obligations PCI DSS pour les flux carte. Pour les acteurs qui opèrent dans les deux domaines, la gestion de la conformité devient un exercice de planification coordonnée entre les équipes juridiques, techniques et opérationnelles.
Avantages de l'open banking pour la conformité PCI DSS
Pour les marchands qui cherchent à réduire leur exposition PCI DSS, l'open banking représente une opportunité intéressante. En convertissant une partie de leurs transactions de paiement par carte vers des paiements A2A, ils peuvent réduire leur volume de transactions PCI, potentiellement descendre d'un niveau marchand, et simplifier leurs obligations de conformité.
Cette stratégie est particulièrement pertinente pour des cas d'usage où la méthode de paiement est flexible : paiements B2B, abonnements mensuels importants, ou achats récurrents où l'utilisateur peut être incité à utiliser un paiement bancaire direct en échange d'une réduction ou d'une meilleure expérience.
L'avenir : paiements A2A et tokenisation des comptes bancaires
Les réseaux de cartes développent des solutions de tokenisation pour les comptes bancaires dans le cadre de l'open banking, similaires à la tokenisation des PAN pour les cartes. Ces solutions permettront de stocker des références sécurisées aux comptes bancaires pour les paiements récurrents A2A, avec une sécurité et une gestion des clés comparables aux vaults de tokens PCI.
PCI Proxy EU anticipe ces évolutions et développe des fonctionnalités pour supporter les flux de paiement hybrides, permettant aux marchands de gérer de manière unifiée leurs tokens de carte et leurs références de compte bancaire dans une infrastructure sécurisée et conforme.
Gérez vos flux de paiement hybrides (cartes + open banking) avec une infrastructure unifiée et conforme PCI DSS. Découvrir PCI Proxy EU.