DSP2 et courtier crédit IOBSP : ce que ça change pour vous

En bref : la DSP2 (directive UE 2015/2366) transposée en France par l’ordonnance du 9 août 2017 a transformé en profondeur la relation courtier-banque-client. Trois apports structurants : l’open banking (accès tiers aux données bancaires avec consentement), l’authentification forte SCA pour sécuriser les paiements (règlement délégué UE 2018/389), et deux nouveaux statuts réglementés à l’ACPR (AISP, PISP). Pour le courtier IOBSP, l’impact concret est massif : pré-qualification automatisée des dossiers via agrégateurs (Tink, Bridge by Bankin’, Powens), KYC renforcé par croisement automatique des données, accélération du temps d’instruction. Avec en contrepartie un devoir de conformité renforcé : consentement explicite, traçabilité, conservation 5 ans.

Pourquoi la DSP2 est centrale pour un courtier IOBSP en 2026

Si vous démarrez votre activité de courtier IOBSP en 2026, vous ne pouvez plus ignorer la DSP2. Elle structure désormais l’essentiel des outils digitaux du marché : pré-qualification automatique des dossiers via open banking, catégorisation des dépenses, vérification des revenus en quelques secondes, calcul instantané du taux d’endettement, signature électronique sécurisée. Tous ces gains de productivité reposent sur le socle juridique posé par la directive européenne 2015/2366 et le règlement délégué 2018/389 sur l’authentification forte.

Mais la DSP2 n’est pas qu’un accélérateur d’efficacité. C’est aussi un cadre juridique exigeant : consentement explicite et écrit, traçabilité complète, interdiction stricte de stocker les identifiants bancaires du client, archivage des preuves de consentement pendant cinq ans. Un courtier qui s’affranchit de ces obligations s’expose à un manquement caractérisé contrôlable par l’ACPR, et à un risque réputationnel sérieux si une fuite de données survenait.

Cet article fait le point complet : ce qu’est la DSP2, ce qu’elle change concrètement dans le métier de courtier IOBSP, comment fonctionnent les agrégateurs (Tink, Bridge by Bankin’, Powens) en pratique, ce qu’est l’authentification forte SCA, quelles sont les nouvelles obligations KYC et comment intégrer tout cela dans votre process opérationnel. Le programme IOBSP 150h défini par l’arrêté du 18 juillet 2022 Source : Légifrance, 2022-07-18 consacre 10 heures spécifiques aux services de paiement, qui couvrent précisément la transposition de la DSP2.

La DSP2 en quelques lignes

La DSP2 (Directive sur les Services de Paiement n° 2) désigne la directive UE 2015/2366 du 25 novembre 2015 Source : EUR-Lex, 2015-11-25 , qui remplace la DSP1 de 2007. Elle a été transposée en droit français par l’ordonnance n° 2017-1252 du 9 août 2017 Source : Légifrance, 2017-08-09 , codifiée pour l’essentiel aux articles L. 521-1 et suivants du Code monétaire et financier Source : Code monétaire et financier, 2024 . La plupart de ses dispositions sont entrées pleinement en application en janvier 2018, avec une montée en charge progressive du dispositif d’authentification forte jusqu’à fin 2020.

Trois objectifs structurent la directive :

• Ouvrir le marché des services de paiement à de nouveaux acteurs (établissements de paiement, fintechs, agrégateurs) en imposant aux banques d’ouvrir leurs API à des tiers agréés. C’est ce qu’on appelle communément l’open banking.
• Renforcer la sécurité des paiements en ligne, notamment via l’authentification forte (SCA, Strong Customer Authentication), pour réduire la fraude sur les paiements à distance.
• Harmoniser le cadre légal européen et étendre la protection du consommateur (transparence des frais, responsabilité en cas de fraude, droit à information).

Pour un courtier IOBSP, c’est le premier axe (open banking) qui change le métier au quotidien, et le second (SCA) qui structure ses obligations techniques. Le troisième axe (harmonisation) joue en arrière-plan en facilitant les partenariats avec des fintechs européennes.

Les nouveaux statuts : AISP et PISP

La DSP2 a créé deux nouveaux statuts réglementés que tout courtier IOBSP doit connaître, même s’il ne les obtient pas lui-même :

• AISP (Account Information Service Provider, ou prestataire de service d’information sur les comptes) : agrégateur qui collecte les données bancaires de plusieurs comptes d’un même client, avec son consentement, pour les présenter de manière unifiée. C’est le statut de Tink, Bridge by Bankin’, Powens, Algoan, etc.
• PISP (Payment Initiation Service Provider, ou prestataire de service d’initiation de paiement) : prestataire qui initie un virement directement à partir du compte bancaire du client, sans passer par une carte. Statut de Fintecture, Slimpay, Lyf, etc.

Ces deux statuts requièrent un agrément ACPR exigeant (fonds propres minimaux, dispositif de contrôle interne, plan de continuité d’activité). Un courtier IOBSP n’a pas vocation à les obtenir directement : il s’appuie sur un AISP ou un PISP tiers, qui lui fournit la couche technique. C’est précisément le modèle dominant sur le marché du courtage en crédit en France en 2026.

Open banking : la révolution de la pré-qualification

L’open banking est probablement l’impact le plus visible de la DSP2 dans le quotidien d’un courtier IOBSP. Le principe est simple : avec le consentement explicite du client, le courtier peut récupérer en temps réel les relevés bancaires des comptes du client, classés par catégorie (revenus, charges, crédits, épargne), sur les trois à douze derniers mois.

Le parcours type avec un agrégateur

Concrètement, lorsque le client souhaite faire une demande de regroupement ou de crédit immobilier, le courtier lui propose dans son espace client sécurisé un module de connexion bancaire. Le client choisit ses banques, est redirigé vers le portail d’authentification de chaque banque, valide la connexion avec son identifiant et son authentification forte (mot de passe + code SMS, ou biométrie via l’app bancaire). À l’issue, l’agrégateur récupère les données et les renvoie au courtier sous forme de relevés détaillés et catégorisés.

Du côté courtier, le bénéfice est triple : zéro saisie manuelle des relevés bancaires, fiabilité maximale des données (pas de PDF retouché, pas d’erreur de transcription), catégorisation automatique qui fait gagner plusieurs heures par dossier. Sur des marchés où les courtiers traitent 20 à 50 dossiers par mois, le gain d’efficacité est considérable.

Du côté client, le bénéfice est immédiat : pas besoin de scanner 3 mois de relevés bancaires en PDF, pas d’attente pour transmettre les pièces, démarche en quelques minutes.

Les agrégateurs leaders en France

Sur le marché français en 2026, trois acteurs dominent l’open banking côté courtier :

• Tink (groupe Visa depuis 2022) : leader européen, couverture bancaire excellente, API mature, présent dans la plupart des plateformes de courtage. Tarification souvent au forfait ou à la connexion (autour de 0,30 à 0,80 euro par connexion réussie selon les volumes).
• Bridge by Bankin’ : acteur français historique, racheté par Bankin’, bonne couverture des banques de détail françaises, API simple à intégrer, écosystème courtier développé.
• Powens (ex-Budget Insight, groupe Linxo) : acteur français, large couverture, présent dans de nombreux outils de gestion de finances personnelles, B2B en croissance sur le marché courtage.

D’autres acteurs sectoriels (Algoan pour la pré-qualification crédit, Mansa, Younited, Lemonway pour les paiements) complètent l’écosystème. Le choix se fait généralement en fonction de l’outil CRM ou de la plateforme de courtage utilisée, qui intègre nativement un ou deux agrégateurs.

Coûts d’intégration pour le courtier

Pour un courtier IOBSP qui s’appuie sur une plateforme de courtage intégrée (Direct Crédit, La Centrale de Financement, Cafpi pro, etc.), le coût de l’open banking est généralement déjà inclus dans l’abonnement ou la commission. Pour un courtier indépendant qui développe son propre stack technique ou intègre un module open banking dans son site, les coûts indicatifs en 2026 sont :

• Frais d’abonnement ou setup initial : 0 à 1 500 euros selon les agrégateurs et les volumes.
• Coût par connexion : 0 à 0,80 euro par dossier connecté.
• Coût d’intégration technique : 1 à 5 jours de développement si l’agrégateur fournit un SDK web/mobile prêt à l’emploi.

À comparer au gain de productivité (1 à 2 heures gagnées par dossier sur la collecte et l’analyse des relevés bancaires), le retour sur investissement est rapide dès quelques dizaines de dossiers par mois.

Authentification forte (SCA) et sécurité des opérations

Le second pilier de la DSP2 est l’authentification forte du client, ou SCA (Strong Customer Authentication). Elle est encadrée par le règlement délégué (UE) 2018/389 Source : EBA / EUR-Lex, 2018-03-13 publié par l’EBA (European Banking Authority). La règle est simple à énoncer mais structurante à intégrer dans tous les outils numériques.

Le principe : deux facteurs sur trois

L’authentification forte impose, pour toute opération sensible (paiement en ligne, connexion à un compte bancaire, accès à un service de paiement), la validation par deux des trois facteurs suivants :

• Connaissance : ce que le client sait (mot de passe, code PIN, réponse à une question secrète).
• Possession : ce que le client possède (téléphone mobile recevant un SMS, token physique, app bancaire installée sur un appareil enregistré).
• Inhérence : ce que le client est (empreinte digitale, reconnaissance faciale, reconnaissance vocale).

Concrètement, l’authentification par mot de passe seul est insuffisante. Une connexion à un compte bancaire ou la validation d’un paiement en ligne implique presque toujours désormais une étape supplémentaire (notification push dans l’app bancaire, code SMS, biométrie).

Quand le SCA s’applique en pratique pour un courtier IOBSP

Pour un courtier IOBSP, le SCA intervient à plusieurs moments :

• À la connexion initiale via un agrégateur : le client valide l’accès à son compte bancaire par son identifiant + un second facteur (le plus souvent une validation dans son app bancaire). Cette étape est gérée par l’agrégateur, le courtier n’a pas à la coder lui-même, mais il doit l’avoir prévue dans son parcours utilisateur.
• À la signature électronique de documents contractuels (mandat de courtage, FIPEN, offre de prêt) : la signature qualifiée eIDAS associée à un SCA est devenue le standard.
• Au paiement d’une éventuelle commission ou de frais facturés au client, si le modèle commercial le prévoit (rare en RAC où la rémunération vient du prêteur post-déblocage, mais possible en honoraires séparés).

Le courtier IOBSP ne porte pas la charge technique du SCA s’il s’appuie sur des outils certifiés (agrégateurs, signatures Yousign / DocuSign / Universign avec niveau qualifié, etc.). Mais il porte la responsabilité du parcours utilisateur conforme. Un parcours qui contournerait le SCA (par exemple en demandant au client son mot de passe bancaire pour “aller plus vite”) serait une faute lourde, potentiellement constitutive d’une violation des règles DSP2.

KYC renforcé et impact sur le devoir LCB-FT

La DSP2 s’articule étroitement avec le dispositif de lutte contre le blanchiment et le financement du terrorisme (LCB-FT). En facilitant l’accès aux données bancaires du client, elle a renforcé les attentes en matière de KYC (Know Your Customer) et d’identification du bénéficiaire effectif.

L’obligation d’identification (article L. 561-5 CMF)

L’article L. 561-5 du Code monétaire et financier Source : Code monétaire et financier, 2024 impose à tout IOBSP de connaître son client avant d’entrer en relation d’affaires. Cela passe par la collecte et la vérification :

• de la pièce d’identité (passeport, CNI, titre de séjour) ;
• du justificatif de domicile récent ;
• du justificatif de revenus ;
• pour les personnes morales, de l’extrait Kbis, des statuts et de l’identification du bénéficiaire effectif.

L’open banking permet d’automatiser une partie de cette vérification : croisement automatique du nom du client avec les titulaires des comptes, vérification cohérente des revenus déclarés avec les flux entrants, détection des incohérences. C’est un atout réel pour la qualité du KYC, mais cela n’exonère en rien des vérifications réglementaires de base.

L’obligation de conservation 5 ans

L’article L. 561-12 du Code monétaire et financier impose la conservation des documents et données KYC pendant 5 ans à compter de la fin de la relation d’affaires. Cela inclut :

• les pièces justificatives collectées (CNI, justificatif de domicile, revenus) ;
• les preuves de consentement à l’accès open banking ;
• les relevés bancaires récupérés (ou leurs hash) ;
• les fiches de conseil, FIPEN, FISE ;
• les échanges (emails, messages dans espace client) liés au dossier.

Pour un courtier IOBSP qui traite plusieurs centaines de dossiers par an, c’est un sujet d’archivage non négligeable. Les solutions de coffre-fort numérique (CFN) certifiées sont devenues une norme du marché.

Recueil et formalisation du consentement open banking

C’est l’un des points où les courtiers IOBSP débutants se trompent le plus : le simple fait que le client se connecte à son compte bancaire via l’agrégateur ne dispense pas le courtier de recueillir un consentement explicite, écrit, daté, et conservé. Ce consentement doit mentionner :

• la finalité de l’accès (étude de dossier crédit) ;
• les données concernées (relevés des trois derniers mois, identification des flux, catégorisation) ;
• la durée du consentement (au maximum 90 jours, renouvelable explicitement par le client) ;
• l’agrégateur tiers utilisé (Tink, Bridge by Bankin’, Powens, etc.) avec son statut AISP ;
• les droits du client (retrait du consentement à tout moment, droit d’accès et de rectification au titre du RGPD).

Sans ce consentement formalisé, l’accès aux données est juridiquement contestable et peut faire l’objet d’une plainte du client à la CNIL ou d’un manquement ACPR.

Cas pratique : intégration de l’open banking dans un dossier crédit immobilier

Pour illustrer l’impact opérationnel de la DSP2, prenons le cas d’un dossier de crédit immobilier que le courtier IOBSP doit pré-qualifier. Voici la séquence type en 2026.

Étape 1 : prise de contact. Le client remplit un formulaire en ligne ou prend rendez-vous. Le courtier identifie le projet (montant, apport, projet de bien) et qualifie sommairement le profil.

Étape 2 : recueil du consentement et lancement de la connexion open banking. Le courtier envoie au client un lien vers son espace client sécurisé. Le client signe électroniquement le consentement open banking (durée 90 jours, finalité étude crédit immobilier, agrégateur identifié). Il accède ensuite au module de connexion bancaire, choisit sa banque principale, est redirigé vers le portail d’authentification de sa banque, valide via le SCA (notification dans son app bancaire). En moins de cinq minutes, les relevés des trois derniers mois sont disponibles dans l’espace courtier.

Étape 3 : analyse automatisée. L’agrégateur catégorise les flux : revenus (salaires, primes), charges (loyer ou crédits en cours, abonnements, dépenses courantes), épargne. Le courtier dispose en quelques secondes du taux d’endettement réel, des revenus moyens mensuels et de la trésorerie disponible. Il croise avec les justificatifs traditionnels (bulletins de salaire, avis d’imposition) pour fiabiliser le dossier.

Étape 4 : pré-qualification et négociation banque. Sur la base de l’analyse automatisée, le courtier identifie les banques susceptibles de financer le projet. Il monte le dossier dans les outils des établissements partenaires, qui peuvent eux-mêmes consommer une partie des données open banking si le client a consenti à un transfert sécurisé.

Étape 5 : émission de l’offre, FISE et délai de réflexion. La banque retenue émet une offre de prêt accompagnée de la FISE conforme à l’article L. 313-24 du Code de la consommation, transmise au client via l’espace sécurisé. Le délai de réflexion de 10 jours commence à courir. Voir le détail dans notre guide FIPEN et FISE pour courtier IOBSP.

Étape 6 : archivage et conformité. Le courtier conserve dans son archivage électronique sécurisé : le consentement open banking signé, la preuve de l’authentification forte, les relevés bancaires récupérés (ou leurs empreintes numériques pour ne pas dupliquer indéfiniment des données sensibles), la FISE, l’offre signée, l’ensemble des échanges. Conservation 5 ans minimum.

Sans la DSP2, ce parcours nécessitait 7 à 10 jours de collecte de pièces, des allers-retours par email, des saisies manuelles et un risque d’erreur élevé. Avec la DSP2, le pré-diagnostic complet peut être réalisé en moins de 24 heures, avec une fiabilité supérieure.

Pièges et points de vigilance pour le courtier IOBSP

Quelques erreurs reviennent chez les courtiers qui intègrent l’open banking sans encadrement suffisant.

• Demander ou stocker le mot de passe bancaire du client. C’est strictement interdit et constitutif d’une violation grave. Tout accès aux données bancaires doit passer par un agrégateur AISP agréé, jamais par la collecte directe d’identifiants.
• Omettre le consentement explicite. Un parcours utilisateur qui enchaîne automatiquement la connexion bancaire sans étape de consentement claire est non conforme. Le consentement doit être un acte positif, explicite, datable.
• Conserver les données plus longtemps que nécessaire. Le principe de minimisation du RGPD impose de ne conserver que les données utiles à la finalité poursuivie, et de les supprimer ou archiver de manière sécurisée à l’issue de la relation, dans le respect des 5 ans imposés par l’article L. 561-12 CMF.
• Utiliser les données à d’autres fins que celles consenties. Récupérer les relevés bancaires pour étudier un dossier de crédit immobilier, puis exploiter ces données pour proposer une assurance vie sans consentement supplémentaire, serait une violation grave.
• Sous-traiter sans encadrement. Si vous utilisez un agrégateur ou un prestataire de coffre-fort numérique, vous devez vérifier ses agréments (AISP pour l’agrégateur, conformité RGPD pour le prestataire), formaliser le contrat de sous-traitance prévu par l’article 28 du RGPD et le tenir à disposition de l’ACPR en cas de contrôle.

DSP2 et perspectives 2026 : vers la DSP3 et le règlement FIDA

La DSP2 entame en 2026 sa neuvième année d’application. Les autorités européennes (Commission, EBA) ont engagé un travail de révision avec deux textes majeurs en cours : la DSP3 (proposition de directive de juin 2023) et le règlement FIDA (Financial Data Access). Sans entrer dans le détail, ces textes ouvrent :

• l’open finance, c’est-à-dire l’élargissement de l’open banking à d’autres données financières (assurance, épargne, retraite) avec un consentement unifié ;
• un renforcement de la protection du consommateur (lutte renforcée contre la fraude par usurpation, indemnisation accélérée) ;
• une harmonisation accrue des standards techniques d’API.

Pour un courtier IOBSP qui s’installe en 2026, l’enjeu est d’avoir des outils prêts à évoluer vers l’open finance, sans subir de rupture technologique. Le choix initial de l’agrégateur et de la plateforme de courtage doit intégrer cette anticipation.

Conclusion : la DSP2 comme socle du courtage IOBSP moderne

La DSP2 n’est pas un sujet réglementaire de second plan : c’est désormais le socle juridique de l’essentiel des outils digitaux utilisés par les courtiers IOBSP. Open banking pour la pré-qualification, SCA pour la sécurité, KYC renforcé pour la conformité LCB-FT, traçabilité 5 ans : ces obligations dessinent un cadre exigeant, mais aussi un puissant levier de productivité et de qualité de service.

Pour un courtier qui démarre, intégrer ces réflexes dès le premier dossier évite la double dette technique et conformité qui pèse lourd quelques années plus tard. C’est précisément ce que couvrent les 10 heures du module Services de paiement de la formation IOBSP 150h, conforme au programme officiel défini par l’arrêté du 18 juillet 2022. Vous y travaillez à la fois le cadre juridique (transposition DSP2, statuts AISP/PISP, SEPA, monnaie électronique) et les bonnes pratiques opérationnelles (consentement, archivage, articulation avec le LCB-FT).

Pour aller plus loin sur le démarrage complet de l’activité, consultez notre guide pour devenir courtier en crédit IOBSP en 2026 et l’article dédié aux niveaux IOBSP 1, 2 et 3. Si vous envisagez la double activité crédit + assurance, le Pack Courtier Complet IAS + IOBSP à 599 euros reste le socle le plus économique du marché pour structurer votre activité.

Vous voulez démarrer en courtage IOBSP avec les bons réflexes DSP2 ? Découvrir la formation IOBSP 150h à 399 € ou le Pack Courtier Complet IAS + IOBSP à 599 €.

Pour aller plus loin

• Devenir courtier en crédit (IOBSP) en 2026 : guide complet : le parcours en 6 étapes
• FIPEN et FISE : ce que le courtier doit remettre au client : focus sur les fiches précontractuelles
• Regroupement de crédits : guide pratique IOBSP : marché, dossier type, commissions
• Niveaux IOBSP 1, 2, 3 : différences et capacités : choisir la bonne catégorie
• Programme officiel formation IOBSP 150h par module : zoom sur les services de paiement
• Démarrer la formation IOBSP : programme et inscription