Modernisations des services de paiement : de la DPS2 à la DPS3

La Directive sur les Services de Paiement 2 (DSP2), officiellement connue sous le nom de Directive (UE) 2015/2366, adoptée le 25 novembre 2015 et entrée en vigueur à partir de janvier 2018, constitue une étape majeure dans la régulation des services de paiement au sein de l’Union européenne (UE) et de l’Espace économique européen (EEE).

Elle remplace la première directive sur les services de paiement (DSP1, 2007/64/CE) et vise à harmoniser le cadre réglementaire des paiements pour répondre aux évolutions technologiques, renforcer les normes de sécurité pour les paiements en ligne, promouvoir l’innovation et accroître la concurrence dans le secteur financier.

Le but est d’améliorer le choix des consommateurs sur le marché des paiements de détail dans l’UE, et de renforcer leur confiance lors des achats en ligne.

Contexte et objectifs de la directive DSP2

La directive DSP2 s’inscrit dans un contexte de transformation rapide du secteur des paiements, marqué par l’essor du commerce en ligne, l’émergence de nouveaux acteurs comme les FinTechs (c’est-à-dire, les start-ups qui utilisent les nouvelles technologies pour innover les services financiers et bancaires), et la nécessité de réduire les fraudes financières. Elle vise à atteindre plusieurs objectifs stratégiques :

Harmonisation du marché des paiements : En établissant des règles uniformes, la DSP2 cherche à créer un marché européen des paiements intégré, favorisant la libre concurrence et l’accès équitable pour les acteurs non bancaires.
Renforcement de la sécurité : La directive DPS2 impose des mesures strictes, notamment l’authentification forte du client (SCA), pour protéger les consommateurs contre les fraudes.
Promotion de l’innovation : En introduisant l’open banking, la directive DSP2 oblige les banques à partager les données des clients (avec leur consentement) avec des prestataires tiers, stimulant ainsi le développement de services financiers innovants.
Protection des consommateurs : La directive renforce les droits des utilisateurs, notamment en matière de transparence des frais, de remboursement en cas de transactions non autorisées et de gestion des données personnelles.

La DSP2 s’applique à une large gamme d’entités financières qui inclut les banques, les établissements de paiement, les institutions de monnaie électronique, et les tiers prestataires de services de paiement. Cette dernière catégorie comprend désormais deux nouveaux statuts : les prestataires de service d’initiation de paiement (PSIP) et les prestataires de services d’information sur les comptes (PSIC). Ces acteurs doivent se conformer à un ensemble d’obligations rigoureuses pour opérer dans le cadre légal.

La mise en conformité avec la directive DSP2 représente un défi majeur pour ces entités, en raison des coûts élevés associés au développement d’API sécurisées (Application Programming Interface), à l’implémentation de la SCA (Strong Customer Authentication) et à la formation des équipes.

Cependant, ces efforts ouvrent aussi des opportunités, notamment pour les FinTechs, qui peuvent exploiter l’open banking pour proposer des services innovants.

Les entreprises doivent donc naviguer dans un paysage réglementaire complexe, car certaines exigences, comme la SCA, ont été mises en œuvre progressivement (avec des délais prolongés jusqu’en 2021 en France pour certaines dispositions).

La collaboration avec des partenaires technologiques, comme des fournisseurs de solutions de conformité (ComplyAdvantage, Kiteworks), est souvent indispensable pour répondre aux exigences techniques et réglementaires.

Les principales obligations de conformité pour les entreprises financières

La directive DSP2 impose aux entreprises financières des obligations précises, qui touchent à la fois les aspects techniques, organisationnels et juridiques. Ces exigences visent à garantir la sécurité des transactions, la protection des données et la conformité réglementaire. Voici un détail des principales obligations :

Authentification forte du client (SCA)

La directive DPS2 a introduit – comme déjà dit – des normes de sécurité plus strictes pour les paiements en ligne, de façon à assurer la protection des consommateurs. Ainsi, les normes techniques prévues par la Directive DPS2 font de l’authentification forte du client (SCA) l’obligation phare à mettre en œuvre.

Cette authentification est requise pour les paiements électroniques et l’accès aux comptes en ligne, conformément à l’article L. 133-44 du Code monétaire et financier français et au Règlement délégué (UE) 2018/389.

La SCA exige l’utilisation d’au moins deux facteurs d’authentification parmi trois catégories :

Connaissance : Un mot de passe ou un code PIN que seul l’utilisateur connaît
Possession : Un appareil (téléphone mobile, carte à puce) que seul l’utilisateur possède
Inhérence : Une caractéristique personnelle pour vérifier l’identité de l’utilisateur (biométrie, comme une empreinte digitale ou la reconnaissance faciale).

La SCA est requise pour toutes les transactions électroniques. Cependant, la directive DPS2 a prévu des exceptions et a exclu l’authentification forte du client dans les cas suivants :

Opérations à faible montant et à risque faible : c’est-à-dire, les opérations dont le montant est inférieur à 30 euros. Le niveau de risque est, en revanche, évalué en fonction du taux moyen de fraude chez l’émetteur de la carte et de l’acquéreur qui traite la transaction.
Paiements récurrents : tels sont considérés les abonnements. Dans ce cas, après une première authentification forte n’est plus requise.
Les transactions auprès de commerçants désignés comme « bénéficiaires de confiance » par le client.
Les paiements B2B utilisant des protocoles sécurisés, conformément à l’article 17 du règlement délégué (UE) 2018/389, qui garantissent un niveau de sécurité équivalent.

Les entreprises financières doivent mettre en place des systèmes techniques conformes aux normes techniques de réglementation (RTS) définies par l’Autorité bancaire européenne (ABE).

Par exemple, elles doivent s’assurer que leurs interfaces de paiement respectent les exigences de sécurité détaillées dans le référentiel de la Banque de France (art. L. 521-8 du Code monétaire et financier). Pour bénéficier d’exemptions à l’obligation de mécanisme d’urgence, un rapport de conformité, réalisé par un centre d’évaluation agréé, doit être soumis.

Ouverture des données bancaires via l’open banking

L’open banking, instauré par la directive DSP2, révolutionne le secteur financier en permettant aux établissements financiers, comme les banques, de partager les données bancaires de leurs clients avec des prestataires tiers agréés (PSIP et PSIC), sous réserve du consentement explicite du client.

Ce partage s’effectue via des API sécurisées, conformes aux normes de l’Autorité Bancaire Européenne (ABE), garantissant une communication et un échange de données fiables et protégés.

Les données partagées se divisent en trois catégories :

Données de compte : Informations relatives aux comptes bancaires du client, telles que le solde, l’historique des transactions ou les détails du compte (numéro IBAN, titulaire, etc.).
Données de produit : Données concernant les produits financiers souscrits par le client, comme les caractéristiques d’un prêt, d’une carte bancaire ou d’un compte d’épargne (taux d’intérêt, frais, conditions, etc.).
Initiation de paiement : Service permettant à un tiers agréé d’initier un paiement directement depuis le compte bancaire du client, avec son autorisation, sans passer par les interfaces traditionnelles de la banque (par exemple, pour un achat en ligne).

Pour se conformer à ces nouvelles exigences réglementaires, les établissements financiers doivent :

Développer et maintenir des API sécurisées pour permettre un accès contrôlé aux données.
Garantir la sécurité des canaux de communication avec des protocoles de chiffrement robustes.
Obtenir un agrément préalable de l’Autorité de contrôle prudentiel et de résolution (ACPR) en France pour opérer en tant que PSIP ou PSIC.
Respecter les réglementations sur la protection des données (RGPD), notamment en obtenant le consentement explicite des clients pour le traitement et le partage de leurs données.

Agrément et surveillance prudentielle

La directive DSP2 a institué deux nouveaux acteurs économiques, qui sont désormais encadrés par l’art. L. 314-1, II, 7° et 8° du Code monétaire et financier. Il s’agit,

Les prestataires de services d’initiation de paiement (PSIP) : Ces acteurs permettent d’initier des paiements directement depuis le compte bancaire du client, sans passer par des intermédiaires traditionnels comme les cartes bancaires. Par exemple, des Fin Techs comme SlimPay ou Klarna facilitent les virements en ligne.
Les prestataires de services d’information sur les comptes (PSIC) : Ils agrègent les données de plusieurs comptes bancaires pour offrir une vue consolidée des finances du client, comme le font des applications comme Bankin’ ou Linxo.

Pour exercer leur activité d’initiation de paiement, les PSIP doivent obtenir un agrément d’établissement de paiement de la part de l’ACPR. Les prestataires de services d’information sur les comptes (PSIC) doivent, quant à eux, adresser une demande d’enregistrement à l’ACPR.

Dans les deux cas, ces acteurs sont soumis au contrôle prudentiel de l’ACPR, qui doit :

Évaluer la santé financière de l’entreprise et la qualité des actionnaires.
Vérifier que l’établissement détient le capital initial suffisant, conformément à l’art. 7 de la directive DPS2 et du Règlement (UE) 575/2013.
Vérifier que l’établissement a mis en place des mesures de contrôle interne pour garantir la conformité aux exigences de sécurité et de protection des données (art. 95 de la directive DSP2).

Les entreprises doivent également protéger les fonds des clients, en assurant la ségrégation dans des comptes distincts, et signaler toute intention d’externaliser des fonctions critiques à l’autorité compétente.

Protection des consommateurs et transparence

La directive DSP2 renforce les droits des consommateurs et impose aux entreprises financières des obligations de transparence et de responsabilité :

Transparence des frais : Les prestataires doivent fournir des informations claires sur les frais, les taux de change, les références des transactions et les délais d’exécution (Règlement UE 2015/751).
Responsabilité en cas de transactions non autorisées : La directive réduit la responsabilité des consommateurs en cas de paiement non autorisé, passant de 150 € à 50 €, et garantit un droit de remboursement inconditionnel pour les prélèvements directs en euros dans un délai de huit semaines.
Délais d’exécution des paiements : Les paiements doivent être exécutés rapidement, au plus tard le jour ouvrable suivant
Cashback : En France, la DSP2 encadre le service de remise d’espèces par les commerçants (cashback), avec un montant maximum de 60 € et un minimum de 1 €, sous réserve d’un affichage clair (artt. L. 112-14 et D. 112-6 du Code monétaire et financier).

Les entreprises doivent mettre en place des processus pour gérer les réclamations des clients et signaler tout incident, comme un accès non autorisé ou une fraude, à l’ACPR ou à la Banque de France via le portail ONEGATE-OSCAMPS.

Lutte contre le blanchiment d’argent et le financement du terrorisme (LCB/FT)

La DSP2 renforce les exigences en matière de lutte contre le blanchiment d’argent et le financement du terrorisme (LCB/FT). Les entreprises financières, y compris les PSIP et PSIC, doivent :

Mettre en place des procédures d’identification des clients basées sur une approche par les risques, incluant la SCA.
Vérifier les éventuelles sanctions imposées aux clients.
Surveiller les transactions pour détecter les activités suspectes et signaler les anomalies aux autorités compétentes.

Ces obligations s’alignent sur les directives européennes anti-blanchiment (AMLD), obligeant les entreprises à intégrer des outils technologiques pour automatiser la surveillance et la conformité.

Sécurité des systèmes et gestion des risques

Les entreprises financières doivent également adopter des mesures de sécurité techniques pour protéger les systèmes informatiques et les données des clients. Cela inclut :

Le chiffrement des canaux de communication.
La mise en place de mécanismes pour détecter et signaler les incidents de sécurité.
La conformité aux orientations de l’ABE sur la gestion des risques de sécurité (article 95, paragraphe 3, de la directive DPS2).

En cas de non-conformité, les autorités compétentes peuvent imposer des sanctions, telles que la suspension des droits de vote des actionnaires ou l’annulation des décisions prises par l’entreprise.

Projet de directive DPS3

Proposé le 28 juin 2023 par la Commission européenne, le projet de directive DSP3 modernise les paiements et le secteur financier en remédiant aux faiblesses de la directive DSP2, tout en favorisant l’innovation et l’adaptation aux évolutions du marché.

La directive DSP2 a jeté les bases d’un secteur des paiements plus sûr, innovant et centré sur le consommateur en Europe, en introduisant des standards comme l’authentification forte et l’open banking, mais des API hétérogènes et un engagement minimal de certaines banques ont freiné l’interopérabilité

Les nouvelles exigences proposées par le projet de directive DPS3 s’appuient sur les six axes suivants :

Lutte contre la fraude : Remboursements élargis pour les victimes, vérification d’identité renforcée (ex. : correspondance IBAN/nom), protocoles d’authentification améliorés, et partage d’informations sur les fraudes entre PSP.
Concurrence équitable : Accès universel des PSP aux systèmes de paiement de l’UE et aux comptes bancaires pour les établissements de paiement et de monnaie électronique.
Simplification : Régime réglementaire unifié pour les établissements de paiement et de monnaie électronique, avec des règles cohérentes et directement applicables.
Accès aux espèces : Disponibilité accrue via les commerces (retrait sans achat) et distributeurs, avec une réglementation clarifiée pour les opérateurs indépendants.
Droits des consommateurs : Transparence des relevés, résolution des blocages de fonds, et clarification des frais de distributeurs automatiques.
Open Banking : API dédiées pour un accès standardisé, continuité d’accès en cas d’incident, tableaux de bord pour gérer les autorisations, et extension de l’accès aux données financières.

La directive DSP3 ambitionne de moderniser davantage le cadre actuellement en vigueur. La version finale de la directive DPS3 doit être approuvée au cours de l’année 2025. Les États auront environ 18 mois pour transposer la directive en droit interne.

Conclusion

Les directives DSP2 et DSP3 redessinent le paysage des paiements en Europe, avec des répercussions durables sur les comportements des consommateurs et les modèles économiques des acteurs financiers.

Ces évolutions, bien que complexes à mettre en œuvre, créent un écosystème de paiement plus compétitif et accessible, où banques, FinTechs et prestataires tiers de services de paiement collaborent pour répondre aux attentes des consommateurs.

À l’horizon 2030, la DSP3 pourrait faire des paiements instantanés et des services financiers personnalisés une réalité quotidienne, tout en relevant le défi d’une harmonisation européenne. Ce tournant marque une étape décisive vers une économie numérique inclusive, où la sécurité et l’innovation vont de pair.

gp@giovannellapolidoro.com