Deuxième directive européenne sur les services de paiement – DSP2

la finance pour tous

Les principales mesures introduites par la deuxième directive sur les services de paiement :

Application initialement prévue au 13 janvier 2018 :

  • Création de deux nouveaux statuts de prestataires de services : d’information sur les comptes (PSIC) et d’initiation de paiement (PSIP)
  • Abaissement de la franchise de 150 à 50 € à la charge du titulaire de la carte bancaire en cas de paiement frauduleux ;
  • Interdiction de la surfacturation en cas de paiement par carte bancaire.

Application initialement prévue au 14 septembre 2019 :

  • Authentification forte (avec deux facteurs ou éléments de sécurité) des paiements en ligne de plus de 30 € ;
  • Accès aux données des comptes des clients des banques aux nouveaux prestataires de services de paiement tiers, par un canal de communication sécurisé.

La 2ème directive sur les services de paiement (DSP2) étend la régulation européenne à de nouveaux prestataires de services de paiement (PSP tiers), encadre le partage des données bancaires et renforce les exigences sécuritaires en faveur des consommateurs.

Transposition de la directive sur les services de paiement DSP2 : la directive européenne (2015/2366) sur les services de paiement dans le marché intérieur a été adoptée le 25 novembre 2015.

La directive est en vigueur dans toute l’Union européenne depuis le 13 janvier 2018. Mais certaines dispositions sont entrées progressivement en vigueur.

Deux nouveaux prestataires de services de paiement : les PSP tiers

La DSP2 régule et encadre l’activité de nouveaux acteurs dans le secteur bancaire. Elle étend le statut de prestataire de services de paiement (PSP) aux tiers de paiement, qui disposent de deux nouveaux statuts.

Il faut désormais distinguer :

  • les PSP « gestionnaires de compte », les banques essentiellement, qui détiennent les comptes bancaires de leurs clients ;
  • les tiers prestataires de services de paiement, pour les entreprises autres que des banques qui accèdent aux comptes ouverts dans les établissements bancaires classiques. Pour ces PSP tiers, deux nouveaux statuts sont créés :
    – Prestataire de services d’information sur les comptes (PSIC) : pour fournir des services d’« agrégation » d’informations,
    – Prestataire de services d’initiation de paiement (PSIP) : pour fournir de nouveaux types de services de paiement, pour traiter et faciliter les transactions entre un e-commerçant et la banque de l’acheteur par exemple.

Les agrégateurs d’informations

Ces prestataires de services d’information sur les comptes (PSIC) recueillent et regroupent les informations relatives aux différents comptes bancaires détenus par un client (particulier ou professionnel).

En pratique, par l’intermédiaire d’une application, il est possible de regrouper tous ses comptes bancaires, de gérer son budget, de mettre en place des alertes, etc.

Les agrégateurs d’informations peuvent être des établissements financiers ou des fintechs

A titre d’exemple, on peut citer : Linxo, Bankin’, Budget Insight…

Les services d’initiation de paiement ou de virement

En tant que prestataires de services d’initiation de paiement (PSIP), ces intermédiaires proposent des services de paiement parallèlement à ceux déjà existants, en créant un lien direct entre le débiteur et le bénéficiaire du paiement, sans passer par les acteurs bancaires et financiers classiques. A terme, ces paiements devraient remplacer le paiement par carte ou par portefeuille électronique pour le commerce en ligne.

Ce n’est plus le client qui donne l’ordre à sa banque de payer son créancier (un commerçant, une entreprise, un particulier…), en utilisant une carte bancaire, un chèque ou autre. C’est l’intermédiaire qui initie le paiement, directement depuis le compte bancaire de son client et à sa demande, le plus souvent sous forme de virement.

A titre d’exemple, on peut citer SlimPay, SOFORT Banking…

En couplant les deux statuts d’agrégateur d’informations et de prestataire de services d’initiation de paiement, un consommateur pourra effectuer directement des virements entre ses différents comptes bancaires, sans avoir à se rendre sur le site de sa ou de ses banques.

Condition pour exercer : un agrément et/ou un enregistrement auprès des autorités de contrôle

Pour exercer leurs activités d’initiateur de paiement, les PSIP doivent obtenir un agrément d’établissement de paiement de la part de l’ACPR, autorité de supervision compétente en France.

Les prestataires de services d’information sur les comptes (PICS) doivent adresser une demande d’enregistrement à l’ACPR.

Dans les deux cas, ces prestataires doivent répondre à des exigences prudentielles et ils doivent être couverts par une assurance responsabilité civile professionnelle.

Le passeport financier européen

Les prestataires de services d’information sur les comptes et d’initiation de paiement peuvent exercer dans un État membre autre que leur État d’origine à la double condition :

  • d’avoir été autorisés à fournir ces nouveaux services par les autorités compétentes de leur pays d’origine ;
  • d’avoir fait une demande d’exercice du passeport européen pour chaque Etat membre dans lequel ils souhaitent proposer leurs services.

Où vérifier que le prestataire est bien autorisé ?

Les PSP agréés en France et les PSP d’autres États pour lesquels l’ACPR a reçu une notification au titre du passeport européen sont répertoriés dans le registre Regafi des agents financiers Communiqué ACPR du 15/01/2018.

Un référentiel a été mis en place au niveau européen pour harmoniser les critères d’agrément des PSP par les différentes autorités nationales.

Open Banking : le partage des données entre les banques et les Fintechs

C’est un véritablement bouleversement pour les établissements gestionnaires de compte. La directive DSP2 oblige les banques à partager avec les tiers prestataires de services de paiement (PSP tiers) les données des comptes bancaires de leurs clients, en leur donnant accès au service de consultation de compte, d’émission de virement…

Vers un partage de données par des interfaces sécurisées

Actuellement, les agrégateurs de comptes utilisent la technique du « screen scraping » (capture de données d’écran) pour récupérer les données des comptes bancaires. Le titulaire du compte communique ses identifiants et codes d’accès à l’agrégateur. Celui-ci se connecte sur le compte du client et récupère, par l’intermédiaire des écrans de consultation, l’ensemble des données y figurant.

Cette méthode d’accès, après communication de ses codes de connexion à un tiers, et de collecte des données constitue un risque élevé de fraude.

La directive européenne DSP2 interdit l’usage de cette technique, remplacée par des interfaces sécurisées dénommées API (Application Programming Interface). Ces interfaces de partage de données vont devoir être mises en place par les banques, en respectant des standards techniques qui sont encore à définir. L’Autorité Bancaire Européenne (ABE) était chargée de la rédaction des normes techniques, validées par la Commission européenne avant leur mise en œuvre.

L’accès aux données du client sera ainsi sécurisé, la banque comme le PSP tiers ayant l’obligation de s’identifier avec des identifiants spécifiques, permettant de recueillir uniquement les données pour lesquelles le client a donné son accord.

Renforcement de la protection du consommateur

La DSP2 renforce également les dispositifs de sécurité et de protection des consommateurs. En voici trois détaillés, sans caractère exhaustif.

Carte bancaire perdue ou volée : franchise abaissée à 50 € en cas d’utilisation frauduleuse

Depuis le 13 janvier 2018, le montant de la franchise en cas de transactions frauduleuses à la suite du vol ou de la perte de la carte bancaire a été abaissé à 50 € contre 150 € précédemment.

Pour les opérations frauduleuses effectuées avant opposition, un montant de 50 € maximum est laissé à la charge du titulaire de la carte si les transactions frauduleuses ont été validées avec son code confidentiel.

En revanche, cette franchise n’est pas appliquée si :

  • la carte perdue ou volée a été utilisée sans validation avec le code confidentiel,
  • la perte, le vol ou l’utilisation frauduleuse de la carte ne pouvait pas être détectée avant le débit frauduleux,
  • les opérations frauduleuses sont le fait d’un employé de la banque émettrice.

La banque doit rembourser les opérations frauduleuses au plus tard un jour ouvré après la notification de l’usage frauduleux de la carte. Sauf si la banque soupçonne une fraude de la part du titulaire de la carte, le temps de procéder à des vérifications.

Cashback : retrait d’espèces auprès des commerçants

Le service de remise d’espèces par les commerçants, ou cashback, est déjà courant dans certains pays européens. Il est dorénavant encadré par la loi française (article L112-14 du code monétaire et financier).

Les commerçants pourront fournir des espèces au consommateur, agissant à des fins non professionnelles, dans le cadre d’une opération de paiement d’un bien ou d’un service. Ce n’est pas une obligation pour le commerçant. Ce dispositif entrera en vigueur après publication d’un décret qui déterminera : le montant des opérations de paiement d’achat de biens ou de services qui pourront donner lieu à la remise d’espèces et le montant maximal de « retrait » par opération. Un plafond de l’ordre de 100 € à 150 € a été évoqué au cours des débats parlementaires.

Les « Relais » du Crédit Agricole chez les commerçants

Depuis quelques années, le réseau du Crédit Agricole a mis en place des Relais CA chez les commerçants. Anciennement nommés « Points verts », ils désignent des relais bancaires installés dans des commerces de petites communes (supérette, boulangerie, bureau de tabac). Il est possible de retirer des espèces, mais déconnecté de l’opération de paiement, par l’intermédiaire d’un terminal spécifique et réservé aux détenteurs d’une carte bancaire Crédit Agricole.

Généralisation de l’authentification forte pour les paiements

L’indication du cryptogramme visuel situé au dos de la carte bancaire ne sera plus suffisante pour authentifier un paiement ou accéder à ses comptes. La DSP2 impose l’authentification forte, c’est-à-dire une validation reposant sur deux éléments ou plus d’authentification au lieu d’un seul.

Ces deux éléments d’authentification doivent appartenir à deux catégories différentes de facteurs d’authentification parmi les trois catégories existantes (article L133-4 du code monétaire et financier) :

  • « Connaissance» (quelque chose que seul l’utilisateur connaît) : un mot de passe, un code PIN, une information personnelle… ;
  • « Possession » (quelque chose que seul l’utilisateur possède) : un ordinateur, un téléphone, un porte-clés ou un bracelet connecté… ;
  • « Inhérence » (quelque chose que l’utilisateur est) c’est-à-dire une caractéristique biométrique : une empreinte digitale, une reconnaissance faciale, rétinienne ou vocale…

La DSP2 impose l’utilisation de l’authentification forte pour les opérations suivantes :

  • l’accès au compte de paiement en ligne ;
  • une opération de paiement électronique (virement ou paiement par carte) ;
  • une action exécutée par un mode de communication à distance qui présente un risque élevé de fraude (par exemple enregistrer un nouveau bénéficiaire de virement sur son compte bancaire en ligne).

Des dérogations à l’exigence d’une authentification forte du client sont limitativement énumérées par la directive, pour des transactions considérées comme peu risquées :

  • Consultation par le client du solde de son compte bancaire, sous réserve d’un premier accès validé par une authentification forte, renouvelée tous les 90 jours ;
  • Paiements aux automates de transport et de parking ;
  • Paiements de faible montant, sans contact ou à distance :

 

Paiement au point de vente en mode sans contact

Paiement à distance

Plafond par opération

50 € / paiement

30 € / paiement

Plafond cumulé

150 € de paiement cumulé (sur une période précisée par le PSP)

Ou

5 opérations consécutives depuis la date de la dernière authentification forte

100 € de paiement cumulé (sur une période précisée par le PSP)

Ou

5 opérations consécutives depuis la date de la dernière authentification forte

Source : D’après le rapport annuel de l’observatoire de la sécurité des moyens de paiements – Exercice 2017 –Banque de France

  • Virements entre les comptes détenus par une même personne et ouverts auprès de la même banque ;
  • Paiements récurrents de même montant en faveur d’un même bénéficiaire (par exemple : loyer, abonnement…). Toutefois, la première opération ou toute modification est soumise à l’authentification forte ;
  • Paiements en faveur d’un bénéficiaire préalablement enregistré avec l’authentification forte.

Certains paiements à distance peuvent également être initiés sans procédure d’authentification forte lorsque le prestataire de services de paiement considère que le niveau de risque est faible, compte tenu de critères tels que le taux de fraude pour ce type d’opération, le montant du paiement, le profil de paiement de l’utilisateur (habitudes de dépenses, localisation du paiement…).

Les dispositifs d’authentification forte spécifiés par ces RTS auraient dû être applicables à compter du 14 septembre 2019. En fait, du fait du retard des parties prenantes (commerçants notamment, y compris du fait de l’épidémie de COVID 19), cette mise en application a été différée au 15 mai 2021.