Transposition de la directive sur les services de paiement DSP2 : la directive européenne (2015/2366) sur les services de paiement dans le marché intérieur a été adoptée le 25 novembre 2015.
La directive est en vigueur dans toute l’Union européenne depuis le 13 janvier 2018. Mais certaines dispositions sont entrées progressivement en vigueur.
Deux nouveaux prestataires de services de paiement : les PSP tiers
La DSP2 régule et encadre l’activité de nouveaux acteurs dans le secteur bancaire. Elle étend le statut de prestataire de services de paiement (PSP) aux tiers de paiement, qui disposent de deux nouveaux statuts.
Il faut désormais distinguer :
- les PSP « gestionnaires de compte », les banques essentiellement, qui détiennent les comptes bancaires de leurs clients ;
- les tiers prestataires de services de paiement, pour les entreprises autres que des banques qui accèdent aux comptes ouverts dans les établissements bancaires classiques. Pour ces PSP tiers, deux nouveaux statuts sont créés :
– Prestataire de services d’information sur les comptes (PSIC) : pour fournir des services d’« agrégation » d’informations,
– Prestataire de services d’initiation de paiement (PSIP) : pour fournir de nouveaux types de services de paiement, pour traiter et faciliter les transactions entre un e-commerçant et la banque de l’acheteur par exemple.
Les agrégateurs d’informations
Ces prestataires de services d’information sur les comptes (PSIC) recueillent et regroupent les informations relatives aux différents comptes bancaires détenus par un client (particulier ou professionnel).
En pratique, par l’intermédiaire d’une application, il est possible de regrouper tous ses comptes bancaires, de gérer son budget, de mettre en place des alertes, etc.
Les agrégateurs d’informations peuvent être des établissements financiers ou des fintechs…
A titre d’exemple, on peut citer : Linxo, Bankin’, Budget Insight…
Les services d’initiation de paiement ou de virement
En tant que prestataires de services d’initiation de paiement (PSIP), ces intermédiaires proposent des services de paiement parallèlement à ceux déjà existants, en créant un lien direct entre le débiteur et le bénéficiaire du paiement, sans passer par les acteurs bancaires et financiers classiques. A terme, ces paiements devraient remplacer le paiement par carte ou par portefeuille électronique pour le commerce en ligne.
Ce n’est plus le client qui donne l’ordre à sa banque de payer son créancier (un commerçant, une entreprise, un particulier…), en utilisant une carte bancaire, un chèque ou autre. C’est l’intermédiaire qui initie le paiement, directement depuis le compte bancaire de son client et à sa demande, le plus souvent sous forme de virement.
A titre d’exemple, on peut citer SlimPay, SOFORT Banking…
En couplant les deux statuts d’agrégateur d’informations et de prestataire de services d’initiation de paiement, un consommateur pourra effectuer directement des virements entre ses différents comptes bancaires, sans avoir à se rendre sur le site de sa ou de ses banques.
Condition pour exercer : un agrément et/ou un enregistrement auprès des autorités de contrôle
Pour exercer leurs activités d’initiateur de paiement, les PSIP doivent obtenir un agrément d’établissement de paiement de la part de l’ACPR, autorité de supervision compétente en France.
Les prestataires de services d’information sur les comptes (PICS) doivent adresser une demande d’enregistrement à l’ACPR.
Dans les deux cas, ces prestataires doivent répondre à des exigences prudentielles et ils doivent être couverts par une assurance responsabilité civile professionnelle.
Les établissements de crédit, les établissements de paiement et de monnaie électronique qui souhaiteraient fournir également des services d’initiation de paiement et d’information sur les comptes devront se soumettre à une procédure d’extension d’agrément.
Le passeport financier européen
Les prestataires de services d’information sur les comptes et d’initiation de paiement peuvent exercer dans un État membre autre que leur État d’origine à la double condition :
- d’avoir été autorisés à fournir ces nouveaux services par les autorités compétentes de leur pays d’origine ;
- d’avoir fait une demande d’exercice du passeport européen pour chaque Etat membre dans lequel ils souhaitent proposer leurs services.
Où vérifier que le prestataire est bien autorisé ?
Les PSP agréés en France et les PSP d’autres États pour lesquels l’ACPR a reçu une notification au titre du passeport européen sont répertoriés dans le registre Regafi des agents financiers – Communiqué ACPR du 15/01/2018.
Un référentiel a été mis en place au niveau européen pour harmoniser les critères d’agrément des PSP par les différentes autorités nationales.
Open Banking : le partage des données entre les banques et les Fintechs
C’est un véritablement bouleversement pour les établissements gestionnaires de compte. La directive DSP2 oblige les banques à partager avec les tiers prestataires de services de paiement (PSP tiers) les données des comptes bancaires de leurs clients, en leur donnant accès au service de consultation de compte, d’émission de virement…
L’accord exprès du consommateur est nécessaire. Il peut révoquer cette autorisation quand il le souhaite.
Vers un partage de données par des interfaces sécurisées
Actuellement, les agrégateurs de comptes utilisent la technique du « screen scraping » (capture de données d’écran) pour récupérer les données des comptes bancaires. Le titulaire du compte communique ses identifiants et codes d’accès à l’agrégateur. Celui-ci se connecte sur le compte du client et récupère, par l’intermédiaire des écrans de consultation, l’ensemble des données y figurant.
Cette méthode d’accès, après communication de ses codes de connexion à un tiers, et de collecte des données constitue un risque élevé de fraude.
La directive européenne DSP2 interdit l’usage de cette technique, remplacée par des interfaces sécurisées dénommées API (Application Programming Interface). Ces interfaces de partage de données vont devoir être mises en place par les banques, en respectant des standards techniques qui sont encore à définir. L’Autorité Bancaire Européenne (ABE) était chargée de la rédaction des normes techniques, validées par la Commission européenne avant leur mise en œuvre.
Le règlement européen relatif aux normes techniques réglementaires (RTS) a été publié au Journal officiel de la Commission européenne du 13 mars 2018. Les mesures de sécurisation des données spécifiées par ces RTS étaient applicables à compter du 14 septembre 2019, au plus tard.
L’accès aux données du client sera ainsi sécurisé, la banque comme le PSP tiers ayant l’obligation de s’identifier avec des identifiants spécifiques, permettant de recueillir uniquement les données pour lesquelles le client a donné son accord.
La directive européenne DSP2 encadre l’accès aux informations des comptes de paiement uniquement. Ce qui exclut, pour l’instant, les comptes d’épargne, comptes-titres, crédits… L’extension du cadre juridique a été discutée lors de la transposition en droit français. Elle a été écartée, les agrégateurs et autres PSP tiers n’auront pas accès aux données des comptes d’épargne dans un premier temps.
Renforcement de la protection du consommateur
La DSP2 renforce également les dispositifs de sécurité et de protection des consommateurs. En voici trois détaillés, sans caractère exhaustif.
Carte bancaire perdue ou volée : franchise abaissée à 50 € en cas d’utilisation frauduleuse
Depuis le 13 janvier 2018, le montant de la franchise en cas de transactions frauduleuses à la suite du vol ou de la perte de la carte bancaire a été abaissé à 50 € contre 150 € précédemment.
Pour les opérations frauduleuses effectuées avant opposition, un montant de 50 € maximum est laissé à la charge du titulaire de la carte si les transactions frauduleuses ont été validées avec son code confidentiel.
En revanche, cette franchise n’est pas appliquée si :
- la carte perdue ou volée a été utilisée sans validation avec le code confidentiel,
- la perte, le vol ou l’utilisation frauduleuse de la carte ne pouvait pas être détectée avant le débit frauduleux,
- les opérations frauduleuses sont le fait d’un employé de la banque émettrice.
La banque doit rembourser les opérations frauduleuses au plus tard un jour ouvré après la notification de l’usage frauduleux de la carte. Sauf si la banque soupçonne une fraude de la part du titulaire de la carte, le temps de procéder à des vérifications.
Le PSP gestionnaire de compte, c’est-à-dire concrètement la banque, est pour le consommateur le point de contact unique en cas d’opération non autorisée impliquant un prestataire de services d’initiation de paiement (PSIP). C’est sa banque qui sera chargée de le rembourser et qui se retournera vers le PSIP si la responsabilité de l’opération de paiement pèse sur celui-ci.
Cashback : retrait d’espèces auprès des commerçants
Le service de remise d’espèces par les commerçants, ou cashback, est déjà courant dans certains pays européens. Il est dorénavant encadré par la loi française (article L112-14 du code monétaire et financier).
Les commerçants pourront fournir des espèces au consommateur, agissant à des fins non professionnelles, dans le cadre d’une opération de paiement d’un bien ou d’un service. Ce n’est pas une obligation pour le commerçant. Ce dispositif entrera en vigueur après publication d’un décret qui déterminera : le montant des opérations de paiement d’achat de biens ou de services qui pourront donner lieu à la remise d’espèces et le montant maximal de « retrait » par opération. Un plafond de l’ordre de 100 € à 150 € a été évoqué au cours des débats parlementaires.
Les « Relais » du Crédit Agricole chez les commerçants
Depuis quelques années, le réseau du Crédit Agricole a mis en place des Relais CA chez les commerçants. Anciennement nommés « Points verts », ils désignent des relais bancaires installés dans des commerces de petites communes (supérette, boulangerie, bureau de tabac). Il est possible de retirer des espèces, mais déconnecté de l’opération de paiement, par l’intermédiaire d’un terminal spécifique et réservé aux détenteurs d’une carte bancaire Crédit Agricole.
Généralisation de l’authentification forte pour les paiements
L’indication du cryptogramme visuel situé au dos de la carte bancaire ne sera plus suffisante pour authentifier un paiement ou accéder à ses comptes. La DSP2 impose l’authentification forte, c’est-à-dire une validation reposant sur deux éléments ou plus d’authentification au lieu d’un seul.
Ces deux éléments d’authentification doivent appartenir à deux catégories différentes de facteurs d’authentification parmi les trois catégories existantes (article L133-4 du code monétaire et financier) :
- « Connaissance» (quelque chose que seul l’utilisateur connaît) : un mot de passe, un code PIN, une information personnelle… ;
- « Possession » (quelque chose que seul l’utilisateur possède) : un ordinateur, un téléphone, un porte-clés ou un bracelet connecté… ;
- « Inhérence » (quelque chose que l’utilisateur est) c’est-à-dire une caractéristique biométrique : une empreinte digitale, une reconnaissance faciale, rétinienne ou vocale…
La DSP2 impose l’utilisation de l’authentification forte pour les opérations suivantes :
- l’accès au compte de paiement en ligne ;
- une opération de paiement électronique (virement ou paiement par carte) ;
- une action exécutée par un mode de communication à distance qui présente un risque élevé de fraude (par exemple enregistrer un nouveau bénéficiaire de virement sur son compte bancaire en ligne).
La procédure d’authentification 3D Secure, utilisée en France pour sécuriser les paiements en ligne, ne correspond pas au mode d’authentification forte requis par la DSP2. Cette procédure repose sur un seul facteur : la possession d’un mobile, qui permet de recevoir par SMS un code confidentiel à usage unique.
Des dérogations à l’exigence d’une authentification forte du client sont limitativement énumérées par la directive, pour des transactions considérées comme peu risquées :
- Consultation par le client du solde de son compte bancaire, sous réserve d’un premier accès validé par une authentification forte, renouvelée tous les 90 jours ;
- Paiements aux automates de transport et de parking ;
- Paiements de faible montant, sans contact ou à distance :
|
|
Paiement au point de vente en mode sans contact |
Paiement à distance |
|
Plafond par opération |
50 € / paiement |
30 € / paiement |
|
Plafond cumulé |
150 € de paiement cumulé (sur une période précisée par le PSP) Ou 5 opérations consécutives depuis la date de la dernière authentification forte |
100 € de paiement cumulé (sur une période précisée par le PSP) Ou 5 opérations consécutives depuis la date de la dernière authentification forte |
Source : D’après le rapport annuel de l’observatoire de la sécurité des moyens de paiements – Exercice 2017 –Banque de France
- Virements entre les comptes détenus par une même personne et ouverts auprès de la même banque ;
- Paiements récurrents de même montant en faveur d’un même bénéficiaire (par exemple : loyer, abonnement…). Toutefois, la première opération ou toute modification est soumise à l’authentification forte ;
- Paiements en faveur d’un bénéficiaire préalablement enregistré avec l’authentification forte.
Certains paiements à distance peuvent également être initiés sans procédure d’authentification forte lorsque le prestataire de services de paiement considère que le niveau de risque est faible, compte tenu de critères tels que le taux de fraude pour ce type d’opération, le montant du paiement, le profil de paiement de l’utilisateur (habitudes de dépenses, localisation du paiement…).
Le règlement européen relatif aux normes techniques réglementaires (RTS) a été publié au Journal officiel de la Commission européenne du 13 mars 2018.
Les dispositifs d’authentification forte spécifiés par ces RTS auraient dû être applicables à compter du 14 septembre 2019. En fait, du fait du retard des parties prenantes (commerçants notamment, y compris du fait de l’épidémie de COVID 19), cette mise en application a été différée au 15 mai 2021.
