DSP1, DSP2 et à présent DSP3 et RSP… que faut-il retenir des directives successives sur les services de paiement ? Pourquoi la Commission européenne prévoit-elle un règlement pour moderniser le secteur bancaire et développer le partage de données des services financiers ? Quels impacts les différentes mesures ont-elles sur le quotidien des consommateurs et des entreprises ?
Bridge, en sa qualité de conseil et d’expert de l’Open Banking, a participé aux consultations sur la DSP3 et le futur Règlement des services de paiement (RSP). Dans cet article, découvrez les apports et les limites des DSP1 et 2, ainsi qu’un point détaillé sur les évolutions majeures du projet DSP3 et RSP.
DSP1 : première réglementation des services de paiement
La première directive des services de paiements (DSP1) est adoptée en avril 2007 et appliquée en France en novembre 2009. Elle vise avant tout à réguler les services de paiement de façon homogène au sein de l’Espace économique européen (EEE).
Elle comporte déjà les principaux objectifs qui restent aujourd’hui au centre des préoccupations des différentes directives :
→ sécuriser les paiements et opérations en ligne ;
→ protéger les consommateurs ;
→ encourager la concurrence dans le secteur bancaire ;
→ créer des services innovants et compétitifs.
Parmi les nombreuses avancées de la DSP1, on note :
→ L’introduction du statut de prestataires de services de paiement (PSP), autorisés à proposer des produits financiers réservés jusqu’alors aux banques. Faciliter le jeu de la concurrence reste un moyen efficace de provoquer une baisse des prix et une course à l’innovation, favorable aux clients.
→ L’allongement des délais de contestation en cas de transactions réalisées sans le consentement du consommateur ou avec un montant erroné. La charge de la preuve incombe désormais à la banque et non plus au client.
→ Une transparence accrue sur les tarifs et le signalement systématique des modifications de convention de compte.
Cependant, en 2015, face à l’arrivée massive des fintechs, à la croissance exponentielle des transactions en ligne et à l’augmentation de la fraude, la DSP1 ne suffit plus à garantir la sécurité et la confidentialité des données. Avec la DSP2, le régulateur cherche donc à s’adapter et à pallier les manquements de la première directive.
DSP2 ou la genèse de l’Open Banking
La deuxième directive des services de paiement (DSP2) entre en vigueur en janvier 2018 avec une volonté claire de moderniser l’univers des paiements européens. Elle instaure alors un cadre légal au développement de l’Open Banking.
Ouverture du système bancaire et API
La DSP2 sonne la fin du monopole des banques et permet aux fintechs régulées de proposer des services de paiement. Le principe de système bancaire ouvert oblige alors les établissements financiers à partager les données de leurs clients avec ces nouveaux acteurs. L’Open Banking stimule ainsi la concurrence et l’innovation et offre aux usagers des solutions de paiement plus efficaces.
Ces dernières reposent sur l’utilisation d’interfaces de programmation (API) qui simplifient la communication entre deux applications. À l’aide de cette technologie, les fintechs sont désormais capables de collecter les informations des comptes bancaires et de concevoir des produits financiers digitaux performants.
Nouveaux services de paiement
La DSP2 introduit aussi deux nouveaux statuts de PSP, régulés par l’Autorité de contrôle prudentiel et de résolution (ACPR) :
→ Les agrégateurs de compte : ces prestataires de services d’informations sur les comptes se servent des APIs pour offrir aux clients une vision consolidée de leurs comptes bancaires. Ils veillent également à la protection des données confidentielles.
→ Les initiateurs de paiement : ces PSP permettent aux utilisateurs de réaliser des transactions sans passer par leur banque. Il s’agit là d’une alternative au paiement par carte bancaire. Le client effectue un virement par l’intermédiaire d’une API ou d’un lien de paiement. Il bénéficie des avantages d’une transaction irrévocable, y compris sur des montants élevés.
Grâce à l’Open Banking, les PSP ont rivalisé d’ingéniosité et créé de nombreux cas d’usage à l’information sur les comptes et à l’initiation de paiement, dans différents secteurs économiques. En voici quelques exemples :
→ le paiement par virement bancaire des hauts paniers sur les sites de e-commerce ;
→ le rechargement sécurisé des wallets ;
→ l’automatisation et la digitalisation de la comptabilité ;
→ l’optimisation du recouvrement des créances clients ;
→ le paiement par lien des factures électroniques…
Vous êtes intéressés par le virement bancaire Open Banking immédiat ou instantané, lisez notre article !
Protection du consommateur
Au moment de la publication de la DSP2, les fraudes en ligne se multiplient et fragilisent la confidentialité des données des consommateurs lors de leurs achats à distance. Plusieurs mesures préventives visent, par conséquent, à renforcer les droits des clients.
→ Surfacturation interdite et encadrement des tarifs : aucun supplément n’est autorisé lors d’un paiement dans un commerce ou en ligne.
→ Mise à disposition obligatoire d’une procédure de réclamation afin d’éviter une action en justice pour traiter les plaintes relatives aux services de paiement.
→ Recueil du consentement du client indispensable avant la collecte de ses données bancaires ou pour initier un virement.
Authentification forte
Strong Customer Authentification ou SCA représente un concept clé de la DSP2. Il marque la fin de la validation des opérations par un simple mot de passe et l’introduction de l’authentification multifacteur (AMF).
La SCA limite considérablement le risque de fraude et implique, pour les clients, d’approuver leurs paiements électroniques à l’aide de deux facteurs parmi trois catégories.
→ La connaissance : l’utilisateur saisit, par exemple, un code confidentiel.
→ L’inhérence : il se sert de la biométrie (empreinte digitale ou faciale) pour finaliser une transaction.
→ La possession : il réalise son opération avec un objet personnel comme un téléphone.
L’authentification forte sécurise également l’accès au compte bancaire. Ainsi, tous les 180 jours, le client se connecte avec au moins deux facteurs.
Il existe quelques dérogations à la SCA comme les transactions inférieures à 30 €, les paiements récurrents, les opérations avec un tiers de confiance ou encore la simple consultation du solde d’un compte.
Limites de la DSP2
La Commission européenne a évalué la DSP2 en 2022. Dans son rapport, elle constate que même si la directive a largement contribué au développement de l’Open Banking, son succès demeure mitigé. Certes, l’écosystème bancaire s’est ouvert et a facilité l’émergence de fintechs agiles et innovantes.
Pour autant, celles-ci restent dépendantes des acteurs traditionnels du secteur et de leurs APIs peu performantes. Parmi les points de friction rencontrés par les prestataires de services de paiement (PSP), on peut citer les difficultés de connexion aux comptes bancaires ou encore les échecs de paiement qui affectent les taux de conversion.
Par ailleurs, depuis la DSP2, les techniques de fraude ont évolué avec l’arrivée, par exemple, du « spoofing » qui consiste à usurper l’identité d’un conseiller pour obtenir la validation d’une opération. Dans ce cas de figure, l’authentification forte se révèle inefficace. L’univers des paiements a donc un besoin urgent de renforcer la lutte contre la fraude avec des moyens à la hauteur des risques.
Enfin, en matière de droit des consommateurs, la Commission européenne entend instaurer davantage de transparence sur les frais et lors des transferts de fonds. Plus globalement, elle propose de moderniser la réglementation en vigueur pour augmenter la sécurité des transactions électroniques.
DSP3 et RSP : de nouvelles perspectives pour l’Open Banking
Le 28 juin 2023, la Commission européenne a présenté son projet de refonte de la DSP2 avec plusieurs objectifs :
→ accroître la compétitivité des services d’Open Banking, notamment avec des APIs plus performantes ;
→ harmoniser les règles applicables au secteur bancaire pour favoriser la concurrence ;
→ améliorer la lutte contre la fraude ;
→ préserver les droits des consommateurs ;
Cette révision prévoit deux textes de référence.
→ La DSP3, à visée plus généraliste, porte sur l’agrément et la supervision des établissements de paiement (EP). Le statut des EP devrait fusionner avec celui des établissements de monnaie électronique (EME).
→ Le règlement des services de paiement (RSP) a pour but, quant à lui, d’encadrer la fourniture de services de paiement et de monnaie électronique à l’échelle européenne. Il est conçu pour s’imposer de façon identique à chaque État membre afin de réduire les disparités et d’éviter certaines dérives.
Priorité donnée à l’Open Banking
La Commission européenne réaffirme les principes de l’Open Banking et son intérêt pour les clients des services d’informations sur les comptes et d’initiation de paiement. Plusieurs mesures sont donc envisagées pour assurer la continuité de l’activité des prestataires de services tiers.
→ Le renforcement de la qualité des APIs constitue un axe important de la réforme. Il vise à réduire les frictions existantes lors de l’accès aux services financiers.
Les banques doivent fournir une API dédiée avec des fonctionnalités de communication normalisées (temps de réponse, multiples bénéficiaires, etc.). Elles s’engagent aussi à publier régulièrement, sur leur site, la documentation, les statistiques de disponibilité et de performance, et à notifier les changements techniques 3 mois à l’avance.
De plus, en cas de dysfonctionnement du système bancaire et d’indisponibilité prolongée de l’API, le prestataire peut obtenir un accès à l’interface client sur demande, auprès de l’autorité nationale compétente.
→ Pour veiller à la parité des données, la Commission européenne préconise de mettre en place une liste d’obstacles interdits en matière d’accès à l’information.
→ Dans le cadre de l’uniformisation des conditions de concurrence, le régulateur impose également aux banques de fournir une explication aux PSP pour chaque refus d’accès aux comptes.
→ Le RSP consacre un article à l’authentification forte ou Strong Customer Authentification (SCA). Il érige ainsi la SCA à 180 jours au rang de règle non modifiable par les États membres et précise ses modalités d’application.
→ Pour garantir le respect des nouvelles conditions du règlement, les autorités nationales, comme l’ACPR, devraient bénéficier d’un pouvoir de supervision et de sanctions élargi.
Renforcement de la protection du consommateur
Ces dernières années, la SCA a réduit le risque de fraude aux moyens de paiements. Cependant, l’accélération de la digitalisation des process et l’émergence de nouvelles technologies, sans cadre légal adapté, rendent les transactions à distance vulnérables.
La Commission européenne recommande, par conséquent, des mesures de prévention pour préserver les droits des consommateurs.
→ Le texte prévoit l’obligation de fiabiliser l’IBAN pour tous les types de virements (les virements instantanés font déjà l’objet d’une disposition en cours de négociation). Le paiement sera soumis à une vérification de concordance entre le nom du compte et le numéro d’IBAN du bénéficiaire.
→ Le régulateur envisage aussi d’étendre les droits au remboursement des consommateurs à de nouveaux cas de figure (échec du contrôle IBAN/nom du client, victimes de spoofing…).
→ Les PSP pourront échanger les numéros d’IBAN des comptes utilisés pour effectuer des virements frauduleux, dans le respect des normes du RGPD.
→ Le RSP impose aux banques la mise en place d’un tableau de suivi et de gestion des autorisations d’accès aux données de paiement.
→ Le règlement exige une plus grande transparence sur les frais ou les transferts de fonds.
Développement de l’Open Finance
Le régulateur souhaite encadrer très précisément l’accès aux données et aux comptes de paiement afin de mieux gérer le partage des informations financières en général. Il veut inciter les consommateurs à prendre le contrôle de leurs données pour obtenir de meilleurs conseils, à un meilleur prix auprès des prestataires de leur choix.
À terme, les différents dispositifs mis en place ont vocation à encourager le développement de l’Open Finance et la création de nouveaux services et produits innovants et compétitifs.
La nouvelle réglementation des services de paiement est en marche. La DSP3 et le RSP se positionnent clairement en faveur de l’Open Banking. Ils imposent aux banques de lever les obstacles à un accès égalitaire aux données des clients et d’améliorer les APIs existantes. Le régulateur poursuit ainsi ses objectifs de libre concurrence, de sécurité des transactions et de préservation des droits des consommateurs.
Au cours des prochaines étapes, le Conseil et le Parlement européen examineront les deux textes, puis procéderont au vote et à leur adoption, probablement au printemps 2024. Si le Règlement deviendra effectif dès sa publication, la DSP3 devra faire l’objet d’une transposition en droit français. Cette phase, qui prend généralement 18 mois, pourrait être finalisée en 2026.
En tant qu’expert de l’Open Banking, Bridge s’investit fortement dans les évolutions réglementaires européennes sur les paiements et soutient les nouvelles mesures pour une expérience utilisateur fiable et efficace.
Poursuivez votre découverte de l’Open Banking avec notre Guide complet sur le sujet.
