2. Entreprises & Finance

  3. Banques / Finance

Paiement : la directive DSP2 entre en vigueur, c'est quoi ?

La directive européenne sur les services de paiement 2ème version (DSP2) entre officiellement en vigueur ce samedi 13 janvier. Elle rend obligatoire l'authentification forte pour les paiements de plus de 30 euros. Certaines dispositions sur l'accès aux données, au cœur d'un bras de fer entre banques et startups de la Fintech, ne seront mises en place qu'en septembre 2019.
Delphine Cuny
La Commission met en avant la meilleure protection des consommateurs et les paiements plus sécurisés apportés par la directive DSP2. Le volet le plus sensible a porté sur l'accès aux données de comptes des clients, que les banques ne voulaient pas ouvrir aux nouveaux entrants. Un compromis a été trouvé mais qui n'entrera en pratique qu'en septembre 2019.
La Commission met en avant la meilleure protection des consommateurs et les paiements plus sécurisés apportés par la directive DSP2. Le volet le plus sensible a porté sur l'accès aux données de comptes des clients, que les banques ne voulaient pas ouvrir aux nouveaux entrants. Un compromis a été trouvé mais qui n'entrera en pratique qu'en septembre 2019. (Crédits : CE)

[Article mis à jour le 22 mars]

« Des services de paiements moins chers, plus sûrs et plus innovants. » Ce samedi 13 janvier est entrée en vigueur dans toute l'Union européenne la directive révisée sur les services de paiement (DSP2), qui « intègre et abroge » la première directive sur le sujet adoptée en 2007. Ce texte a fait l'objet d'une âpre bataille entre la Commission européenne, l'Autorité bancaire européenne (ABE), les banques et les startups de la Fintech (technologies financières). L'objectif est de « favoriser l'innovation, la concurrence et l'efficience » du marché et plus précisément de « moderniser les services de paiement en Europe au profit tant des consommateurs que des entreprises, de manière à rester en phase avec ce marché en évolution rapide » selon la Commission.

La DSP2, qui a été transposée en droit français par ordonnance cet été, comprend plusieurs volets et instaure de nouvelles règles intéressant directement les consommateurs dont :

  • L'interdiction de la surfacturation, autrement dit l'application de suppléments en cas de paiement par carte de débit ou de crédit, aussi bien dans un magasin qu'en ligne.
  • Le renforcement des droits de consommateurs, avec par exemple l'abaissement de la franchise restant à la charge du client en cas de paiement frauduleux par carte avant opposition de 150 à 50 euros, des délais plus courts de remboursement et l'introduction d'un droit au remboursement inconditionnel pour les prélèvements en euros.
  • L'obligation de l'authentification forte (c'est-à-dire à deux facteurs au moins entre un code ou mot de passe que l'on sait, un appareil que l'on possède, une donnée biométrique telle que l'empreinte digitale, la voix ou l'iris) pour les paiements en ligne de plus de 30 euros, afin de réduire la fraude dans l'e-commerce.
  • L'ouverture du marché à de nouveaux acteurs en donnant accès aux informations sur les comptes par un canal de communication sécurisé.

Ces deux dernières dispositions n'entrent pas en vigueur immédiatement : un délai d'adaptation est prévu pour les normes techniques, de 18 mois après la publication des textes au Journal officiel de l'UE (intervenue le 13 mars), ce qui reporte leur application au 14 septembre 2019.

DSP2 paiement authentification forte

[Le principe de l'authentification forte ou à deux facteurs, qui sera obligatoire pour les paiements électroniques de plus de 30 euros. Crédits : FBF]

Economies pour le consommateur

La Commission européenne a mis l'accent sur le renforcement de la protection des consommateurs et la sécurisation des paiements de ce nouveau texte qui n'entre en vigueur que partiellement. Vendredi, en rappelant les grandes lignes du texte, Valdis Dombrovskis, le vice-président de la Commission chargé de la stabilité financière, des services financiers et de l'union des marchés des capitaux, s'est félicité que :

« Cet acte législatif constitue une nouvelle étape dans la création d'un marché unique numérique dans l'UE. Il encouragera le développement de systèmes de paiement en ligne et mobiles innovants, ce qui stimulera l'économie et la croissance. Avec l'entrée en application de la DSP2, la surfacturation appliquée aux cartes de débit et de crédit des consommateurs devient interdite. Les consommateurs de l'UE pourraient ainsi économiser plus de 550 millions d'euros par an. Ils bénéficieront aussi d'une protection accrue lorsqu'ils effectuent des paiements ».

Bruxelles souligne que de nouveaux acteurs ont développé ces dernières années des moyens de paiement innovants et à bas coûts en ligne (comme SoFort en Allemagne, désormais contrôlé par le suédois Klarna, IDeal aux Pays-Bas et Trustly en Suède), alors que « 60% de la population de l'UE ne possède pas de carte de crédit. »

Accès sécurisé des données vs screen-scraping

C'est sur le point de l'accès aux données et les moyens d'y parvenir, que le bras de fer a été le plus dur entre les banques criant aux risques de piratage et les nouveaux acteurs (agrégateurs de comptes comme Bankin' et Linxo en tête) s'insurgeant du risque de nouvelles barrières à l'entrée.

| Lire aussi C'est quoi une Fintech ?

La DSP2 oblige les banques à fournir l'accès aux données de leurs clients (avec l'accord de ces derniers, bien sûr) à des acteurs tiers que sont les initiateurs de services de paiement (appelés PSP en anglais, comme SoFort, Adyen, HiPay ou PayPal) ou les prestataires de services d'informations sur les comptes (les agrégateurs présentant des tableaux de bord et outils de gestion des finances personnelles). Ce sont souvent des Fintech mais parfois aussi d'autres banques (elles sont nombreuses à proposer un agrégateur) ou des assureurs (la Maif et son agrégateur appelé Nestor par exemple).

Les banques devront pour cela « assurer une communication sécurisée et standardisée » en adaptant leur interface bancaire en ligne ou bien en créant une interface spécifique (une API, une interface de programmation interopérable). Faute de quoi les agrégateurs et prestataires de paiement pourront continuer à accéder aux données en pratiquant le "screen-scraping" (capture de données d'écran) en utilisant les codes d'accès du client. Ce qui n'est pas idéal du point de vue de la sécurité informatique. Ce sera limité dans le temps (tolérance jusqu'en septembre 2019) et encadré :

« La DSP2 interdit aux PSP d'accéder à toute autre donnée du compte de paiement du client que celles pour lesquelles le client a donné son autorisation explicite. Les clients devront consentir à l'accès, à l'utilisation et au traitement de ces données » insiste la Commission.

Ce compromis, qui trace la voie de l'open banking, a satisfait les deux camps, car il laisse un délai de transition et en finit avec le flou juridique.

Ce lundi, l'agrégateur Bankin' s'est félicité d'être « la première Fintech européenne à obtenir l'agrément DSP2 » : sa maison-mère Perspecteev a obtenu de l'Autorité de contrôle prudentiel et de résolution (ACPR, adossée à la Banque de France) les deux agréments d'initiation de paiement et d'informations sur les comptes. Bankin' se targue d'être désormais « un acteur financier régulé au même titre que les banques, avec un niveau de sécurité équivalent.» Ce n'est cependant qu'un établissement de paiement et non un établissement de crédit.

Enfin, l'entrée en vigueur de la DSP2 va aussi légaliser en France une pratique répandue en Europe, celle du cash-back : la possibilité de retirer des espèces chez un commerçant au moment d'un paiement. Aucune disposition spécifique ne l'autorise mais l'article 3 (alinéa e) du texte précise justement qu'il ne s'agit pas d'un service de paiement en tant que tel. Le projet de loi ratifiant l'ordonnance de transposition en droit français de la directive, en discussion au Parlement, prévoit d'encadrer cette pratique du cash-back, notamment en fixant un montant maximum.

Delphine Cuny

Sujets les + lus

|

Sujets les + commentés

Commentaires 7
à écrit le 04/11/2022 à 12:55
Signaler
La dsp2 est une arnaque de plus, nous sommes contraints d'avoir un téléphone compatible pour effectuer nos achats en ligne, et n'ayant pas de portale pas de possibilité d'achat, sinon changer se portable, avec quel argent , plus de la moitié de ma re...
à écrit le 08/01/2021 à 19:54
Signaler
Bonsoir, Comment se fait-il que, dans le cadre de DSP2 et de la synchronisation forte avec son téléphone portable, il soit demandé de décliner les informations complètes de sa carte bancaire qui est personnelle, même avec le cryptogramme?
à écrit le 14/11/2019 à 21:01
Signaler
Encore une debilite produite par la bande de bons a rien , surpayes de bruxelles, Cela ne sert a rien , et en plus on vous ment, car ce n'est pas le paiement qui est bloque , mais l'acces a vos comptes sur le site de votre banque, donc le paiement b...
à écrit le 02/09/2019 à 18:49
Signaler
Comme d'habitude, on nous prend pour des gros crétins. Ce qui est vrai, lorsqu'on examine la liste des grands élus européens (dont le mari de Brigitte). Nous ne gagnerons strictement rien à nous faire étrangler un peu plus. Le véritable objectif de t...
à écrit le 11/12/2018 à 11:06
Signaler
C'est quand même anormal d'utiliser le screen scrapping, quand on sait que cette méthode est interdite dans l'univers des cryptomonnaies. Les connexions entre plateformes d'échange ( équivalent des banques) et application tiers se font par APIs ( pr...
à écrit le 18/01/2018 à 21:32
Signaler
"Avec l'entrée en application de la DSP2, la surfacturation appliquée aux cartes de débit et de crédit des consommateurs devient interdite. Les consommateurs de l'UE pourraient ainsi économiser plus de 550 millions d'euros par an." Le niveau de mo...
à écrit le 13/01/2018 à 11:32
Signaler
tres bien le prochain article devra dire ou ca va etre refacture.....

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.