Paiement : la directive DSP2 entre en vigueur, c'est quoi ?

 |   |  1047  mots
La Commission met en avant la meilleure protection des consommateurs et les paiements plus sécurisés apportée par la directive DSP2. Le volet le plus sensible a porté sur l'accès aux données de comptes des clients, que les banques ne voulaient pas ouvrir aux nouveaux entrants. Un compromis a été trouvé mais qui n'entrera en pratique qu'en septembre 2019.
La Commission met en avant la meilleure protection des consommateurs et les paiements plus sécurisés apportée par la directive DSP2. Le volet le plus sensible a porté sur l'accès aux données de comptes des clients, que les banques ne voulaient pas ouvrir aux nouveaux entrants. Un compromis a été trouvé mais qui n'entrera en pratique qu'en septembre 2019. (Crédits : CE)
La directive européenne sur les services de paiement 2ème version (DSP2) entre officiellement en vigueur ce samedi 13 janvier. Elle rend obligatoire l'authentification forte pour les paiements de plus de 30 euros. Certaines dispositions sur l'accès aux données, au cœur d'un bras de fer entre banques et startups de la Fintech, ne seront mises en place qu'en septembre 2019.

[Article mis à jour lundi 15 janvier à 15h45]

« Des services de paiements moins chers, plus sûrs et plus innovants. » Ce samedi 13 janvier est entrée en vigueur dans toute l'Union européenne la directive révisée sur les services de paiement (DSP2), qui « intègre et abroge » la première directive sur le sujet adoptée en 2007. Ce texte a fait l'objet d'une âpre bataille entre la Commission européenne, l'Autorité bancaire européenne (ABE), les banques et les startups de la Fintech (technologies financières). L'objectif est de « favoriser l'innovation, la concurrence et l'efficience » du marché et plus précisément de « moderniser les services de paiement en Europe au profit tant des consommateurs que des entreprises, de manière à rester en phase avec ce marché en évolution rapide » selon la Commission.

La DSP2, qui a été transposée en droit français par ordonnance cet été, comprend plusieurs volets et instaure de nouvelles règles intéressant directement les consommateurs dont :

  • L'interdiction de la surfacturation, autrement dit l'application de suppléments en cas de paiement par carte de débit ou de crédit, aussi bien dans un magasin qu'en ligne.
  • Le renforcement des droits de consommateurs, avec par exemple l'abaissement  de la franchise restant à la charge du client en cas de paiement frauduleux par carte avant opposition de 150 à 50 euros, des délais plus courts de remboursement et l'introduction d'un droit au remboursement inconditionnel pour les prélèvements en euros.
  • L'obligation de l'authentification forte (c'est-à-dire à deux facteurs au moins entre un code ou mot de passe que l'on sait, un appareil que l'on possède, une donnée biométrique telle que l'empreinte digitale, la voix ou l'iris) pour les paiements en ligne de plus de 30 euros, afin de réduire la fraude dans l'e-commerce.
  • L'ouverture du marché à de nouveaux acteurs en donnant accès aux informations sur les comptes par un canal de communication sécurisé.

Ces deux dernières dispositions n'entrent pas en vigueur immédiatement : un délai d'adaptation de 18 mois après la publication au JO de l'UE des normes techniques est prévu, ce qui devrait reporter leur application à septembre 2019.

DSP2 paiement authentification forte

[Le principe de l'authentification forte ou à deux facteurs, qui sera obligatoire pour les paiements électroniques de plus de 30 euros. Crédits : FBF]

Economies pour le consommateur

La Commission européenne a mis l'accent sur le renforcement de la protection des consommateurs et la sécurisation des paiements de ce nouveau texte qui n'entre en vigueur que partiellement. Vendredi, en rappelant les grandes lignes du texte, Valdis Dombrovskis, le vice-président de la Commission chargé de la stabilité financière, des services financiers et de l'union des marchés des capitaux, s'est félicité que :

« Cet acte législatif constitue une nouvelle étape dans la création d'un marché unique numérique dans l'UE. Il encouragera le développement de systèmes de paiement en ligne et mobiles innovants, ce qui stimulera l'économie et la croissance. Avec l'entrée en application de la DSP2, la surfacturation appliquée aux cartes de débit et de crédit des consommateurs devient interdite. Les consommateurs de l'UE pourraient ainsi économiser plus de 550 millions d'euros par an. Ils bénéficieront aussi d'une protection accrue lorsqu'ils effectuent des paiements ».

Bruxelles souligne que de nouveaux acteurs ont développé ces dernières années des moyens de paiement innovants et à bas coûts en ligne (comme SoFort en Allemagne, désormais contrôlé par le suédois Klarna, IDeal aux Pays-Bas et Trustly en Suède), alors que « 60% de la population de l'UE ne possède pas de carte de crédit. »

Accès sécurisé des données vs screen-scraping

C'est sur le point de l'accès aux données et les moyens d'y parvenir, que le bras de fer a été le plus dur entre les banques criant aux risques de piratage et les nouveaux acteurs (agrégateurs de comptes comme Bankin' et Linxo en tête) s'insurgeant du risque de nouvelles barrières à l'entrée.

| Lire aussi C'est quoi une Fintech ?

La DSP2 oblige les banques à fournir l'accès aux données de leurs clients (avec l'accord de ces derniers, bien sûr) à des acteurs tiers que sont les initiateurs de services de paiement (appelés PSP en anglais, comme SoFort, Adyen, HiPay ou PayPal) ou les prestataires de services d'informations sur les comptes (les agrégateurs présentant des tableaux de bord et outils de gestion des finances personnelles). Ce sont souvent des Fintech mais parfois aussi d'autres banques (elles sont nombreuses à proposer un agrégateur) ou des assureurs (la Maif et son agrégateur appelé Nestor par exemple).

Les banques devront pour cela « assurer une communication sécurisée et standardisée » en adaptant leur interface bancaire en ligne ou bien en créant une interface spécifique (une API, une interface de programmation interopérable). Faute de quoi les agrégateurs et prestataires de paiement pourront continuer à accéder aux données en pratiquant le "screen-scraping" (capture de données d'écran) en utilisant les codes d'accès du client. Ce qui n'est pas idéal du point de vue de la sécurité informatique. Ce sera limité dans le temps (tolérance jusqu'en septembre 2019) et encadré :

« La DSP2 interdit aux PSP d'accéder à toute autre donnée du compte de paiement du client que celles pour lesquelles le client a donné son autorisation explicite. Les clients devront consentir à l'accès, à l'utilisation et au traitement de ces données » insiste la Commission.

Ce compromis, qui trace la voie de l"open banking", a satisfait les deux camps, qui laisse un délai de transition et en finit avec le flou juridique.

Ce lundi, l'agrégateur Bankin' s'est félicité d'être « la première Fintech européenne à obtenir l'agrément DSP2 » : sa maison-mère Perspecteev a obtenu  de l'Autorité de contrôle prudentiel et de résolution (ACPR, adossée à la Banque de France) les deux agréments d'initiation de paiement et d'informations sur les comptes. Bankin' se targue d'être désormais « un acteur financier régulé au même titre que les banques, avec un niveau de sécurité équivalent.» Ce n'est cependant qu'un établissement de paiement et non un établissement de crédit.

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 18/01/2018 à 21:32 :
"Avec l'entrée en application de la DSP2, la surfacturation appliquée aux cartes de débit et de crédit des consommateurs devient interdite. Les consommateurs de l'UE pourraient ainsi économiser plus de 550 millions d'euros par an."

Le niveau de mogolance atteint par Valdis Dombrovskis est assez extraordinaire. Les commerçants répercutent les frais de transactions carte de crédit parce qu'on leur facture aussi. Les frais de transaction seront maintenant intégrés dans le prix de vente. Comme si on faisait apparaitre 550 millions d'euros en écrivant 3 lignes dans un règlement.
a écrit le 13/01/2018 à 11:32 :
tres bien
le prochain article devra dire ou ca va etre refacture.....

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :