Paiement : la directive DSP2 entre en vigueur, c'est quoi ?

DSP2 entrée en vigueur paiement fintech
CE

DSP2 entrée en vigueur paiement fintech
CE
[Article mis à jour le 22 mars]
« Des services de paiements moins chers, plus sûrs et plus innovants. » Ce samedi 13 janvier est entrée en vigueur dans toute l'Union européenne la directive révisée sur les services de paiement (DSP2), qui « intègre et abroge » la première directive sur le sujet adoptée en 2007. Ce texte a fait l'objet d'une âpre bataille entre la Commission européenne, l'Autorité bancaire européenne (ABE), les banques et les startups de la Fintech (technologies financières). L'objectif est de « favoriser l'innovation, la concurrence et l'efficience » du marché et plus précisément de « moderniser les services de paiement en Europe au profit tant des consommateurs que des entreprises, de manière à rester en phase avec ce marché en évolution rapide » selon la Commission.
La DSP2, qui a été transposée en droit français par ordonnance cet été, comprend plusieurs volets et instaure de nouvelles règles intéressant directement les consommateurs dont :
Ces deux dernières dispositions n'entrent pas en vigueur immédiatement : un délai d'adaptation est prévu pour les normes techniques, de 18 mois après la publication des textes au Journal officiel de l'UE (intervenue le 13 mars), ce qui reporte leur application au 14 septembre 2019.

[Le principe de l'authentification forte ou à deux facteurs, qui sera obligatoire pour les paiements électroniques de plus de 30 euros. Crédits : FBF]
Chaque jour à 13h, l’essentiel de l’actualité industrielle.

La Commission européenne a mis l'accent sur le renforcement de la protection des consommateurs et la sécurisation des paiements de ce nouveau texte qui n'entre en vigueur que partiellement. Vendredi, en rappelant les grandes lignes du texte, Valdis Dombrovskis, le vice-président de la Commission chargé de la stabilité financière, des services financiers et de l'union des marchés des capitaux, s'est félicité que :
Bruxelles souligne que de nouveaux acteurs ont développé ces dernières années des moyens de paiement innovants et à bas coûts en ligne (comme SoFort en Allemagne, désormais contrôlé par le suédois Klarna, IDeal aux Pays-Bas et Trustly en Suède), alors que « 60% de la population de l'UE ne possède pas de carte de crédit. »
C'est sur le point de l'accès aux données et les moyens d'y parvenir, que le bras de fer a été le plus dur entre les banques criant aux risques de piratage et les nouveaux acteurs (agrégateurs de comptes comme Bankin' et Linxo en tête) s'insurgeant du risque de nouvelles barrières à l'entrée.
La DSP2 oblige les banques à fournir l'accès aux données de leurs clients (avec l'accord de ces derniers, bien sûr) à des acteurs tiers que sont les initiateurs de services de paiement (appelés PSP en anglais, comme SoFort, Adyen, HiPay ou PayPal) ou les prestataires de services d'informations sur les comptes (les agrégateurs présentant des tableaux de bord et outils de gestion des finances personnelles). Ce sont souvent des Fintech mais parfois aussi d'autres banques (elles sont nombreuses à proposer un agrégateur) ou des assureurs (la Maif et son agrégateur appelé Nestor par exemple).
Les banques devront pour cela « assurer une communication sécurisée et standardisée » en adaptant leur interface bancaire en ligne ou bien en créant une interface spécifique (une API, une interface de programmation interopérable). Faute de quoi les agrégateurs et prestataires de paiement pourront continuer à accéder aux données en pratiquant le "screen-scraping" (capture de données d'écran) en utilisant les codes d'accès du client. Ce qui n'est pas idéal du point de vue de la sécurité informatique. Ce sera limité dans le temps (tolérance jusqu'en septembre 2019) et encadré :
Ce compromis, qui trace la voie de l'open banking, a satisfait les deux camps, car il laisse un délai de transition et en finit avec le flou juridique.
Ce lundi, l'agrégateur Bankin' s'est félicité d'être « la première Fintech européenne à obtenir l'agrément DSP2 » : sa maison-mère Perspecteev a obtenu de l'Autorité de contrôle prudentiel et de résolution (ACPR, adossée à la Banque de France) les deux agréments d'initiation de paiement et d'informations sur les comptes. Bankin' se targue d'être désormais « un acteur financier régulé au même titre que les banques, avec un niveau de sécurité équivalent.» Ce n'est cependant qu'un établissement de paiement et non un établissement de crédit.
À lire également
Enfin, l'entrée en vigueur de la DSP2 va aussi légaliser en France une pratique répandue en Europe, celle du cash-back : la possibilité de retirer des espèces chez un commerçant au moment d'un paiement. Aucune disposition spécifique ne l'autorise mais l'article 3 (alinéa e) du texte précise justement qu'il ne s'agit pas d'un service de paiement en tant que tel. Le projet de loi ratifiant l'ordonnance de transposition en droit français de la directive, en discussion au Parlement, prévoit d'encadrer cette pratique du cash-back, notamment en fixant un montant maximum.