Le 28 juin dernier, une nouvelle secoua l’industrie des paiements : la Commission Européenne annonce le lancement du projet Directive sur les services de paiement 3, une révision de la directive actuelle (DSP2). Cette déclaration s’inscrit dans le cadre d’un nouveau paquet législatif, visant à harmoniser et moderniser le paysage réglementaire des paiements européens.
L’annonce intervient seulement un an après que l’Autorité Bancaire Européenne (ABE) ait rendu public son rapport encourageant la Commission de l’Union à réviser la Directive sur les services de paiement 2¹.
Pour quelles raisons réviser la directive ? Quels seront ses impacts ? Pour quels résultats attendus ? Quand celle-ci entrera-t-elle en vigueur ? Dans cet article, découvrez comment le projet DSP3 est en passe de chambouler le futur paysage financier européen.
Pourquoi réviser la DSP2 ?
Depuis plus de 15 ans, les différentes DSP ont contribué façonner l’industrie des paiements telle qu’elle existe aujourd’hui. Une nouvelle révision est cependant nécessaire afin d’adapter le cadre réglementaire aux évolutions rapides du marché.
Avancées et contributions des précédentes Directive sur les services de paiement
Adoptée en 2007 et transposée en droit français en 2009, la première version de la directive (DSP1) a établi les fondations réglementaires de l’écosystème, avec un objectif précis : harmoniser le marché financier européen. Des premières mesures ayant permis l’homogénéisation des moyens de paiements dans l’Union Européenne (virement et prélèvement SEPA), la distinction entre banques et établissements de paiement (création des statuts « prestataire de services de paiement », « établissement de monnaie électronique » et « établissement de crédit ».), ainsi que l’introduction du couple innovation financière et concurrence.
Face à l’essor du paiement en ligne, une deuxième version de la directive (DSP2) est adoptée en 2018. Orientée « partage de données » et « sécurité », la Directive sur les Services de Paiement 2 fut un véritable tournant. De nouveaux prestataires de services de paiement sont introduits : les PSP tiers (Prestataire de services d’informations sur les comptes (PSIC) et Prestataire de services d’initiation de paiement (PSIP)), l’authentification forte (SCA) est généralisée pour toutes les transactions en ligne et le développement du concept d’Open Banking est accéléré grâce au partage obligatoire, par API, des données de paiement entre banques et fintechs.
Limites du modèle actuel
Cinq ans après l’adoption de la DSP2, la Commission Européenne présente son projet de révision visant à corriger certaines défaillances identifiées :
- Besoins d’encadrement des évolutions du marché (Open Finance, monnaie électronique, fraude…)
- Réponse aux API d’échange d’informations et d’initiation sous performantes
- Volonté de rendre les parcours de paiement davantage frictionless pour les payeurs
En parallèle de l’annonce du projet DSP3, le même organe européen a présenté un projet de publication d’une Directive sur l’Open Finance (FIDA) ainsi que d’un Règlement sur les services de paiement (RSP), affichant clairement sa volonté d’actualiser et d’assortir l’ensemble des réglementations financières au sein de l’Union.
Quels objectifs pour la Directive sur les Services de paiement 3 ?
Cette révision permettra de renforcer la ligne conductrice de l’Union Européenne en matière de sécurité et de performance des outils de paiement. Avec un champ d’application plus large, la Directive sur les services de paiement 3 couvrira et répondra aux enjeux du marché, autour de 3 axes prioritaires :
- Mieux protéger les consommateurs dans le partage et le traitement des données financières
- Dynamiser la concurrence entre les acteurs du marché (banques et fintechs)
- Stimuler l’innovation pour contribuer à l’élargissement de la gamme de services financiers
Protection des consommateurs européens
La proposition de texte de la DSP3 suggère des mécanismes normés, plus stricts et sécurisés afin d’harmoniser les outils et procédures d’identification, de suivi et de contrôle utilisés par les établissements financiers (banques, prestataires de services de paiement et agents PSP) en vue de lutter efficacement contre la fraude et le blanchiment d’argent. Une attention particulière sera également portée sur la protection des données financières des consommateurs européens grâce au durcissement des mesures de traitement et de partage de celles-ci par les tiers. Ces nouvelles obligations permettront de créer un environnement plus transparent et sûr, où le consommateur sera maître des données qu’il souhaite partager ou non.
Réflexion autour de l’Open Finance
En élargissant le concept d’Open Finance, la DSP3 apportera un nouvel élan au développement d’un environnement financier européen plus intégré, collaboratif et innovant. Grâce au partage plus large des données financières entre les banques et les autres acteurs du marché, la Directive sur les services de paiement 3 vise à stimuler davantage la création de nouveaux outils et solutions, pour concurrencer les grandes puissances, pionnières en matière de finance ouverte (USA, Brésil, Inde…).
Same playing field
L’harmonisation des règles pour tous les acteurs du marché, qu’ils soient banques ou établissements de paiement permettra d’encourager une concurrence saine et dynamique, tout en favorisant l’entrée de nouveaux acteurs innovants. La DSP3 ambitionne la création d’un écosystème où la compétition se mesure en termes de qualité des services offerts, et non d’avantages réglementaires inéquitables.
Quelles mesures composeront le projet DSP3 ?
La proposition de Directive sur les services de paiement 3, présentée en juin dernier, incluait un premier jet de mesures (non définitives), dont en voici une liste non-exhaustive :
Moderniser les services de paiement pour protéger les consommateurs
- Avant de partager les données de leurs clients avec des tiers, les établissements devront obligatoirement recueillir leur consentement explicite et mettre en place des moyens leur permettant de revenir sur ces autorisations.
- L’ensemble des données financières collectées devront être accessibles à tout moment par le consommateur final.
- Deux facteurs du même groupe (connaissance, possession, attribut inhérent) pourront être utilisés dans le processus d’authentification forte, par exemple deux mots de passe ou bien une reconnaissance faciale et une vocale.
- Pour les paiements récurrents, seule une SCA sera obligatoire, lors de la première obligation.
- L’ensemble des frais liés aux transactions devront être affichés clairement, sans ambiguïté.
Open Finance : Renforcer l’ouverture des données des services financiers
- Les banques et les fintechs auront une obligation de résultat quant à la performance de leurs API.
- Afin de limiter le risque de fraude et de renforcer leurs règles de vérification d’identité (KYC / KYB), les établissements pourront partager entre eux des informations relatives à la sécurité (tentatives de fraude, clients suspects…)
- En cas de défaillances (panne, dysfonctionnement…), les établissements bancaires devront accorder aux Prestataires de services de paiement tiers le droit d’utiliser leurs plateformes et interfaces.
« Same playing field » entre les banques et les établissements de paiement
- Les banques seront tenues de faciliter l’accès des PSP à leur systèmes (API) ainsi qu’à l’ouverture de comptes bancaires, avec des garanties adaptées
- Les établissements bancaires seront dans l’obligation de partager trimestriellement des rapports chiffrés sur la performance et la disponibilité de leurs outils (API, interfaces, plateformes…).
Quels impacts pour les marchands ?
La Directive sur les Services de Paiement 3 aura un impact pour toute entité recevant des paiements sur des comptes (e-commerçants, entreprises, marketplaces, réseaux de commerçants…), à différents degrés, bien évidemment.
- Les entreprises qui encaissent pour fonds propres seront impactées dans une moindre mesure, car la plupart des évolutions imposées par la DSP3 seront directement prises en charge par leur prestataire de services de paiement (règles de sécurité et de vérification, exigences et procédures réglementaires…)
- Les entreprises qui encaissent pour le compte de tiers et mouvementent sur des comptes de paiement seront, elles, soumises à une mise en conformité obligatoire. Au même titre que les PSP, ces activités de « fourniture de services de paiement » à des tiers (marketplaces, éditeurs…) devront prendre en charge tous les ajustements qui seront nécessaires (gestion des données clients, renforcement de la vérification d’identité, mesures de partage de données…).
NB : Pour se maintenir leur conformité, les plateformes qui encaissent pour le compte de tiers peuvent faire le choix d’obtenir un agrément auprès de l’ACPR (processus complexe, long et coûteux) ou alors s’appuyer sur l’expertise technique, réglementaire et commerciale d’un établissement de paiement tel que CentralPay, qui lui permettra d’intégrer et de distribuer des services de paiement régulés.
Nous conseillons à tout commerçant se tenir informé afin d’anticiper, de se préparer et d’appréhender au mieux les nouvelles obligations engendrées par la DSP3.
Quel sera le déroulé de la mise en place de la DSP3 ?
En septembre 2020, la Commission Européenne déclarait que « d’ici 2024, l’Union Européenne devrait avoir mis en place un cadre en matière de finance ouverte […]. Ce cadre sera coordonné avec le réexamen de la directive sur les services de paiement (DSP2) ». Depuis, plusieurs groupes de travail et commissions avaient été mobilisées pour tirer des enseignements de la précédente directive et proposer des axes d’évolution.
Annoncé depuis maintenant 6 mois, le projet Directive sur les services de paiement 3 fait déjà couler beaucoup d’encre.
Consultations et contribution des acteurs du secteur
Avec ce nouveau texte, la Commission souhaite corriger les erreurs des précédentes directives, afin de mieux définir les obligations de chacune des parties. Holistique mais précis, le projet DSP3 concerne et impacte aussi bien les banques, que les prestataires de services de paiement, que les marchands, que les consommateurs finaux. La Directive sur les services de paiement 3 constitue une réelle opportunité pour toutes parties de travailler conjointement avec le régulateur afin de créer un cadre durable, sécurisé et compétitif.
Calendrier prévisionnel de la Directive sur les services de paiement 3
L’attention se tourne désormais vers les futures échéances de la DSP3. À ce jour, aucun calendrier clair n’est établi. De nombreuses initiatives ont été lancées afin de travailler concrètement sur le texte, qui devrait déboucher sur une version finalisée début 2024. Les textes définitifs devraient ensuite être votés au printemps 2024 en vue d’une entrée en vigueur dans les 18 mois qui suivent, soit début 2026.
Bien que la DSP3 promette des évolutions significatives, sa mise en œuvre complète et effective demeure conditionnée par un processus réglementaire complexe et évolutif. L’établissement de paiement CentralPay travaille avec le régulateur, et vous tiendra informé des évolutions et échéances selon l’avancée de l’examen du texte.
———-
¹ ABE, « Opinion of the European Banking Authority on its technical advice on the review of Directive (EU) 2015/2366 on payment services in the internal market (PSD2) », (23/06/2022)
