Paiement: les changements de la directive DSP2

La Commission met en avant la meilleure protection des consommateurs et les paiements plus sécurisés apportée par la directive DSP2. Le volet le plus sensible a porté sur l'accès aux données de comptes des clients, que les banques ne voulaient pas ouvrir aux nouveaux entrants. Un compromis a été trouvé mais qui n'entrera en pratique qu'en septembre 2019. [Commission européenne]

La directive européenne sur les services de paiement 2ème version (DSP2) entre officiellement en vigueur. Elle rend obligatoire l’authentification forte pour les paiements de plus de 30 euros. Un article de notre partenaire, La Tribune.

« Des services de paiements moins chers, plus sûrs et plus innovants. » Ce samedi 13 janvier entre en vigueur dans toute l’Union européenne la directive révisée sur les services de paiement (DSP2), qui « intègre et abroge » la première directive sur le sujet adoptée en 2007. Ce texte a fait l’objet d’une âpre bataille entre la Commission européenne, l’Autorité bancaire européenne (ABE), les banques et les startups de la Fintech (technologies financières). L’objectif est de « favoriser l’innovation, la concurrence et l’efficience » du marché et plus précisément de « moderniser les services de paiement en Europe au profit tant des consommateurs que des entreprises, de manière à rester en phase avec ce marché en évolution rapide » selon la Commission.

La DSP2, qui a été transposée en droit français par ordonnance cet été, comprend plusieurs volets et instaure de nouvelles règles intéressant directement les consommateurs dont :

  • L’interdiction de la surfacturation, autrement dit l’application de suppléments en cas de paiement par carte de débit ou de crédit, aussi bien dans un magasin qu’en ligne.
  • Le renforcement des droits de consommateurs, avec par exemple l’abaissement  de la franchise restant à la charge du client en cas de paiement frauduleux par carte avant opposition de 150 à 50 euros, des délais plus courts de remboursement et l’introduction d’un droit au remboursement inconditionnel pour les prélèvements en euros.
  • L’obligation de l’authentification forte (c’est-à-dire à deux facteurs au moins entre un code ou mot de passe que l’on sait, un appareil que l’on possède, une donnée biométrique telle que l’empreinte digitale, la voix ou l’iris) pour les paiements en ligne de plus de 30 euros, afin de réduire la fraude dans l’e-commerce.
  • L’ouverture du marché à de nouveaux acteurs en donnant accès aux informations sur les comptes par un canal de communication sécurisé.

Ces deux dernières dispositions n’entrent pas en vigueur immédiatement : un délai d’adaptation de 18 mois après la publication au JO de l’UE des normes techniques est prévu, ce qui devrait reporter leur application à septembre 2019.

[Le principe de l’authentification forte ou à deux facteurs, qui sera obligatoire pour les paiements électroniques de plus de 30 euros. Crédits : FBF]

Le e-commerce s’inquiète des projets de Bruxelles sur les paiements en ligne

L’industrie du e-commerce veut que la Commission revoit les mesures de sécurité supplémentaires prévues par son projet de loi sur les paiements en ligne, craignant qu’elles ne rebutent les acheteurs.

Économies pour le consommateur

La Commission européenne a mis l’accent sur le renforcement de la protection des consommateurs et la sécurisation des paiements de ce nouveau texte qui n’entre en vigueur que partiellement. Vendredi, en rappelant les grandes lignes du texte, Valdis Dombrovskis, le vice-président de la Commission chargé de la stabilité financière, des services financiers et de l’union des marchés des capitaux, s’est félicité que :

« Cet acte législatif constitue une nouvelle étape dans la création d’un marché unique numérique dans l’UE. Il encouragera le développement de systèmes de paiement en ligne et mobiles innovants, ce qui stimulera l’économie et la croissance. Avec l’entrée en application de la DSP2, la surfacturation appliquée aux cartes de débit et de crédit des consommateurs devient interdite. Les consommateurs de l’UE pourraient ainsi économiser plus de 550 millions d’euros par an. Ils bénéficieront aussi d’une protection accrue lorsqu’ils effectuent des paiements. »

Bruxelles souligne que de nouveaux acteurs ont développé ces dernières années des moyens de paiement innovants et à bas coûts en ligne (comme SoFort en Allemagne, désormais contrôlé par le suédois Klarna, IDeal aux Pays-Bas et Trustly en Suède), alors que « 60% de la population de l’UE ne possède pas de carte de crédit ».

Accès sécurisé des données vs screen-scraping

C’est sur le point de l’accès aux données et les moyens d’y parvenir, que le bras de fer a été le plus dur entre les banques criant aux risques de piratage et les nouveaux acteurs (agrégateurs de comptes comme Bankin’ et Linxo en tête) s’insurgeant dru risque de nouvelles barrières à l’entrée.

La DSP2 oblige les banques à fournir l’accès aux données de leurs clients (avec l’accord de ces derniers, bien sûr) à des acteurs tiers que sont les initiateurs de services de paiement (appelés PSP comme SoFort, Adyen, HiPay ou PayPal) ou les prestataires de services d’informations sur les comptes (les agrégateurs présentant des tableaux de bord et outils de gestion des finances personnelles). Ce sont souvent des Fintech mais parfois aussi d’autres banques (elles sont nombreuses à proposer un agrégateur) ou des assureurs (la Maif et son agrégateur appelé Nestor par exemple).

Les banques devront pour cela « assurer une communication sécurisée et standardisée » en adaptant leur interface bancaire en ligne ou bien en créant une interface spécifique (une API, une interface de programmation interopérable). Faute de quoi les agrégateurs et prestataires de paiement pourront continuer à accéder aux données en pratiquant le screen-scraping (capture de données d’écran) en utilisant les codes d’accès du client. Ce qui n’est pas idéal du point de vue de la sécurité informatique. Ce sera limité dans le temps (tolérance jusqu’en septembre 2019) et encadré :

« La DSP2 interdit aux PSP d’accéder à toute autre donnée du compte de paiement du client que celles pour lesquelles le client a donné son autorisation explicite. Les clients devront consentir à l’accès, à l’utilisation et au traitement de ces données », insiste la Commission.

Ce compromis a satisfait les deux camps, en laissant un délai de transition et en finissant avec le flou juridique.