Directive sur les services de paiement
La Directive sur les services de paiement (DSP) est une directive européenne concernant les prestataires de services de paiement au sein du marché intérieur, publiée au journal officiel de l'Union européenne.
La DSP 1 est adoptée le , elle est publiée le . Celle-ci est abrogée et remplacée par la DSP 2 adoptée le .
Première directive sur les services de paiements (DSP 1)
[modifier | modifier le code]La DSP 1 est adoptée le , elle est publiée le [1]. Elle est transposée dans les droits nationaux et mise en œuvre par tous les États membres avant le .
La directive vise à garantir un accès équitable et ouvert aux marchés des paiements et à renforcer la protection des consommateurs. Avant son entrée en vigueur, chaque État membre applique en effet ses propres règles en matière de paiements, et les paiements effectués entre ces systèmes cloisonnés représentent un coût annuel de 2 à 3 % du PIB. Cela limite les prestataires de services de paiement (PSP) d’offrir des services compétitifs sur l'ensemble du territoire de l'UE. Il est attendu de la suppression de ces barrières une réduction des coûts de 28 milliards d'euros par an pour l'ensemble de l'économie de l'UE. Cette directive présente des avantages importants pour tous les utilisateurs des services de paiement. Elle prévoir de permettre de réaliser les paiements électroniques effectués en euros ou au niveau national dans un délai maximal d'un jour après l'envoi de l'ordre de paiement. Elle donne un fondement juridique au lancement de systèmes de paiement transfrontaliers par prélèvement bancaire. Elle vise également à réduire les prix et élargir le choix pour les utilisateurs en encourageant la concurrence sur le marché et en permettant à des institutions non bancaires d'entrer sur les marchés des paiements, avec la création du statut d'établissement de paiement.
Elle définit les micropaiement (Article 34) et permet une mise en œuvre simplifiée de la monnaie électronique et des services de paiement de montants unitaires inférieurs à 30 € ou la mise en œuvre d'autorisation de limite de dépense inférieure à 150 €.
La directive fournit la base juridique nécessaire à la création de l'Espace unique de paiement en euros (SEPA) qui prévoit l'harmonisation de certains moyens de paiement. L'espace unique de paiement en euros est une initiative du secteur bancaire européen, représenté par le Conseil européen des paiements, avec le soutien de la Commission européenne (CE) et de la Banque centrale européenne (BCE). La CE et la BCE considèrent le SEPA comme un marché intégré pour les services de paiement qui doit faire l'objet d'une concurrence réelle et sur lequel il ne doit pas y avoir de distinction entre les paiements nationaux et les paiements transfrontaliers en euros à l'intérieur de la zone SEPA.
Cela implique la suppression de toutes les barrières techniques, légales et commerciales entre les marchés nationaux des paiements.
Deuxième directive sur les services de paiements (DSP 2)
[modifier | modifier le code]La Commission européenne adopte le un paquet législatif contenant une nouvelle directive sur les services de paiement, dite DSP 2, qui abroge la première directive sur les services de paiement DSP 1 (Directive 2007/64/CE[2]) et adopte définitivement par le Parlement européen et le Conseil le (Directive 2015/2366/UE[3]).
À la suite des travaux de l'Autorité bancaire européenne pour compléter la directive par des normes techniques de réglementation relatives à l'authentification forte du client et à des normes ouvertes communes et sécurisées de communication[4], le règlement délégué (UE) 2018/389 est adopté le [5].
Cette directive révisée vise à faciliter l’utilisation des services de paiement électronique sur internet en les rendant moins onéreux et plus sûrs grâce à la prise en compte des services dits d’initiation de paiement, intervenant entre le commerçant et la banque de l’acheteur.
Les prestataires de services de paiement sans carte de crédit seront donc désormais soumis aux mêmes normes de réglementation et de surveillance que tous les autres établissements de paiement.
Cette directive pose le principe du remboursement inconditionnel des prélèvements automatiques, excepté dans le cas où le bien ou service payé a été consommé ou si les pertes sont dues à une négligence de la part de l’utilisateur.
En outre, cette directive révisée rabaisse le plafond que les utilisateurs pourront être tenus d’assumer en cas de paiement non autorisé à la suite d'une perte ou d'un vol de carte de paiement à 50 €, contre 150 € avec la DSP 1.
La directive entre en vigueur partiellement en et définitivement en avec la mise en place de l'obligation de l'authentification forte et de l'accès aux informations sur les comptes donnés aux nouveaux prestataires de services de paiement (PSP)[6].
Transposition de la directive en France
[modifier | modifier le code]En France, la Banque de France informe que les établissements français se sont engagés à travers l'Observatoire de la sécurité des moyens de paiement (OSMP) à proposer plusieurs moyens pour s'authentifier en ligne, en particulier pour les personnes qui ne disposent pas d'un ordiphone[7]:
- soit par la saisie d'un code à usage unique reçu par SMS ou serveur vocal, en plus de la saisie d'un code personnel dans un champ distinct ;
- soit par l'usage d'un dispositif d'authentification sécurisé tel qu'un générateur de code avec clavier, clé USB, lecteur de QR code, etc. en apportant le support et l'assistance nécessaire.
Troisième directive sur les services de paiements (DSP 3)
[modifier | modifier le code]La troisième directive sur les services de paiements renforce les règles d'authentification — l'Authentification Forte du Client (SCA) — pour améliorer la sécurité des paiements et réduire la fraude, en transférant certaines responsabilités d'authentification des banques aux prestataires de services d'information sur les comptes (AISP). Elle complète la DSP2 sur l'Open banking, facilitant l'accès aux données financières. Elle améliore la transparence et la protection des consommateurs en clarifiant les frais et en renforçant les droits liés aux données personnelles. Elle uniformise les règles des DSP à travers l'UE, limitant les interprétations nationales divergentes des transpositions en intégrant un Règlement sur les services de paiement (RSP1)[8].
Voir aussi
[modifier | modifier le code]Articles connexes
[modifier | modifier le code]Liens externes
[modifier | modifier le code]Notes et références
[modifier | modifier le code]- [PDF] Texte de la Directive publié au JO UE
- « EUR-Lex - 32007L0064 », sur eur-lex.europa.eu (consulté le ).
- « EUR-Lex - 32015L2366 », sur eur-lex.europa.eu (consulté le ).
- (en) « Regulatory Technical Standards on strong customer authentication and secure communication under PSD2 », sur Autorité bancaire européenne, (consulté le )
- « EUR-Lex - 3A32018R0389 », sur eur-lex.europa.eu (consulté le ).
- « Paiement : la directive DSP2 entre en vigueur, c'est quoi ? », sur La Tribune, (consulté le ).
- « Les changements introduits par la DSP2 : Le renforcement de la sécurité des paiements en ligne », sur Banque de France (version du sur Internet Archive) : « Un établissement bancaire est-il tenu de proposer plusieurs dispositifs d’authentification forte ?
La réglementation n’impose pas aux établissements de proposer plusieurs dispositifs d’authentification forte. Toutefois, les établissements de la Place française se sont engagés, dans le cadre de l’Observatoire de la sécurité des moyens de paiement (OSMP), à proposer plusieurs dispositifs, en particulier pour les publics ne disposant pas de smartphones et ne pouvant donc installer les solutions mobiles des banques françaises permettant une authentification forte. Les solutions alternatives qui pourraient être proposées sont les suivantes :- le maintien du code envoyé par SMS ou par serveur vocal associé à un code personnel. Dans ce cas de figure, le consommateur valide la transaction sur Internet en saisissant dans deux champs distincts : i) le code reçu par SMS ou par serveur vocal interactif et ii) un code personnel statique qui lui a été communiqué par sa banque (par exemple, le code d’accès à sa banque en ligne). La cinématique de paiement est donc globalement inchangée, moyennant l’ajout d’un champ de saisie supplémentaire sur la page de validation, ce qui constitue une solution de continuité ;
- l’utilisation d’un dispositif physique mis à disposition par la banque, en particulier pour la clientèle « sédentaire » qui effectue ses achats en ligne systématiquement depuis son domicile. Dans ce cas de figure, la banque a équipé le consommateur d’un dispositif lui permettant de s’authentifier de manière sécurisée, et qui peut prendre différentes formes : générateur de codes doté d’un clavier de saisie, clef USB, lecteur de QR code, etc. Dans ce cas, la banque doit veiller à apporter à son client tout le support et l’assistance nécessaires à la bonne prise en main de ce dispositif. »
- https://www2.deloitte.com/fr/fr/pages/services-financier/articles/revision-cadre-reglementaire-ue-paiements-nouvel-ensemble-dsp3-rsp1.html