Accéder au contenu principal

Révision du cadre réglementaire de l'UE en matière de paiements : le nouvel ensemble DSP3/RSP1

En synthèse

 

  • L'Union Européenne (UE) a introduit le 28 juin dernier un ensemble législatif visant à moderniser et à harmoniser le cadre réglementaire des paiements compte tenu de l’accélération de la transformation du secteur. Cet ensemble comprend une troisième Directive sur les Services de Paiement (DSP3) et un Règlement sur les Services de Paiement (RSP1).
  • Les propositions comprennent des mesures visant à uniformiser les règles du jeu entre les banques et les autres prestataires de services de paiement (PSP). Cela inclut notamment la possibilité pour ces derniers d'avoir un accès direct à tous les systèmes de paiement européens et de renforcer leurs droits à disposer d’un compte auprès des banques. L'objectif de cet ensemble est de garantir la résilience du secteur. Les régulateurs pourraient également exiger que les acteurs proposant des services de paiement créent une entité juridique distincte dès lors qu’ils font partie d’un groupe qui effectue des activités non liées aux paiements.
  • L'Union Européenne saisit également cette opportunité pour lever certains obstacles au développement de l'Open Banking, qui avait été attendu lors de la mise en application de Directive des Services de Paiement 2 (DSP2). Il est ainsi prévu de renforcer les obligations liées à la mise à disposition des APIs, de simplifier certaines exigences d'authentification pour les consommateurs et d’introduire des interfaces d’autorisation client obligatoires. Ces évolutions nécessiteront de nouveaux investissements, en particulier de la part des banques.
  • Cet ensemble comprend également des propositions visant à renforcer la protection contre la fraude et la protection des consommateurs. Cela inclut notamment pour les tiers de paiement « Third Party Provider » (TPP) l’obligation de fournir gratuitement à leurs utilisateurs des services de vérification de l'IBAN et du nom du bénéficiaire, l'élargissement des droits de remboursement des consommateurs à de nouveaux types de fraudes (tels que l’usurpation d’identité), et la mise en place d'un cadre juridique pour favoriser le partage de données liées à la fraude entre l’ensemble des acteurs de l’écosystème des paiements.
  • Si les textes sont adoptés, cela contribuera à renforcer la résilience et la compétitivité du secteur des paiements au sein de l'UE. Cependant, la mise en conformité demandera un investissement et des efforts considérables de la part de tous les acteurs de l’écosystème.

Introduction

 

L’accélération des transformations dans l’écosystème des paiements a poussé les dirigeants de l'Union Européenne à revoir les dispositions actuelles afin de rester cohérents avec leurs objectifs d'innovation, de compétitivité et de résilience. Dans ce contexte, la Commission Européenne a récemment publié deux propositions législatives : la DSP3 et le RSP1.

La Commission a qualifié cet ensemble comme une « évolution plutôt qu’une révolution ». Cependant, même si les changements proposés semblent être progressifs, ils pourraient avoir un impact significatif à long terme, en particulier pour les prestataires de services de paiement. Cet article explore les principales propositions de ce corpus législatif.

Note - La Commission a publié l'ensemble DSP3/RSP1 en même temps qu'une proposition législative pour un règlement sur l'accès aux données financières (FIDA) qui mettrait en œuvre l'Open Finance dans l'UE. Si vous souhaitez en savoir plus sur FIDA, veuillez cliquer ici pour accéder à notre analyse.

Un cadre réglementaire pour tous

 

L'harmonisation du paysage réglementaire des paiements au sein de l'UE est l'un des principaux objectifs de DSP3 et RSP1. En tant que Règlement, le RSP1 sera directement applicable par tous les Etats et la DSP3 continuera de couvrir les règles sur l'autorisation et la supervision des PSP. En effet, les interprétations divergentes de la Directive actuelle (DSP2) sur les services de paiement ont entravé son efficacité en générant des écarts substantiels selon les Etats Membres (EM). Pour y remédier, l'UE propose de transférer toutes les définitions clés (par exemple, ce qui constitue un compte de paiement) et règles régissant les Prestataires de Services de Paiement (PSP) de la DSP2 au RSP1, en les clarifiant si nécessaire.

Par ailleurs, une autre évolution est prévue sur l’intégration des Etablissements de Monnaie Electronique (EME) comme une sous-catégorie des PSP. En conséquence, la Directive sur la Monnaie Electronique (DME) est abrogée, et les EME devront se conformer aux dispositions de RSP1/DSP3. Mais cette évolution aura peu d’impacts car ils sont finalement déjà en grande partie concernés par la DSP2.

Les licences actuelles des PSP resteront valables pendant deux ans et demi après l'entrée en vigueur de la DSP3. Néanmoins, les PSP devront au cours de cette période fournir aux Autorités les informations permettant d’attester de leur conformité aux nouvelles exigences. Ces dispositions visent à réduire les disparités entre les États Membres et favoriser l’harmonisation des règles au sein du marché commun.

 

Uniformiser les règles du jeu

 

L'UE reconnaît que le terrain de jeu entre les banques et les PSP n'est pas encore complètement équilibré, et propose une mesure clé pour favoriser une concurrence plus équitable :

Renforcer les droits d'accès à un compte bancaire - Le RSP1 imposera aux banques de présenter leurs motifs de refus d’ouverture de compte aux PSP, basés sur les risques réels de leurs activités. En cas de litige, les Autorités compétentes pourront être sollicitées ; ces dispositions seront probablement bien accueillies par les PSP.

 

Renforcer la résilience du secteur des paiements

 

Comme évoqué précédemment, les autorités s’inquiètent de l'augmentation du nombre de PSP, de leur diversité, et de la complexité croissante de leurs modèles économiques. Pour y remédier, la Commission propose de renforcer certaines exigences, notamment :

  • Garantir efficacement les fonds - Les PSP devront garantir la protection des fonds de leurs clients auprès de plusieurs banques grâce aux propositions visant à améliorer leur accès aux comptes bancaires. Pour faciliter la mise en œuvre de cette disposition, les Etats Membres pourront par ailleurs autoriser les PSP à détenir des fonds auprès de leur banque centrale.
  • Etablir de nouveaux plans en cas de défaillance – Les PSP devront prévoir et soumettre un plan de liquidation et un plan de continuité qui devront être proportionnés à leur taille et à leur business model. L’objectif est ici de mieux protéger leurs clients et utilisateurs en cas de faillite.
  • Structurer de nouvelles entités juridiques – Les Autorités pourront exiger des PSP disposant d’activités non liées aux paiements de créer une entité distincte pour les paiements. La Commission agit ainsi pour éviter de confondre les différentes activités, notamment avec des reportings séparés sur les fonds propres. Cette mesure est pensée pour préserver la stabilité financière et opérationnelle des acteurs du paiement, mais aussi pour limiter l'accès à des acteurs non règlementés aux données de paiement.

 

Valoriser l'Open Banking

 

La Commission utilise également cet ensemble législatif pour surmonter certains des obstacles bien connus pour atteindre le plein potentiel de l'Open Banking. Les deux principales mesures proposées dans ce domaine sont les suivantes :

Changements sur l'authentification forte (SCA pour Strong Customer Authentification) du client - Les ASPSP (Prestataire de Services de Paiement gérant les Comptes de Paiement) auront la responsabilité de la SCA uniquement lors de la première connexion d’un AISP (Prestataires de Services d'Information sur les Comptes). Par la suite, la responsabilité de l’authentification forte sera portée par les AISP tous les 180 jours au minimum. Cette mesure arrive en rupture avec la DSP2 et ses impacts négatifs sur la fluidité du parcours client. La responsabilité de l’authentification forte transférée des ASPSP aux AISP devrait favoriser l’adoption et la fluidité des parcours clients.

Interface d’autorisations client - Les ASPSP devront également mettre en place un tableau de bord permettant à leurs clients de consulter, retirer et rétablir leurs autorisations. La Commission compte sur cette mesure pour développer les cas d’usage d’Open Banking et diversifier les services de paiement.

Il est très probable que ces mesures favorisent l'innovation et la concurrence. Néanmoins, les évolutions demanderont des efforts et des investissements importants, en particulier de la part des banques et fournisseurs de données. Les implications financières pourraient expliquer en partie pourquoi la Commission n'a pas imposé le développement d'une norme unique d'API à l'échelle de l'UE, malgré le constat de l'ABE en 2022 selon lequel la fragmentation des API a été un obstacle majeur au développement de l'Open Banking.

 

Renforcement de la lutte contre la fraude et de la protection des consommateurs

 

Le texte comprend également des propositions visant à renforcer la protection des utilisateurs, notamment quatre nouvelles mesures de protection contre la fraude :

Vérification de l'IBAN et du bénéficiaire - Les PSP devront fournir gratuitement à leurs utilisateurs des services de vérification de l'IBAN et du nom du bénéficiaire. La proposition complète les exigences proposées dans le Règlement sur les Paiements Instantanés de l'UE (RPI), qui devrait être finalisé d'ici fin 2023. Le RSP1 couvrira cependant tous les virements de l’UE dans n’importe quelle devise tandis que le RPI ne s’applique qu’aux virements instantanés libellés en euros. Par conséquent, les PSP devront mettre à niveau leurs dispositifs anti-fraude pour intégrer cette fonctionnalité à leurs outils.

Soumission des prestataires techniques à l’authentification forte (SCA) – L’ensemble des acteurs, y compris les prestataires techniques, seront soumis à l’authentification forte. En cas de non-respect, ces derniers seront responsables des dommages financiers. Ces prestataires jouent un rôle crucial en fournissant par exemple les protocoles de communication utilisés par les PSP pour l’application de la SCA. En effet, entre 2018 et 2020, les Autorités ont constaté des délais dans la fourniture de ces protocoles entraînant des retards initiaux du déploiement de la SCA.

Remboursement des consommateurs – Tous les PSP devront repenser leurs systèmes d’indemnisation de fraudes, sans cesse challengés par l’apparition de nouvelles méthodes de fraudes.  Les consommateurs bénéficieront donc d’un élargissement de leurs droits de remboursement, notamment dans le cas où le fraudeur usurpe l’identité des PSP.

Base juridique pour le partage de données sur la fraude - Les propositions introduisent une nouvelle base juridique en vertu du Règlement Général sur la Protection des Données (RGPD) pour permettre aux PSP de partager entre eux des données liées à la fraude au travers de programmes de partage de données. Cela devrait leur permettre de partager plus facilement les données, sous réserve d'accords multilatéraux incitatifs de partage d'informations devant inclure une plateforme informatique dédiée. Les acteurs accueilleront favorablement cette clarté réglementaire. Par ailleurs, nous supposons que les régulateurs utiliseront cette nouvelle base juridique pour pousser les PSP à surveiller et prévenir plus efficacement la criminalité financière.

Prochaines étapes et considérations finales

 

La publication du corpus DSP3 et RSP1 lance les négociations législatives de l'UE. Néanmoins la version définitive des textes ne sera probablement adoptée qu’au cours de l’année 2024.

Dans l'ensemble, les propositions DSP3/RSP1 contribueront à renforcer à la fois la compétitivité et la résilience du secteur des paiements de l'UE. Elles prennent des mesures concrètes pour remédier aux limitations et aux lacunes connues du cadre réglementaire actuel des paiements au sein de l'UE et donnent aux autorités de régulation des outils améliorés pour faire face aux risques.

En définitive les différentes propositions de l’ensemble DSP3/RSP1 favorisent les cas d’usages d’Open Banking. Ainsi, en donnant aux utilisateurs la possibilité de vérifier l'ensemble de leurs accords de consultation & services donnés aux PSP, et en facilitant le parcours d'authentification forte, les considérations client sont remises au cœur de la proposition, ce qui était l’un des grands oublis de la DSP2.

Avez-vous trouvé cela utile ?

Merci pour votre retour

Nos points de vue