L’accélération des transformations dans l’écosystème des paiements a poussé les dirigeants de l'Union Européenne à revoir les dispositions actuelles afin de rester cohérents avec leurs objectifs d'innovation, de compétitivité et de résilience. Dans ce contexte, la Commission Européenne a récemment publié deux propositions législatives : la DSP3 et le RSP1.
La Commission a qualifié cet ensemble comme une « évolution plutôt qu’une révolution ». Cependant, même si les changements proposés semblent être progressifs, ils pourraient avoir un impact significatif à long terme, en particulier pour les prestataires de services de paiement. Cet article explore les principales propositions de ce corpus législatif.
Note - La Commission a publié l'ensemble DSP3/RSP1 en même temps qu'une proposition législative pour un règlement sur l'accès aux données financières (FIDA) qui mettrait en œuvre l'Open Finance dans l'UE. Si vous souhaitez en savoir plus sur FIDA, veuillez cliquer ici pour accéder à notre analyse.
L'harmonisation du paysage réglementaire des paiements au sein de l'UE est l'un des principaux objectifs de DSP3 et RSP1. En tant que Règlement, le RSP1 sera directement applicable par tous les Etats et la DSP3 continuera de couvrir les règles sur l'autorisation et la supervision des PSP. En effet, les interprétations divergentes de la Directive actuelle (DSP2) sur les services de paiement ont entravé son efficacité en générant des écarts substantiels selon les Etats Membres (EM). Pour y remédier, l'UE propose de transférer toutes les définitions clés (par exemple, ce qui constitue un compte de paiement) et règles régissant les Prestataires de Services de Paiement (PSP) de la DSP2 au RSP1, en les clarifiant si nécessaire.
Par ailleurs, une autre évolution est prévue sur l’intégration des Etablissements de Monnaie Electronique (EME) comme une sous-catégorie des PSP. En conséquence, la Directive sur la Monnaie Electronique (DME) est abrogée, et les EME devront se conformer aux dispositions de RSP1/DSP3. Mais cette évolution aura peu d’impacts car ils sont finalement déjà en grande partie concernés par la DSP2.
Les licences actuelles des PSP resteront valables pendant deux ans et demi après l'entrée en vigueur de la DSP3. Néanmoins, les PSP devront au cours de cette période fournir aux Autorités les informations permettant d’attester de leur conformité aux nouvelles exigences. Ces dispositions visent à réduire les disparités entre les États Membres et favoriser l’harmonisation des règles au sein du marché commun.
L'UE reconnaît que le terrain de jeu entre les banques et les PSP n'est pas encore complètement équilibré, et propose une mesure clé pour favoriser une concurrence plus équitable :
Renforcer les droits d'accès à un compte bancaire - Le RSP1 imposera aux banques de présenter leurs motifs de refus d’ouverture de compte aux PSP, basés sur les risques réels de leurs activités. En cas de litige, les Autorités compétentes pourront être sollicitées ; ces dispositions seront probablement bien accueillies par les PSP.
Comme évoqué précédemment, les autorités s’inquiètent de l'augmentation du nombre de PSP, de leur diversité, et de la complexité croissante de leurs modèles économiques. Pour y remédier, la Commission propose de renforcer certaines exigences, notamment :
La Commission utilise également cet ensemble législatif pour surmonter certains des obstacles bien connus pour atteindre le plein potentiel de l'Open Banking. Les deux principales mesures proposées dans ce domaine sont les suivantes :
Changements sur l'authentification forte (SCA pour Strong Customer Authentification) du client - Les ASPSP (Prestataire de Services de Paiement gérant les Comptes de Paiement) auront la responsabilité de la SCA uniquement lors de la première connexion d’un AISP (Prestataires de Services d'Information sur les Comptes). Par la suite, la responsabilité de l’authentification forte sera portée par les AISP tous les 180 jours au minimum. Cette mesure arrive en rupture avec la DSP2 et ses impacts négatifs sur la fluidité du parcours client. La responsabilité de l’authentification forte transférée des ASPSP aux AISP devrait favoriser l’adoption et la fluidité des parcours clients.
Interface d’autorisations client - Les ASPSP devront également mettre en place un tableau de bord permettant à leurs clients de consulter, retirer et rétablir leurs autorisations. La Commission compte sur cette mesure pour développer les cas d’usage d’Open Banking et diversifier les services de paiement.
Il est très probable que ces mesures favorisent l'innovation et la concurrence. Néanmoins, les évolutions demanderont des efforts et des investissements importants, en particulier de la part des banques et fournisseurs de données. Les implications financières pourraient expliquer en partie pourquoi la Commission n'a pas imposé le développement d'une norme unique d'API à l'échelle de l'UE, malgré le constat de l'ABE en 2022 selon lequel la fragmentation des API a été un obstacle majeur au développement de l'Open Banking.
Le texte comprend également des propositions visant à renforcer la protection des utilisateurs, notamment quatre nouvelles mesures de protection contre la fraude :
Vérification de l'IBAN et du bénéficiaire - Les PSP devront fournir gratuitement à leurs utilisateurs des services de vérification de l'IBAN et du nom du bénéficiaire. La proposition complète les exigences proposées dans le Règlement sur les Paiements Instantanés de l'UE (RPI), qui devrait être finalisé d'ici fin 2023. Le RSP1 couvrira cependant tous les virements de l’UE dans n’importe quelle devise tandis que le RPI ne s’applique qu’aux virements instantanés libellés en euros. Par conséquent, les PSP devront mettre à niveau leurs dispositifs anti-fraude pour intégrer cette fonctionnalité à leurs outils.
Soumission des prestataires techniques à l’authentification forte (SCA) – L’ensemble des acteurs, y compris les prestataires techniques, seront soumis à l’authentification forte. En cas de non-respect, ces derniers seront responsables des dommages financiers. Ces prestataires jouent un rôle crucial en fournissant par exemple les protocoles de communication utilisés par les PSP pour l’application de la SCA. En effet, entre 2018 et 2020, les Autorités ont constaté des délais dans la fourniture de ces protocoles entraînant des retards initiaux du déploiement de la SCA.
Remboursement des consommateurs – Tous les PSP devront repenser leurs systèmes d’indemnisation de fraudes, sans cesse challengés par l’apparition de nouvelles méthodes de fraudes. Les consommateurs bénéficieront donc d’un élargissement de leurs droits de remboursement, notamment dans le cas où le fraudeur usurpe l’identité des PSP.
Base juridique pour le partage de données sur la fraude - Les propositions introduisent une nouvelle base juridique en vertu du Règlement Général sur la Protection des Données (RGPD) pour permettre aux PSP de partager entre eux des données liées à la fraude au travers de programmes de partage de données. Cela devrait leur permettre de partager plus facilement les données, sous réserve d'accords multilatéraux incitatifs de partage d'informations devant inclure une plateforme informatique dédiée. Les acteurs accueilleront favorablement cette clarté réglementaire. Par ailleurs, nous supposons que les régulateurs utiliseront cette nouvelle base juridique pour pousser les PSP à surveiller et prévenir plus efficacement la criminalité financière.
La publication du corpus DSP3 et RSP1 lance les négociations législatives de l'UE. Néanmoins la version définitive des textes ne sera probablement adoptée qu’au cours de l’année 2024.
Dans l'ensemble, les propositions DSP3/RSP1 contribueront à renforcer à la fois la compétitivité et la résilience du secteur des paiements de l'UE. Elles prennent des mesures concrètes pour remédier aux limitations et aux lacunes connues du cadre réglementaire actuel des paiements au sein de l'UE et donnent aux autorités de régulation des outils améliorés pour faire face aux risques.
En définitive les différentes propositions de l’ensemble DSP3/RSP1 favorisent les cas d’usages d’Open Banking. Ainsi, en donnant aux utilisateurs la possibilité de vérifier l'ensemble de leurs accords de consultation & services donnés aux PSP, et en facilitant le parcours d'authentification forte, les considérations client sont remises au cœur de la proposition, ce qui était l’un des grands oublis de la DSP2.