La directive sur les services de paiement (DSP2) vise à harmoniser la réglementation sur les paiements au sein de l’Union européenne (UE) tout en prenant en compte les avancées technologiques. Le texte a pour objectif également d’introduire de nouvelles exigences en matière de sécurité.
Aujourd’hui, les besoins des utilisateurs sont de plus en plus orientés vers le paiement instantané, mobile ou le sans contact. Cette directive doit ainsi « favoriser l’innovation, la concurrence et l’efficience », selon la Commission européenne. Elle doit également « moderniser les services de paiement en Europe au profit tant des consommateurs que des entreprises, de manière à rester en phase avec ce marché en évolution rapide ».
DSP2 : une mutation numérique des services de paiement
DSP2 est la deuxième version de la Directive sur les services de paiement. La 1ère version de la directive a permis une intégration croissante du marché intérieur des services de paiement. Cependant, le législateur a jugé qu’il fallait aller plus loin, notamment en matière de sécurité. L’UE a adopté le 2nd texte le 25 novembre 2015. Et il est entré en vigueur dans tout l’UE le 13 janvier 2018. Cependant, certaines dispositions n’entreront en vigueur qu’au cours de l’année 2019.
« Le marché des services de paiement de l’UE reste fragmenté et cher, coûtant 130 milliards d’euros par an, soit plus de 1% du PIB de l’UE. L’économie européenne ne peut pas se permettre ces coûts si elle veut rester mondialement compétitive », déclarait en 2015 Antonio Tajani, le député en chargé du dossier, lors du vote de la directive. « Le nouveau cadre réglementaire réduira les coûts, augmentera la sécurité des paiements et facilitera l’arrivée de nouveaux acteurs et de nouvelles méthodes innovantes de paiements mobiles et en ligne ».
Pourquoi une directive sur les services de paiement ?
Dans un communiqué de presse en date de janvier 2018 a expliqué que grâce à cette directive DSP2, les consommateurs vont profiter de tous les avantages qu’offrent les paiements en ligne pour l’achat de biens et de services. Les nouvelles règles rendent ces paiement moins chers, plus simples et plus sûrs. « La directive révisée sur les services de paiement (DSP2) […] vise à moderniser les services de paiement en Europe au profit tant de consommateurs que des entreprises, de manière à rester en phase avec ce marché en évolution rapide », précise le communiqué.
Directive DSP2 : de nouveaux enjeux de sécurité
Les principales mesures introduites par la directive DSP2 sont les suivantes :
- Interdire la surfacturation, c’est-à-dire l’application de suppléments en cas de paiement par carte de débit ou de crédit. Cela est valable aussi bien dans un commerce physique qu’en ligne.
- Ouvrir le marché des paiements de l’UE aux entreprises offrant des services de paiement, en leur donnant accès aux informations sur les comptes de paiement.
- Instaurer des exigences de sécurité strictes pour les paiements électroniques et la protection des données financières des consommateurs. Cela implique par exemple une obligation d’authentification forte pour les paiements en ligne de plus de 30 euros. Le but étant de réduire la fraude dans l’e-commerce.
La sécurité : une priorité de la directive DSP2
La sécurité est l’un des éléments forts de la nouvelle directive DSP2 par rapport à la première version. Un effort important a été fait sur ces questions. Les acteurs du marché ayant besoin de règles claires et précises pour se conformer aux nouvelles exigences, la Commission européenne a adopté des normes techniques de réglementation.
Ces normes techniques instaurent des exigences de sécurité que les prestataires de services de paiement doivent respecter lorsqu’ils traitent des opérations de paiement ou fournissent des services connexes. Ces normes définissent les exigences à remplir pour permettre une authentification forte des clients.
« Un objectif clé est de stimuler la concurrence ainsi que l’innovation sur le marché des paiements de détail. Dans ce contexte, les normes techniques de réglementation incluent deux nouveaux types de services de paiement, à savoir les services d’initiation de paiement et les services d’information sur les comptes », a précisé Bruxelles.
Authentification forte : une obligation dès septembre 2019 avec DSP2
Les règles imposées par la directive intègrent des dispositions strictes en matière de sécurité. L’objectif est d’abord de réduire de manière significative les niveaux de la fraude en matière de paiement. Il s’agit ensuite de protéger la confidentialité des données financières des utilisateurs, particulièrement importante pour les paiements en ligne.
La directive DSP2 définit l’authentification forte comme suit. Il s’agit d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories :
– Connaissance soit quelque chose que seul l’utilisateur connaît
– Possession soit quelque chose que seul l’utilisateur possède
– Inhérence soit quelque chose que l’utilisateur est
Ces éléments doivent être indépendants, c’est-à-dire que la compromission de l’un ne remet pas en question la fiabilité des autres, et est conçue de manière à protéger la confidentialité des données d’authentification.
L’authentification forte (deux facteurs au moins) fait partie des mesures applicables à compter de septembre 2019. Avant la directive, cette technique était seulement recommandée. Elle sera bientôt obligatoire. Dans le but de protéger le consommateur, DSP2 exige des banques la mise en œuvre d’une authentification multi-facteurs. Le but est de vérifier l’identité de l’utilisateur pour toutes les transactions à distance et de proximité, et ce quel que soit le canal utilisé. Avec un objectif clair de renforcer la sécurisation des données, la DSP2 impose, côté back-end, que les communications entre les serveurs des différents acteurs de la chaine de valeur soient protégées, en ayant recours aux certificats électroniques.
Une amélioration de l’expérience utilisateur
En effet, la directive DSP2 demande aux banques de mettre en place des mesures de sécurité qui sont « compatibles avec le niveau de risque associé aux services de paiement ». Vous connaissez déjà la version une de la DSP : cette page de redirection sur laquelle vous atterrissez après un achat pour saisir un code que votre banque vous envoie par téléphone. DSP2 en est la version ultra-sécurisée et ergonomique pour confirmer votre identité en ligne.
Une approche Open Banking
La directive européenne prévoit que les commerçants, les fintechs et les banques puissent communiquer et échanger via des API. C’est pour cette raison que les banques doivent adapter leurs structures informatiques à la DSP2 et mettre en place des API. Ce canal de communication sécurisé sera accessible par les prestataires de services de paiement tiers qui souhaitent agréger les données des comptes bancaires et/ou initier des services de paiement.
Les communications entre les serveurs des détenteurs de comptes (les banques), des agrégateurs d’information ou des prestataires de paiement doivent être sécurisées. Concrètement, ces acteurs doivent équiper leur serveur d’un certificat de cachet serveur.
Une nouvelle étape dans la création du marché unique numérique
« Cet acte législatif constitue une nouvelle étape dans la création d’un marché unique numérique dans l’UE. Il encouragera le développement de systèmes de paiement en ligne et mobiles innovants, ce qui stimulera l’économie et la croissance. Avec l’entrée en application de la DSP2, la surfacturation appliquée aux cartes de débit et de crédit des consommateurs deviendra interdite. Les consommateurs de l’UE pourraient ainsi économiser plus de 550 millions d’euros par an. Ils bénéficieront aussi d’une protection accrue lorsqu’ils effectuent des paiements », a déclaré Valdis Dombrovskis, le vice-président de la Commission chargé de la stabilité financière, des services financiers et de l’union des marchés des capitaux.