Qu’est-ce que la DSP2 ?
Afin que les consommateurs n’aient pas à traiter avec des entreprises peu scrupuleuses, la Commission européenne a adopté en 2015 une version révisée de la directive sur les services de paiement. Que se cache-t-il exactement derrière la DSP2 ?
Directive DSP2 : qu’est-ce que c’est ?
La DSP2 est une version révisée de la directive sur les services de paiement (DSP), initiée en 2007. Elle a été adoptée par le Conseil de l’Union européenne le 16 novembre 2015 et est entrée en vigueur en 2019. Elle régit, à l’échelle européenne, les opérations de paiement effectuées par des entreprises qui ne sont pas considérées comme des banques traditionnelles. L’objectif est de permettre à de nouveaux acteurs de proposer des services de paiement innovants via Internet, et donc de stimuler et réguler par la même occasion la concurrence dans le secteur financier.
Les directives sur les services de paiement, dans leur version 1 et 2, ont plusieurs objectifs :
- Ouvrir la concurrence dans les services de paiement
- Réduire les coûts pour les consommateurs
- Contrôler et renforcer les start-ups du secteur des technologies financières (les Fintech)
- Créer plus de sécurité lors des paiements en ligne
La directive sur les services de paiement 2 en détail
La version 2 de la directive sur les services de paiement a été adoptée dès 2017 et transposée en droit français le 25 juillet 2018. L’une des innovations les plus importantes est que les banques doivent désormais permettre à d’autres fournisseurs d’accéder aux informations de leurs clients. Seulement, bien sûr, si l’utilisateur concerné a donné son accord.
Les banques doivent fournir une interface aux prestataires autorisés afin qu’ils puissent effectuer directement des virements et obtenir des informations sur le solde des comptes et d’autres détails financiers des clients.
Dans le secteur de la Fintech, certaines entreprises proposent des logiciels innovants permettant aux utilisateurs de gérer leurs actifs. Les applications permettant d’épargner, de souscrire des assurances ou de spéculer en bourse ont besoin des informations de la banque. Depuis l’entrée en vigueur de la DSP2, les banques sont tenues d’offrir aux entreprises disposant des certificats correspondants une interface permettant aux prestataires de services de consulter les informations nécessaires et d’effectuer des paiements ou des virements.
Même avec la DSP II, les entreprises ne peuvent pas accéder arbitrairement à vos données financières sensibles. En effet, outre l’autorisation des autorités, les prestataires de services ont notamment besoin de votre consentement explicite pour obtenir des données de votre banque.
Comment fonctionne la DSP2 ?
Bien que les fournisseurs de services aient déjà eu accès aux informations à partir du compte bancaire dans le passé, ils n’y avaient pas un accès uniforme. Avec la DSP2, des API doivent être développées afin de pouvoir communiquer sur des interfaces sécurisées. À l’échelle internationale, si les entreprises ne disposent pas d’API, elles doivent dépendre d’une technologie appelée Web scraping. Dans ce processus, le prestataire de services extrait toutes les informations du site Web du fournisseur de services bancaires en ligne. Cette méthode est peu fiable et sujette à des erreurs. C’est pourquoi la DSP2 impose aux banques de mettre en place une interface sécurisée d’accès aux comptes (XS2A). Celle-ci permet aux prestataires de services agréés d’accéder aux informations bancaires des clients, à condition que ces derniers aient donné leur consentement explicite.
La DSP2 propose également des solutions pour que le transfert des données sensibles via les interfaces se fasse sans risque pour les consommateurs. La sécurité des données est garantie de deux manières différentes :
- QWAC : ce certificat permet au fournisseur et à la banque de s’identifier mutuellement. De plus, le QWAC chiffre la transmission des données.
- QSealC (certificat cachet) : le cachet est relié aux données et les assigne à une entreprise. Il permet de suivre par la suite quelles sociétés ont eu accès au compte bancaire via l’interface et ont transféré des données. De plus, le cachet garantit que les modifications de données ne passent pas inaperçues.
Pour demander ces licences ou ces cachets, les fournisseurs doivent obtenir l’approbation d’une autorité de surveillance nationale ; en France, il s’agit de l’Autorité de contrôle prudentiel et de résolution (ACPR). La DSP2 permet de créer deux nouveaux services :
- Service d’information sur les comptes : les prestataires de services peuvent obtenir des informations sur les comptes bancaires du client.
- Service d’initiation de paiement : l’entreprise titulaire de cette licence peut effectuer des paiements ou des transferts à la demande du client depuis le compte d’un autre PSP (Payment Service Provider ou prestataire de service de paiement).
Que signifie la directive sur les services de paiement pour les boutiques en ligne ?
La directive sur les services de paiement concerne en grande partie les banques et les autres prestataires de services financiers. Le grand public n’a que peu remarqué les changements en arrière-plan. Pour les commerçants en ligne, quelques ajustements techniques ont été nécessaires, notamment en matière de sécurité et d’authentification.
La DSP2 du point de vue de l’utilisateur
La DSP version 2 a apporté plus de sécurité dans les paiements. L’octroi de licences pour les solutions techniques ainsi que le contrôle par les autorités de surveillance garantissent depuis l’entrée en vigueur une protection plus fiable des données sensibles. En particulier, l’authentification à deux facteurs obligatoire, par exemple via un SMS avec un TAN, est un facteur important à cet égard.
Avec l’introduction de l’authentification à deux facteurs, les listes iTAN, désormais obsolètes, sont peu à peu remplacées pour les opérations bancaires en ligne. Dans ce domaine également, les banques misent de plus en plus sur les SMS, les apps ou les appareils TAN spéciaux.
Commerçants en ligne & DSP II : à quoi faut-il faire attention ?
De nombreux aspects de la Payment Service Directive 2 sont liés à la mise en œuvre technique, comme l’obligation d’une authentification à deux facteurs et les mécanismes associés.
Cette exigence correspond à l’authentification forte du client exigée par la DSP2. Les clients doivent autoriser le transfert d’argent par au moins deux facteurs : soit avec des informations qui relèvent de la connaissance personnelle (par ex. mot de passe ou PIN), soit d’un objet que l’on possède (par ex., carte ou smartphone), ou soit par quelque chose d’inhérent à la personne (par ex. la voix ou une empreinte digitale). Cela s’applique à toutes les sommes supérieures à 30 €. Si plusieurs achats au cours d’une même journée dépassent une valeur totale de 100 €, l’authentification à deux facteurs (2FA) est de nouveau nécessaire, même si chacun des articles pris individuellement tombe en dessous du seuil de 30 €.
Pour pouvoir effectuer des paiements, les exploitants d’une boutique en ligne collaborent généralement avec un partenaire. Celui-ci doit mettre en œuvre les exigences de la DSP2 dans son système. Les instituts de cartes de crédit proposent par exemple des mesures importantes avec des procédures de sécurité telles que 3D Secure. Les vendeurs en E-commerce doivent simplement veiller à ce que leur boutique intègre correctement de telles procédures de sécurité.
Les exigences de l’authentification forte du client ne s’appliquent pas aux prélèvements automatiques, également appelés pull payments, où le commerçant initie le paiement en demandant les fonds à la banque du client. Elles concernent uniquement les paiements initiés par le client (push payments), comme les virements bancaires ou les paiements par carte. Dans ces cas, l’utilisation d’une procédure de sécurité renforcée est obligatoire.
En France, l’authentification à deux facteurs doit être mise en œuvre dans les boutiques en ligne depuis le 15 mai 2021.
La DSP2 n’autorise plus la surtaxe. Avant l’application de la directive, il était courant que les commerçants exigent une majoration du prix d’achat pour les paiements par carte de crédit, afin de ne pas avoir à supporter les frais supplémentaires qui en résultaient.
Évolution de la directive de services de paiement : de la DSP I à la DSP II
Avec la première version de la directive sur les services de paiement, la Commission européenne a franchi une étape décisive dans la réglementation des paiements internationaux. La DSP a posé les bases juridiques permettant aux prestataires non bancaires d’opérer dans ce secteur, tout en harmonisant les transactions à l’échelle européenne grâce à la mise en place de l’espace SEPA (Single Euro Payments Area), qui vise à faciliter les paiements en euros au sein de l’UE. Cette directive a ainsi mis fin au monopole des établissements de crédit sur les services de paiement.
Cependant, toutes les entreprises ne peuvent pas agir en tant qu’établissement de paiement. La directive sur les services de paiement a fixé des critères stricts qu’un tel prestataire doit respecter. Toutefois, en dépit de nombreuses règles claires, des incertitudes subsistent et une certaine marge de manœuvre reste ouverte : certains de ces problèmes sont d’ailleurs apparus à partir de la mise en vigueur de la directive.
Avec la directive DSP2, l’UE tente de combler ces lacunes et d’améliorer encore la sécurité des consommateurs. Cela peut se faire, par exemple, par la délivrance de certificats ou de cachets, qui ne peuvent être obtenus qu’auprès d’organismes agréés. Les PSP doivent obtenir une autorisation d’une autorité bancaire nationale.
Veuillez consulter les mentions légales en vigueur sur cet article.