DSP2 : que change la directive sur les services de paiement ?

Les associations de protection des consommateurs et de nombreux responsables politiques agissant au niveau de l’UE tentent de rendre le paiement sur Internet plus sûrs pour les acheteurs. Outre les banques, un certain nombre de prestataires de services de paiement (PSP) jouent désormais un rôle majeur dans le domaine du commerce électronique. En effet, des fournisseurs tels que PayPal proposent aux boutiques en ligne et aux utilisateurs des solutions simples pour faciliter les processus de paiement. Il est important qu’un processus pratique ne se fasse toutefois pas au détriment de la sécurité.

La Commission européenne a établi des directives plus contraignantes afin d’apporter plus de sécurité pour les consommateurs. Alors à quoi les institutions financières et les commerçants en ligne doivent-ils désormais se préparer ?

La première version de la directive a été adoptée par l’UE en 2007. La directive sur les services de paiement (DSP) devait - et doit encore aujourd’hui - réglementer les opérations de paiement à l’échelle européenne des entreprises qui ne sont pas considérées comme des banques traditionnelles. L’objectif est de permettre à des entreprises autres que les banques d’offrir aussi des services de paiement via Internet et donc de stimuler par la même occasion la concurrence dans le secteur financier et la réguler.

La directive sur les services de paiement version 2 a néanmoins d’autres objectifs :

• Ouvrir la concurrence dans les services de paiement
   
• Réduire les coûts pour les consommateurs
   
• Contrôler et renforcer les startups en technologies financières (les Fintech)
   
• Créer plus de sécurité pour les paiements sur Internet

Avec la première version de la directive sur les services de paiement, la Commission européenne a fait un pas important vers la réglementation des paiements internationaux. La DSP crée la base juridique pour les prestataires de services du domaine en harmonisant les opérations de paiement à l’échelle européenne (le SEPA). À l’époque, comme aujourd’hui, il s’agissait explicitement de prestataires qui ne provenaient pas du secteur bancaire. Le monopole des établissements de crédit sur les opérations de paiement a donc été rompu par la directive sur les services de paiement.

Cependant, toutes les entreprises ne peuvent pas agir en tant qu’établissement de paiement. La directive sur les services de paiement a fixé des critères stricts qu’un tel prestataire doit respecter. Toutefois, en dépit de nombreuses règles claires, des incertitudes subsistent et une certaine marge de manœuvre reste ouverte - certains de ces problèmes ne sont d’ailleurs apparus que suite à la directive.

Avec la directive DSP2, l’UE tente à présent de combler ces lacunes et d’améliorer encore la sécurité des consommateurs. Cela peut se faire, par exemple, par la délivrance de certificats ou de cachets, qui ne peuvent être obtenus qu’auprès d’organismes agréés. Les PSP (Payment Service Provider ou prestataire de service de paiement) doivent obtenir une autorisation d’une autorité bancaire nationale.

La version 2 de la directive sur les services de paiement a été adoptée dès 2017 et transposée en droit français le 25 juillet 2018. La DSP2 ne sera toutefois contraignante qu’à partir du 14 septembre. L’une des innovations les plus importantes - que certains considèrent comme une révolution - est le fait que les banques doivent désormais permettre à d’autres fournisseurs d’accéder aux informations de leurs clients. Mais bien sûr seulement si l’utilisateur concerné a donné son accord.

Les banques devront bientôt fournir une interface aux fournisseurs autorisés pour leur permettre d’initier directement des virements et de récupérer des informations sur les soldes des comptes des utilisateurs et autres détails financiers. Mais pourquoi est-ce si important ? Et pour quelle raison les entreprises devraient-elles avoir ce droit ?

Par le passé, de nombreux consommateurs ont déjà utilisé ces types de services, sans qu’il y ait pour autant de règles générales et contraignantes. Dans le secteur de la Fintech en particulier, certaines entreprises proposent des logiciels intéressants avec lesquels les utilisateurs peuvent gérer leurs actifs. Les applications d’épargne, d’assurance ou de spéculation boursière ont besoin d’informations auprès des banques. Avec la DSP2, les banques sont tenues d’offrir une interface aux entreprises disposant des certificats adéquats ; par cette interface, les prestataires de services peuvent alors récupérer les informations requises et effectuer des paiements ou des virements.

Bien que les fournisseurs de services aient déjà eu accès aux informations à partir du compte bancaire, ils n’avaient auparavant pas un accès uniforme. Avec la DSP2, des API doivent être développées afin de pouvoir communiquer sur des interfaces sécurisées. À l’échelle internationale, si les entreprises ne disposent pas d’API, elles doivent dépendre d’une technologie appelée Screen Scraping. Dans ce processus, le prestataire de services extrait toutes les informations du site Web du fournisseur de services bancaires en ligne. Cela n’est pas particulièrement efficace et est également sujet aux erreurs. Depuis la DSP2, les banques ont été obligées de mettre en place un Access to Accounts (XS2A) donnant des accès aux fournisseurs de services aux comptes à partir du moment où le client a donné son consentement.

La DSP2 propose également des solutions pour garantir que le transfert de données sensibles via les interfaces s’effectuera à l’avenir sans aucun risque pour le consommateur. La sécurité des données doit être garantie par deux moyens différents :

• QWAC : ce certificat permet au fournisseur et à la banque de s’identifier mutuellement. De plus, le QWAC chiffre la transmission des données.
   
• QSealC (certificat cachet) : le cachet est relié aux données et les assigne à une entreprise. Il permet de suivre par la suite quelles sociétés ont eu accès au compte bancaire via l’interface et ont transféré des données. De plus, le cachet garantit que les modifications de données ne passent pas inaperçues.

Pour demander ces licences ou ces cachets, les fournisseurs doivent obtenir l’approbation d’une autorité de surveillance nationale. La DSP2 permet de créer deux nouveaux services :

• Service d’information sur les comptes : les prestataires de services peuvent obtenir des informations sur les comptes bancaires du client.
   
• Service d’initiation de paiement : l’entreprise titulaire de cette licence peut effectuer des paiements ou des transferts à la demande du client depuis le compte d’un autre PSP.

Les autorités de surveillance nationales doivent désormais examiner de très près les prestataires tiers avant de leur permettre de recevoir des informations sur les utilisateurs. L’organisme de réglementation examine l’ensemble de la structure de l’entreprise, les contrôles internes en place, la façon dont les crises sont traitées et la manière dont l’entreprise est protégée. C’est un obstacle particulier pour les petites entreprises qui se lancent, mais la priorité est donnée à la protection des consommateurs.

La nouvelle directive sur les services de paiement concerne principalement les banques et autres prestataires de services du secteur financier. Les utilisateurs eux ne perçoivent que très peu de changements. Et pour les commerçants en ligne aussi, peu de choses ont changé.

La version 2 de la DSP promet à l’acheteur plus de sécurité lors de son paiement sur Internet. L’octroi de licences pour les solutions techniques ainsi que le contrôle effectué par des autorités précises garantissent une plus grande fiabilité de la protection des données sensibles. Cependant, les utilisateurs doivent procéder à une authentification à deux facteurs. Cela fonctionne, par exemple, via un SMS avec un TAN. Le client doit entrer un code reçu au cours du processus de paiement afin de finaliser le processus. L’identification par empreinte digitale est en théorie également possible.

Le client peut également s’attendre à bénéficier d’un avantage financier, car les commerçants en ligne ne sont plus autorisés à facturer des frais supplémentaires pour certaines options de paiement (comme les cartes de crédit).

On peut supposer qu’à l’avenir, la DSP2 impliquera beaucoup plus d’entreprises dans le secteur financier. On se demande déjà si de grandes entreprises comme Amazon ou eBay feront leur entrée dans le secteur. Ces places de marché en ligne pourraient alors débiter les coûts directement des comptes au lieu de passer par prélèvement automatique.

De nombreux aspects de la directive sur les services de paiement 2 ont trait à la mise en œuvre technique et de nombreux commerçants en ligne se demandent donc ce qu’ils doivent changer dans leur système. En effet, les paiements effectués via une boutique en ligne doivent désormais être sécurisés par une authentification à deux facteurs.

Cette contrainte résulte de l’Authentification Forte du Client requise avec la DSP2. Les clients doivent autoriser le transfert d’argent par au moins deux facteurs : soit avec des informations qui relèvent de la connaissance personnelle (par ex. mot de passe ou PIN), soit d’un objet que l’on possède (par ex., carte ou Smartphone) ou soit encore par quelque chose d’inhérent à la personne (par ex. la voix ou une empreinte digitale). Ceci s’applique à toutes les sommes supérieures à 30 euros. Si plusieurs achats au cours d’une même journée dépassent une valeur totale de 100 euros, l’authentification à deux facteurs (2FA) est de nouveau nécessaire, même si chacun des articles pris individuellement tombe en dessous du seuil de 30 euros.

Pour l’exécution des paiements, les administrateurs de boutiques en ligne travaillent généralement avec un partenaire. Le partenaire doit mettre en œuvre les exigences de la DSP2 dans son système. Par exemple, les établissements de carte de crédit ont développé une nouvelle version de 3D Secure. Les vendeurs en e-Commerce n’ont plus qu’à s’assurer que leur boutique applique également correctement la procédure de sécurité.

Les exigences de l’authentification forte du client ne s’appliquent pas explicitement au prélèvement automatique. Il s’agit de ce qu’on appelle le « pull payment » : le vendeur demande l’argent à la banque. Toutefois, la procédure sécurisée n’est prévue que pour les « push payments », c’est-à-dire lorsque le client initie un paiement directement.

Autre innovation importante pour les commerçants en ligne : la surtaxe n’est plus autorisée. Avant, il était courant pour les commerçants de facturer un supplément sur le prix d’achat, par exemple, pour les paiements par carte de crédit. Les commerçants encouraient en effet des frais supplémentaires en conséquence. Les vendeurs ne sont également plus autorisés à facturer des frais supplémentaires pour les paiements via PayPal. Le prestataire de paiement y a mis un terme dans ses conditions générales de vente.

Veuillez prendre connaissance des mentions légales en vigueur sur cet article.