La réforme de la DSP2 sous le signe de l’harmonisation et de l’uniformisation
| Banque – Finance |
Christophe Jacomin et Marianne Maurin, FINYEAR– 27 février 2024
La Directive sur les services de paiement 2015/2366 concernant les services de paiement dans le marché intérieur (DSP2) a transformé en profondeur le monde des paiements, remplaçant la Directive 2007/64 (DSP1) devenue obsolète. La DSP2 a connu quelques succès mais la pratique a fait émerger des besoins de clarification et d’uniformisation. C’est l’objectif de la réforme !
Ainsi, le 28 juin 2023 ont été publiés deux textes : une proposition de directive (2022/0209) sur les services de paiement et d’argent électronique (DSP3) et une proposition de règlement (2023/0210) sur les services de paiement dans l’Union européenne (RSP1). L’utilisation d’un règlement est significative de la volonté de la Commission européenne d’uniformiser la réglementation sur les paiements.
Non transposable, le règlement est en effet d’application directe et évite les différences d’application entre les Etats membres.
La DSP2 en quelques mots
La DSP2 a notamment exigé l’authentification forte du client pour toute transaction en ligne, créé deux nouveaux acteurs : agrégateurs et initiateurs et mis en place de l’Open banking, soit une interface des banques disponible gratuitement aux nouveaux acteurs pour leur permettre d’accéder aux comptes de paiement, afin qu’ils puissent offrir leurs services aux clients.
La DSP2 a atteint ses objectifs à des degrés divers. Elle a notamment eu une incidence positive sur la prévention de la fraude, grâce à l’introduction de l’authentification forte du client, bien qu’elle soit plus difficile à mettre en œuvre que prévu, mais elle n’est pas parvenue à parvenir à des conditions de concurrence équitables et à atteindre réellement l’Open banking.
La réforme a notamment pour objectifs le renforcement de la protection des utilisateurs et la confiance dans les paiements et l’amélioration de la compétitivité des services d’Open banking.
La réforme de la DSP2 : DSP3 et RSP1
La DSP3
La proposition concerne l’accès à l’activité de prestation de services de paiement (PSP) et de services de monnaie électronique par les établissements de paiement (à l’exclusion des établissements de crédit). Elle intègre les anciens établissements de monnaie électronique en tant que sous-catégorie d’établissements de paiement (et abroge par conséquent la deuxième directive 2009/110 sur la monnaie électronique).
Les procédures de demande d’agrément demeurent principalement inchangées mais une nouvelle exigence est introduite : l’obligation de fournir un plan de liquidation en même temps que la demande. Les exigences en matière de capital initial sont mises à jour pour tenir compte de l’inflation depuis la DSP2, le montant varie de 25 000 EUR à 400 000 EUR selon les services proposés.
En outre, elle exempte les exploitants de commerces de détails de l’obligation d’obtenir un agrément lorsqu’ils proposent dans leurs locaux des services de retrait d’espèces sans achat, dans la limite de 50 EUR, afin d’éviter une concurrence déloyale avec les distributeurs automatiques de billets (DAB).
Le RSP1
La proposition de RSP1 n’est pas un texte révolutionnaire mais clarifie un certain nombre de zones d’ombre et crée des obligations qui pourraient s’avérer complexes à mettre en œuvre.
Le champ d’application reste équivalent à la DSP2. La liste des services de paiement et des exclusions n’est pas modifiée mais y inclut désormais les services de monnaie électronique.
Les termes de la DSP2 sont clarifiés. La liste de définitions est élargie et contient davantage de termes et des précisions sur certains termes. Par exemple, la définition de compte de paiement est élargie aux comptes permettant d’envoyer et de recevoir des fonds à destination et en provenance de tiers, et ce, conformément à la jurisprudence de 2018 de la Cour de Justice de l’Union européenne (n° C-191/17).
L’information des utilisateurs est renforcée afin d‘améliorer la confiance dans les services de paiement et la compétitivité. Par exemple, l’information communiquée sur les relevés de compte de paiement doit permettre l’identification certaine du bénéficiaire, ce qui potentiellement inclut la dénomination commerciale.
La lutte contre la fraude est un des grands objectifs du RSP1, dans la continuité de la DSP2. A cette fin, de nouvelles obligations sont créées pour les PSP mais également de nouveaux droits.
Les PSP doivent alerter leurs clients sur toutes nouvelles formes de fraude en matière de paiement et former leurs salariés sur ces sujets. Ils doivent également vérifier la concordance entre l’identifiant unique du bénéficiaire (IBAN) et le nom du bénéficiaire fourni par le payeur par le PSP du bénéficiaire (obligation équivalente pour les paiements instantanés). Très utile pour la lutte contre la fraude, cette obligation risque de s’avérer difficile à mettre en place et la question se pose de la prise en compte des spécificités locales, ainsi, comment les noms multiples vont-ils être abordés ?
La protection des consommateurs est renforcée. Les PSP devront désormais rembourser une opération de paiement autorisée à la suite d’une usurpation d’identité et améliorer leurs mécanismes de contrôle des opérations. De plus, les prestataires de services techniques et opérateurs de schémas de paiement pourront voir leur responsabilité engagée. En effet, il est difficile de mettre en place une sécurité efficace si un changement de carte SIM se fait sans aucune vérification.
La lutte contre la fraude exigée par la DSP2 s’est parfois trouvée limitée par le règlement général de protection des données (2016/679). Le RSP autorise désormais le traitement de données de catégorie particulière, et notamment la biométrie et permet aux PSP d’échanger, sur une base volontaire, des données à caractère personnel telles que les IBAN, les techniques de manipulations et d’autres circonstances associées aux virements frauduleux recensées par chaque PSP.
Une adoption prévue pour 2024
La publication du corpus DSP3 et RSP1 lance les négociations législatives de l’UE. Ces textes sont en attente de la décision de la Commission parlementaire – la séance plénière est à date prévue au 11 mars 2024. Leur version définitive sera donc, nous l’espérons, adoptée en 2024.
Ils rentreront ensuite en vigueur 20 jours à compter de leur publication au journal officiel de l’Union européenne, avec un délai supplémentaire de 24 mois concernant les dispositions imposant aux PSP de vérifier les divergences entre le nom et l’identifiant unique d’un bénéficiaire en cas de virement et le régime de responsabilité correspondant.