Back
La Commission européenne met à jour ses réglementations pour le secteur des services de paiement et, avec sa troisième directive sur les services de paiement (DSP3) attendue au cours du premier semestre 2025, les commerçants, les banques, les fintechs, les réseaux de cartes et les processeurs de paiement se préparent à la fois au travail supplémentaire et aux opportunités qu'elle apportera.
Qu'est-ce que la DSP3 ?
La DSP3 est une troisième directive sur les services de paiement de la Commission européenne qui devrait être publiée au cours du premier semestre 2025. Il s'agit d'un ensemble de réglementations pour le secteur des paiements conçu pour améliorer et développer les objectifs des directives précédentes, la DSP1 publiée en 2007 et la DSP2 publiée en 2015.
L'objectif principal des directives de la Commission européenne sur les services de paiement est de développer et de maintenir un marché unique des services de paiement pour l'UE qui offre le même niveau de protection des consommateurs, d'efficacité et d'innovation dans tous ses États membres.
Ces réglementations visent à rendre les paiements transfrontaliers aussi rationnels et sûrs que les paiements nationaux en normalisant les lois relatives aux paiements électroniques et en favorisant un environnement propice à la concurrence et à l'innovation. Alors que la DSP1 visait à créer ce marché unique, la DSP2 et la future DSP3 cherchent à le renforcer en offrant aux consommateurs, aux commerçants et aux prestataires de services de paiement des protections qui répondent aux exigences du paysage moderne des services financiers.
- La DSP3 est un ensemble de règles pour le secteur des services de paiement publié par la Commission européenne qui s'appuie sur ses directives précédentes, la DSP2 (publiée en 2015) et la DSP1 (publiée en 2007).
- Les directives sur les services de paiement de la Commission européenne ont pour objectif de protéger les consommateurs et de favoriser un marché des paiements plus sûr, plus intégré, plus compétitif et plus efficace au sein de l'UE.
- La DSP3 développe le cadre de la DSP2, en particulier dans les domaines de la prévention de la fraude, de la banque ouverte, de l'accès aux données, des droits des consommateurs, de la disponibilité des liquidités et de la concurrence loyale.
Qu'est-ce que le règlement sur les services de paiement (RSP) ?
Le nouveau règlement comporte deux sections. La DSP3 est encore une ligne directrice qui traite principalement des opérations des prestataires de services de paiement et de l'octroi de licences. La majorité des obligations des banques sont désormais couvertes par la PSR, une règle qui prendra le relais de la DSP2 et qui est automatiquement promulguée dans chaque État membre de l'UE.
Principaux éléments de la DSP3
Exigences renforcées pour le SCA
Lors de l'évaluation de l'impact de la DSP2, la Commission européenne a constaté que les réglementations relatives à la prévention de la fraude, en particulier les exigences relatives à l'authentification forte du client (SCA) sont l'une des composantes les plus réussies de la directive. Les exigences du SCA ajoutent une couche supplémentaire de sécurité au processus de paiement en exigeant des consommateurs qu'ils fournissent au moins deux informations d'identification pendant le processus de paiement. Ces informations doivent appartenir à deux des catégories suivantes :
- Quelque chose que le client SAIT (par exemple, un code PIN ou un mot de passe)
- Quelque chose que le client possède (par exemple, un lecteur de carte ou un téléphone portable)
- Quelque chose que le client EST (par exemple, reconnaissance du visage ou des empreintes digitales)
Parmi les principaux moyens par lesquels la PSD3 élargira ses exigences en matière de SCA par rapport à la PSD2, on peut citer les suivants :
- Préciser quand certaines transactions peuvent être exemptées du SCA
- Exiger le SCA pour l'inscription à un portefeuille mobile
- Exiger des prestataires de services de paiement qu'ils proposent des méthodes SCA qui ne reposent pas uniquement sur une seule technologie, afin de garantir l'accessibilité à tous les utilisateurs (par exemple, les personnes âgées, les personnes à faible revenu, etc.)
Prévention de la fraude par usurpation d'identité
La Commission européenne a mis en évidence la fraude par usurpation d'identité, également connue sous le nom de "spoofing", comme un domaine dans lequel la DSP2 n'est pas suffisamment équipée. Ce type de fraude est plus difficile à prévenir, car le client, ayant été manipulé par le fraudeur, donne en fait son consentement pour autoriser un paiement. Étant donné que les fraudes par usurpation d'identité et par ingénierie sociale tirent parti d'une erreur humaine raisonnable, il est difficile pour les systèmes automatisés de prévention des fraudes de les détecter et de les empêcher.
Avec la DSP3, la Commission européenne prévoit de renforcer les exigences en matière de détection et de prévention de l'usurpation d'identité de la manière suivante :
- Utiliser le contrôle IBAN/nom pour tous les virements, en demandant à la banque de vérifier que le nom du compte correspond à l'IBAN lié à ce nom.
- Renforcer les mesures de surveillance des transactions afin de mettre en évidence les activités de paiement inhabituelles et potentiellement frauduleuses
- Mise en place d'un cadre juridique permettant aux prestataires de services de paiement de partager des informations sur la fraude, telles que les données relatives aux escroqueries en cours.
- Exiger des prestataires de services de paiement qu'ils forment de manière approfondie leur personnel et leurs clients à la prévention de la fraude sur les paiements.
Concurrence loyale pour les prestataires de services de paiement non bancaires
Les prestataires de services de paiement non bancaires, tels que les établissements de paiement (EP) et les établissements de monnaie électronique (EME), sont devenus plus populaires à l'ère de la DSP2, mais l'absence de législation en matière de concurrence équitable a empêché nombre d'entre eux d'accéder aux services bancaires essentiels et aux infrastructures de paiement dont ils ont besoin pour fonctionner. Par exemple, les banques commerciales refusent souvent de laisser les IP et les IME ouvrir des comptes bancaires, ou bien elles ferment leurs comptes sans préavis, en invoquant de vagues préoccupations concernant les règles de lutte contre le blanchiment d'argent. L'environnement actuel met les prestataires de services de paiement non bancaires à la merci des banques commerciales, alors qu'ils sont leurs concurrents directs.
Pour résoudre ces problèmes, la DSP3 exigera des banques qu'elles fournissent des justifications beaucoup plus solides pour refuser des services aux prestataires de services de paiement. Si une banque refuse à un prestataire de services de paiement des services bancaires essentiels ou décide de fermer son compte, le prestataire de services de paiement pourra faire appel de la décision auprès de son autorité nationale. Ces mises à jour contribueront à uniformiser les règles du jeu pour les prestataires de services de paiement non bancaires en leur permettant de concurrencer plus équitablement les banques traditionnelles.
Amélioration de l'open banking
La DSP3 s'appuiera sur le cadre de la DSP2 pour l'"open banking", qui permet à des fournisseurs tiers d'accéder aux données des comptes bancaires et de paiement d'un client consentant afin de lui fournir des services utiles, tels que des résumés de dépenses, des outils de budgétisation et des produits financiers ciblés.
L'objectif de la DSP3 en ce qui concerne l'open banking est d'améliorer la fonctionnalité du partage des données entre les banques et les tiers sans perturber l'infrastructure existante ni augmenter les coûts. Outre l'établissement de règles plus strictes pour les interfaces d'accès aux données, la DSP3 devrait apporter les changements spécifiques suivants à ses exigences en matière d'open banking :
- Suppression de la nécessité pour les banques de maintenir deux interfaces d'accès aux données (il ne sera plus nécessaire de disposer d'une interface de repli).
- Exiger des banques et des fournisseurs de comptes de paiement qu'ils disposent d'un tableau de bord permettant aux consommateurs de voir quelles entreprises ont accès à leurs données et leur permettant de révoquer facilement l'accès si nécessaire.
Des droits plus étendus pour les consommateurs
La protection des consommateurs et l'uniformisation des protections des consommateurs dans toute l'Europe sont depuis longtemps un objectif de la Commission européenne. La DSP3 s'appuiera sur les directives précédentes pour renforcer les droits des consommateurs de l'UE de plusieurs manières, notamment
1. Amélioration de la communication et de la clarté concernant les frais de conversion de devises
La DSP3 exigera des prestataires de services de paiement qu'ils informent leurs clients des frais de conversion estimés pour les virements et les transferts d'argent vers des pays situés en dehors de l'UE, ainsi que du délai estimé pour la réception des fonds par le bénéficiaire. L'objectif de cette initiative est de donner aux clients davantage d'outils pour comparer les taux de conversion des devises et les frais de transfert internationaux, afin qu'ils puissent prendre des décisions éclairées lorsqu'ils choisissent un prestataire de services de paiement.
2. Des informations plus claires sur le bénéficiaire dans les relevés de compte de paiement
La DSP2 ne précise pas si le nom légal ou le nom commercial d'un bénéficiaire doit figurer sur les relevés de compte du client. Par conséquent, il arrive souvent que les consommateurs ne reconnaissent pas le nom d'un bénéficiaire légitime et soupçonnent à tort une fraude, ce qui entraîne des tracas et des confusions inutiles. La DSP3 remédie à cette situation en obligeant les prestataires de services de paiement à identifier clairement les bénéficiaires, y compris en mentionnant leur nom commercial, le cas échéant.
3. Plus de transparence sur les frais liés aux distributeurs automatiques de billets
En vertu de la DSP3, les prestataires de services de paiement doivent communiquer aux utilisateurs des informations sur les frais facturés par tous les exploitants de distributeurs automatiques de billets dans leur État membre. Cela permettra aux consommateurs de comprendre d'emblée les coûts qu'ils devront supporter avant de choisir un distributeur de billets pour retirer des fonds.
4. Protection accrue des fonds temporairement détenus ou "bloqués
Certains types de commerçants, tels que les stations-service, les hôtels et les sociétés de location de voitures, retiennent temporairement des fonds pour couvrir des coûts prévus ou des dommages potentiels. Bien qu'il s'agisse d'une pratique courante dans ces secteurs, la Commission européenne a souligné que le montant des fonds retenus est souvent disproportionné par rapport au montant réel de la transaction finale, et que la procédure de restitution des fonds retenus au client peut être longue et inutilement compliquée. La DSP3 mettra en place des règles visant à garantir un remboursement plus rapide des fonds "bloqués" non utilisés et à faire en sorte que les fonds retenus soient plus proportionnels au montant de la transaction finale.
Davantage d'argent liquide disponible
Avec la DSP3, la Commission européenne espère donner aux consommateurs davantage de possibilités de retirer de l'argent en facilitant la fourniture de services de retrait d'espèces par les commerçants et les opérateurs de distributeurs automatiques de billets. La DSP3 permettra d'accroître la disponibilité des espèces pour les consommateurs de deux manières principales :
1. Le "cashback" sans achat dans les magasins traditionnels
Sur le marché actuel, les détaillants, tels que les supermarchés, sont en mesure d'offrir à leurs clients un service de "cashback" dans le cadre d'un achat de biens ou de services. La DSP3 mettra à jour la réglementation actuelle afin que les détaillants puissent offrir aux clients ce service de retrait d'argent en dehors d'une transaction d'achat traditionnelle. En d'autres termes, les clients n'auront pas besoin d'acheter quoi que ce soit dans le magasin, mais pourront simplement demander de l'argent directement au caissier en utilisant leur carte de paiement ou leur portefeuille mobile. Certaines restrictions seront maintenues, comme une limite de retrait de 50 euros, afin de concurrencer équitablement les distributeurs automatiques de billets et de ne pas vider les caisses des commerçants sur place.
2. Davantage de guichets automatiques
Dans le cadre de la DSP2, certains opérateurs de guichets automatiques (ceux qui ne gèrent pas de comptes de paiement) sont autorisés à opérer sans licence. Toutefois, le secteur n'en est pas vraiment conscient. La DSP3 rendra ces exemptions plus claires afin d'encourager un plus grand nombre de guichets automatiques dans l'UE, en particulier dans les régions où il n'y a que peu ou pas de guichets automatiques disponibles.
Quel est le calendrier prévu ?
Dans cette interview publiée sur le site de la Commission européenne, Eric Ducoulombier, chef d'unité à la Commission européenne, a indiqué que la publication de la DSP3 est prévue pour le premier semestre 2025 :
"En ce qui concerne le calendrier, je n'ai pas de boule de cristal et, comme l'a dit Mark Twain, "il est difficile de faire des prédictions, surtout en ce qui concerne l'avenir". Je pense qu'il n'est pas déraisonnable de prévoir une éventuelle adoption finale des textes au cours du premier semestre 2025."
DSP2 et DSP3
Les banques, les prestataires de services de paiement et toutes les organisations concernées par les directives de la Commission européenne sur les services de paiement peuvent considérer la DSP3 comme une extension de la DSP2, plutôt que comme une perturbation importante de l'infrastructure existante des services de paiement en Europe.
Dans de nombreux cas, les nouvelles réglementations attendues dans le cadre de la DSP3 sont des améliorations des exigences existantes et n'exigent pas de reconstruire en profondeur les infrastructures de paiement ou d'intégrer de manière coûteuse de nouvelles technologies. La DSP3 cherche plutôt à s'appuyer sur le succès des réglementations de la DSP2 et à offrir des solutions simples pour couvrir les domaines négligés ou mal desservis par la DSP2.
Les principales différences entre la DSP2 et la DSP3 sont les suivantes :
- Renforcement des exigences du SCA
- Renforcement de la protection contre la fraude, notamment en ce qui concerne le "spoofing".
- Amélioration du partage des données pour faciliter la mise en place de cadres bancaires ouverts plus efficaces et plus utiles
- Plus de droits pour les consommateurs en matière de transparence et de communication, de frais de paiement, de relevés et de fonds détenus
La DSP3 est conçue pour améliorer le secteur des services de paiement pour toutes les parties concernées - commerçants, banques, prestataires de services de paiement, fintechs, réseaux de cartes et, surtout, consommateurs. Elle devrait ouvrir une nouvelle ère de transparence, de sécurité et de protection des consommateurs, qui confortera l'UE dans sa position de leader mondial en matière de réglementation et d'innovation dans le domaine des services financiers.
En savoir plus sur nos solutions de paiement de bout en bout
FAQs
Combien de temps les entreprises ont-elles pour mettre en œuvre les exigences de la DSP3 ?
La version finale de la DSP3 devrait être publiée au cours du premier semestre 2025. Si une période de transition de 18 mois est accordée, comme ce fut le cas pour les directives précédentes, la DSP3 entrera en vigueur en 2027.
Quelle est la différence entre PSD3 et PCI DSS ?
La DSP3 est un cadre juridique établi par la Commission européenne pour réglementer le secteur des services de paiement et harmoniser les services de paiement pour un marché unique au sein de l'UE. Les règles et exigences établies par ces directives font partie du droit européen et leur non-respect a des conséquences juridiques.
PCI DSS (Payment Card Industry Data Security Standard) est un ensemble de normes mondiales publiées par le Conseil des normes de sécurité PCI qui se concentre principalement sur la sécurité des paiements par carte. Elle est appliquée par les réseaux de cartes et, bien qu'elle soit liée à certaines lois dans le monde, la norme PCI DSS n'est pas une loi en soi.
En résumé, la PSD3 a un champ d'application plus large que la PCI DSS, elle ne s'applique qu'aux États membres de l'Union européenne et elle contient des lois explicites. PCI DSS ne traite que de la sécurité des paiements par carte, il ne s'agit pas d'une loi mais d'une norme industrielle, et elle s'applique à l'échelle mondiale.
Pourquoi la DSP3 est-elle nécessaire ?
La DSP3 est nécessaire car, à mesure que les habitudes des consommateurs changent et que les technologies de paiement progressent, la législation doit s'adapter pour répondre aux exigences des consommateurs et des commerçants dans toute l'UE. La DSP3 révisera et renforcera les exigences de la DSP2 afin de protéger les consommateurs contre les nouveaux types de fraude et de corriger les faiblesses en matière de sécurité. Elle renforcera les cadres de partage des données et contribuera à garantir que les institutions de services financiers traditionnelles et non traditionnelles puissent se livrer à une concurrence loyale.
Quelles sont les sanctions en cas de non-respect de la DSP3 ?
Comme ses prédécesseurs DSP2 et DSP1, la DSP3 a force de loi. Le non-respect de la DSP3 entraînera des amendes et la perte potentielle de l'autorisation d'exercer pour l'institution fautive. La nature de la sanction variera en fonction du type de manquement et de sa gravité. Les directives sur les services de paiement de la Commission européenne sont supervisées et appliquées par l'"autorité compétente" de l'État membre où l'infraction a été commise.
