La DSP2 et ses impacts majeurs

Directive sur les services de paiement 2L’union européenne a adopté deux directives sur les services de paiement: la DSP 1 adoptée le 13 novembre 2007 et la DSP 2 adoptée le 25 novembre 2015. La DSP1 avait pour objectifs majeurs, l’harmonisation du cadre juridique des services de paiement et la création de l’espace SEPA. La DSP2, quant à elle, vise à favoriser l’ouverture du marché des paiements, essentiellement occupé par les banques, aux nouveaux prestataires de service de paiements (PSP) tout en renforçant la sécurité des usagers. Les impacts sur les banques sont si importants que beaucoup associent la DSP2 à l’open banking. Mais comme nous le verrons dans cet article et les prochains, la DSP2 entraine d’autres changements majeurs pour d’autres acteurs.

La DSP2 interdit la surfacturation

Dans toute l’union européenne, les commerçants n’ont plus le droit de surfacturer en cas de paiement par carte. La surfacturation (surcharging en anglais), consiste à répercuter tout ou partie du coût d’acceptation de la carte sur le prix pratiqué. Il est illégal par exemple de vendre un article à 97 EUR en magasin et 99 EUR en ligne. Cette pratique interdite en France depuis de nombreuses années, était autorisée ou pas clairement encadrée dans certains pays de l’union européenne.

La DSP2 abaisse la franchise des victimes de paiements frauduleux

Les directives sur les services de paiement renforcent la protection des droits des consommateurs victimes de paiements frauduleux. La DSP1 avait fixé le montant de la franchise restant à la charge du client à 150 €. Avec la DSP2, cette franchise a été abaissée à 50 €. En outre, les banques doivent rembourser plus vite les fonds débités frauduleusement. Mais attention cela ne signifie pas qu’on doit s’attendre à voir son compte créditer le lendemain de la déclaration des opérations frauduleuses. Les banques ont besoin de temps pour recueillir toutes les informations nécessaires et analyser le cas de fraude. Et dans la pratique, les délais de remboursement varient d’une semaine à six semaines selon l’ampleur du préjudice.

Enfin, la DSP2 exige un remboursement inconditionnel pour les prélèvements en euros, excepté dans le cas où le bien ou service payé a été consommé ou si les pertes sont dues à une négligence de la part de l’utilisateur. Les consommateurs ont un délai de 13 mois (maintenu par rapport à la DSP1) pour déclarer un paiement frauduleux ou abusif et en demander le remboursement.

Le DSP2 oblige l’authentification forte

L’authentification est une procédure permettant de vérifier l’identité d’une personne ou d’une machine avec pour but d’autoriser la personne ou la machine à accéder à certaines ressources sécurisées. Avec la DSP2, la sécurité des moyens de paiement doit être renforcée avec l’authentification forte (SCA – Strong Customer Authentication) qui nécessite l’utilisation d’au moins deux facteurs d’authentification. Ces facteurs sont au nombre de quatre :

  • Facteur mémoriel (Ce que l’on connait) : il s’agit d’une information que l’utilisateur a mémorisée et que lui seul connait (exemple : un code, un mot de passe, un nom)
  • Facteur matériel (Ce que l’on possède) : c’est une information que seul l’utilisateur possède et qui est enregistrée dans un support (exemple : une clé USB).
  • Facteur corporel (Ce que l’on est) : il s’agit d’une information qui caractérise l’utilisateur avec une empreinte qui lui est propre (exemple : empreintes digitales, voix, pupilles)
  • Facteur réactionnel (Ce que l’on sait faire) : c’est une information ou un geste que seul l’utilisateur peut produire (exemple : une signature)

Disons en passant qu’il existe trois familles d’authentification : simple, unique et forte.

  • L’authentification simple ne repose que sur un seul facteur.
  • L’authentification unique permet une seule authentification permettant d’accéder à plusieurs applications informatiques.
  • L’authentification forte, elle repose sur deux facteurs ou plus.

L’objectif recherché par la DSP2 avec l’authentification forte est de réduire la fraude dans l’e-commerce et de renforcer la confiance dans le paiement en ligne toujours en forte croissance en Europe. L’authentification forte est exigée pour les paiements en ligne de plus de 30 euros. Mais attention, un commerçant peut décider de ne pas réaliser l’authentification à ses propres risques.

La DSP2 introduit de nouveaux acteurs dans le paysage des paiements

La DSP2 définit le cadre permettant l’ouverture du marché des paiements à de nouveaux acteurs: PISP (Payment Initiation Service Provider / Prestataire de service d’initiation de paiement) et AISP (Account Information Service Provider / Prestataire de service d’aggrégation de comptes). Ces nouveaux acteurs peuvent, après avoir obtenu le consentement des consommateurs, accéder aux informations sur les comptes par un canal de communication sécurisé. Les banques sont obligées d’ouvrir leurs systèmes afin de permettre à ces nouveaux prestataires d’accéder aux données de leurs clients. Cela passe par la mise en oeuvre des APIs (Application Programming Interfaces) standardisées. L’EBA (European Banking Authority / Autorité Bancaire Européenne) a élaboré les RTS (Regulatory Technical Standards / Normes Techniques de la Réglementation) pour la DSP2. Ces RTS ont été publiées au Journal Officiel de l’Union européenne du 13 mars 2018 et leur entrée en vigueur est prévue dans un délai de 18 mois, soit le 14 septembre 2019.

Dans les prochains articles, nous analyserons de façon détaillée le rôle de ces nouveaux acteurs et les conséquences pour les banques et les consommateurs.

, ,

No comments yet.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.