L’union européenne a adopté deux directives sur les services de paiement: la DSP 1 adoptée le 13 novembre 2007 et la DSP 2 adoptée le 25 novembre 2015. La DSP1 avait pour objectifs majeurs, l’harmonisation du cadre juridique des services de paiement et la création de l’espace SEPA. La DSP2, quant à elle, vise à favoriser l’ouverture du marché des paiements, essentiellement occupé par les banques, aux nouveaux prestataires de service de paiements (PSP) tout en renforçant la sécurité des usagers. Les impacts sur les banques sont si importants que beaucoup associent la DSP2 à l’open banking. Mais comme nous le verrons dans cet article et les prochains, la DSP2 entraine d’autres changements majeurs pour d’autres acteurs.
La DSP2 interdit la surfacturation
Dans toute l’union européenne, les commerçants n’ont plus le droit de surfacturer en cas de paiement par carte. La surfacturation (surcharging en anglais), consiste à répercuter tout ou partie du coût d’acceptation de la carte sur le prix pratiqué. Il est illégal par exemple de vendre un article à 97 EUR en magasin et 99 EUR en ligne. Cette pratique interdite en France depuis de nombreuses années, était autorisée ou pas clairement encadrée dans certains pays de l’union européenne.
La DSP2 abaisse la franchise des victimes de paiements frauduleux
Les directives sur les services de paiement renforcent la protection des droits des consommateurs victimes de paiements frauduleux. La DSP1 avait fixé le montant de la franchise restant à la charge du client à 150 €. Avec la DSP2, cette franchise a été abaissée à 50 €. En outre, les banques doivent rembourser plus vite les fonds débités frauduleusement. Mais attention cela ne signifie pas qu’on doit s’attendre à voir son compte créditer le lendemain de la déclaration des opérations frauduleuses. Les banques ont besoin de temps pour recueillir toutes les informations nécessaires et analyser le cas de fraude. Et dans la pratique, les délais de remboursement varient d’une semaine à six semaines selon l’ampleur du préjudice.
Enfin, la DSP2 exige un remboursement inconditionnel pour les prélèvements en euros, excepté dans le cas où le bien ou service payé a été consommé ou si les pertes sont dues à une négligence de la part de l’utilisateur. Les consommateurs ont un délai de 13 mois (maintenu par rapport à la DSP1) pour déclarer un paiement frauduleux ou abusif et en demander le remboursement.
Le DSP2 oblige l’authentification forte
L’authentification est une procédure permettant de vérifier l’identité d’une personne ou d’une machine avec pour but d’autoriser la personne ou la machine à accéder à certaines ressources sécurisées. Avec la DSP2, la sécurité des moyens de paiement doit être renforcée avec l’authentification forte (SCA – Strong Customer Authentication) qui nécessite l’utilisation d’au moins deux facteurs d’authentification. Ces facteurs sont au nombre de quatre :
- Facteur mémoriel (Ce que l’on connait) : il s’agit d’une information que l’utilisateur a mémorisée et que lui seul connait (exemple : un code, un mot de passe, un nom)
- Facteur matériel (Ce que l’on possède) : c’est une information que seul l’utilisateur possède et qui est enregistrée dans un support (exemple : une clé USB).
- Facteur corporel (Ce que l’on est) : il s’agit d’une information qui caractérise l’utilisateur avec une empreinte qui lui est propre (exemple : empreintes digitales, voix, pupilles)
- Facteur réactionnel (Ce que l’on sait faire) : c’est une information ou un geste que seul l’utilisateur peut produire (exemple : une signature)
Disons en passant qu’il existe trois familles d’authentification : simple, unique et forte.
- L’authentification simple ne repose que sur un seul facteur.
- L’authentification unique permet une seule authentification permettant d’accéder à plusieurs applications informatiques.
- L’authentification forte, elle repose sur deux facteurs ou plus.
L’objectif recherché par la DSP2 avec l’authentification forte est de réduire la fraude dans l’e-commerce et de renforcer la confiance dans le paiement en ligne toujours en forte croissance en Europe. L’authentification forte est exigée pour les paiements en ligne de plus de 30 euros. Mais attention, un commerçant peut décider de ne pas réaliser l’authentification à ses propres risques.
La DSP2 introduit de nouveaux acteurs dans le paysage des paiements
La DSP2 définit le cadre permettant l’ouverture du marché des paiements à de nouveaux acteurs: PISP (
Dans les prochains articles, nous analyserons de façon détaillée le rôle de ces nouveaux acteurs et les conséquences pour les banques et les consommateurs.
Merci pour la simplicité avec laquelle vous expliquez tous ces concepts, cela devient presque naturel.