Qu’est-ce que la PSD2 (2ème Directive Européenne sur les Services de Paiement) ?

La DSP2 a déjà eu un impact important sur le secteur des paiements. Mais qu’est-ce que la DSP2 et comment affecte-t-elle la manière dont les entreprises mettent en œuvre la conformité à la LCB ?

La 2ème Directive Européenne sur les Services de Paiement (PSD2) a été adoptée par la Commission européenne en 2015, en remplacement de la première directive sur les services de paiement adoptée en 2007. Comme son prédécesseur, la DSP2 concerne la réglementation des services de paiement dans l’UE et l’Espace économique européen (EEE). Elle a pour objectif d’accroître la concurrence dans le secteur en permettant aux entités qui ne sont pas des banques de participer et d’harmoniser les normes de conformité pour les fournisseurs de services de paiement.

Bien que saluée comme une révolution pour le secteur, la DSP2 a également entraîné de nouveaux défis en matière de conformité, notamment au niveau de la lutte contre le blanchiment d’argent et le financement du terrorisme (LCB/FT). Dans cette optique, il est important que les établissements financiers comprennent bien le fonctionnement de la directive et la manière de se conformer à la réglementation PSD2.

Qu’est-ce que la DSP2 (2ème Directive Européenne sur les Services de Paiement) ?

La DSP2 est entrée en vigueur le 13 janvier 2018, élargissant le champ d’application de la directive initiale de plusieurs manières. Plus particulièrement, la portée législative de la DSP2 a été étendue aux paiements en ligne tout en renforçant la protection des consommateurs en ligne et en permettant une plus grande participation des commerçants en ligne au secteur des services de paiement.

Plus concrètement, la DSP2 s’appuie sur la législation précédente et a un impact sur trois domaines du secteur des services de paiement :

• Les droits des consommateurs : la DSP2 étend les droits des consommateurs en introduisant davantage de transparence au niveau des paiements ainsi que de nouvelles règles pour les surtaxes, la conversion des devises et le traitement des réclamations.
• Sécurité : la DSP2 a introduit le critère d’authentification forte du client (SCA) qui, entre autres mesures de sécurité, comprend une exigence d’identification à deux facteurs.
• Accès des tiers : il s’agit là d’un de ses effets législatifs les plus importants, la DSP2 permettant l’accès par des tiers aux informations sur les comptes détenues par les banques.

Impact en ligne : l’autorisation de l’accès de tiers aux informations de compte brise effectivement un monopole détenu auparavant par les banques et ouvre le secteur des paiements aux commerçants en ligne tels qu’Amazon et Google qui peuvent ainsi développer leurs propres services de paiement.

Avec l’autorisation du client, ces sociétés tierces peuvent désormais récupérer les données du compte directement auprès des banques lorsqu’elles ont besoin de traiter un paiement, sans devoir passer par un fournisseur de services intermédiaire. Ce nouvel accès aux comptes bancaires des clients est géré par des API ouvertes (développées et publiées par les banques elles-mêmes) pour permettre à des tiers de créer un nouveau marché de produits de services financiers par-dessus l’infrastructure existante des banques.

Comment se conformer à la PSD2 ?

Également connu sous le nom d’Open Banking (système bancaire ouvert), cet accès par des tiers est évidemment soumis étroitement aux réglementations en matière de sécurité et de conformité introduites par la DSP2. La nécessité de lutter contre le blanchiment d’argent et le financement du terrorisme devrait être une préoccupation majeure pour toute législation qui étend la participation au secteur des services de paiement, ce qui se reflète dans les exigences réglementaires renforcées nécessaires pour se conformer à la directive DSP2.

Authentification forte du client : la SCA est le principal mécanisme de lutte LCB/FT de la DSP2. Il introduit essentiellement un processus d’identification du client beaucoup plus puissant appelé « identification à double facteur » pour quasiment tous les paiements électroniques. Dans le cadre du processus de vérification à deux facteurs, les paiements électroniques doivent être vérifiés par au moins deux des trois identifiants suivants :

• La connaissance :Les clients peuvent fournir un gage de connaissance qui peut être un numéro PIN ou un mot de passe.
• La possession : les clients peuvent s’identifier avec un objet de paiement physique qui peut être une carte de paiement ou un téléphone mobile (dans le cadre de paiements par portefeuille mobile).
• La biométrie : les clients peuvent valider leur paiement à l’aide de données biométriques qui peuvent prendre la forme d’une empreinte digitale ou d’une identification vocale.

Approche fondée sur le risque : les commerçants peuvent appliquer une approche basée sur le risque pour se conformer à la PSD2. Si certaines transactions à faible risque peuvent être exemptées du processus de vérification à double facteur, les transactions présentant un risque plus élevé doivent être vérifiées. Les exemptions du processus de vérification à double facteur sont les suivantes :

• Paiements uniques sans contact en face à face de moins de 50 €, jusqu’à une valeur cumulée de plus de 150 €, ou jusqu’à cinq transactions distinctes.
• Transactions uniques en ligne de moins de 30 €, jusqu’à une valeur cumulée de 100 €, ou cinq transactions distinctes.
• Les paiements d’entreprise effectués en tant que « paiements virtuels sécurisés » via des cartes virtuelles ou des cartes B2B et initiés par l’entreprise plutôt que par un particulier.

PISP et AISP : les fournisseurs de services tiers autorisés par la DSP2 à interagir avec les banques (via des API) sont appelés des prestataires de services d’initiation de paiement (PISP) et des prestataires de services d’information sur les comptes (AISP). Les prestataires PISP « poussent » les paiements depuis les comptes bancaires des clients vers les commerçants tandis que les prestataires de services d’information sur les comptes (AISP) regroupent les données financières personnelles (pouvant provenir de plusieurs comptes). Il est important de rappeler que ces nouvelles catégories de prestataires de services seront également soumises à des exigences de conformité en matière de lutte LCB/FT fondée sur le risque allant de l’identification du client via une authentification SCA à deux facteurs à la vérification d’éventuelles sanctions infligées à ce client.

Mise en œuvre continue et conformité à la DSP2

La conformité à la DSP2 est une priorité pour tous les acteurs du secteur des paiements, mais certains aspects de la directive ont pourtant été étudiés par l’UE jusqu’à fin 2019. Pour garder une longueur d’avance sur la réglementation PSD2 et assurer une conformité continue, il est nécessaire de disposer d’une flexibilité institutionnelle et d’adopter une approche proactive de l’intégration de la technologie à une solution de conformité.