Principaux changements :
La Directive sur les Services de Paiement 3 (DSP3) est une mise à jour de la Directive sur les Services de paiement 2 (DSP2) qui établit des règles sur l'efficacité et la sécurité des paiements électroniques/digitaux et des services financiers dans l’Union Européenne. Elle vise à améliorer le cadre concurrentiel et l'innovation dans l'industrie financière.
La DSP3 élargit le cadre réglementaire sur l'authentification forte du client ou Strong Customer Authentification (SCA) et établit des règles plus strictes sur l'accès aux systèmes de paiement et aux informations de compte.
La DSP3 vise à protéger les droits des consommateurs et leurs informations personnelles, tout en améliorant la concurrence dans le secteur des paiements.
Les nouvelles propositions incluent également un nouveau règlement sur les services de paiement ou Payment Services Regulation (PSR) pour améliorer la protection des consommateurs. Celui-ci sera directement applicable aux États membres de l'UE.
Chronologie : il n'y a pas encore de calendrier clair pour la mise en œuvre de la DSP3 et du PSR. Les versions finalisées pourraient être accessibles vers la fin de l'année 2024. Les États membres disposent généralement d'une période de transition de 18 mois, ce qui suggère que la DSP3 et le PSR pourraient entrer en vigueur vers 2026.
Depuis l'introduction de la précédente Directive sur les Services de Paiement (DSP2), le marché des services de paiement de l'UE a connu d'importantes transformations. Cela est dû notamment à la montée en puissance des paiements électroniques et à l'arrivée de nouveaux prestataires proposant des services d’open banking.
L'objectif principal de la dernière Directive sur les Services de Paiement (DSP2) était de garantir des conditions de concurrence équitables entre les prestataires existants et les nouveaux prestataires de paiement par carte, via Internet et via mobile.
En raison de l'évolution du marché, les règles concernant les paiements ont besoin d’ une mise à jour. Le 28 juin 2023, la Commission européenne a présenté des propositions visant à moderniser davantage les paiements et le secteur financier dans son ensemble. Ces propositions modifieront et moderniseront la DSP2, qui deviendra la DSP3, et introduiront un Règlement sur les services de paiement (PSR).
Cet article offre un aperçu général des propositions de la Commission européenne concernant la DSP3, des éléments de comparaison avec la DSP2, et une mise en lumière quant à leur impact sur le secteur des paiements.
Qu'est-ce que la DSP3 ?
La DSP3 est une directive de l'UE qui établit des règles pour l'autorisation et la surveillance des prestataires de services de paiement (PSP) non bancaires dans l'UE. La DSP3 (ou PSD3 en anglais) vise à protéger les droits des consommateurs et leurs informations personnelles tout en améliorant la concurrence dans le secteur des paiements. La directive permettra aux consommateurs de partager leurs données en toute sécurité, et contribuera à ce qu’une gamme plus large de produits et services financiers innovants soit disponible. Étant donné qu'il s'agit d'une directive, les règles de la DSP3 doivent être transposées dans les lois nationales des différents États membres de l'UE.
Qu'est-ce que le PSR ?
Le PSR ou Payment Services Regulation est un règlement de l'UE qui s'applique directement aux États membres de l'UE une fois adopté et entré en vigueur. Le PSR sera directement applicable sans nécessité de transposition par les États membres au niveau national. Cela contribue à une mise en œuvre uniforme et cohérente dans l'ensemble de l'UE. Le PSR vise à améliorer la protection des consommateurs, un domaine où l’harmonisation des règles est cruciale.
DSP2 vs DSP3 : quelles différences ?
La DSP3 couvrira un champ d'application plus vaste que la DSP2. Cela rend la directive mieux adaptée à l’univers des paiements d'aujourd'hui, au vu des mises en application règlementaires inégales, qui peuvent découler d’arbitrages règlementaires. Elle englobe la plupart des notions portées par la DSP2, telles que la transparence, la responsabilité et l’open banking. Cependant, la DSP3 établit des réglementations plus étendues sur l'authentification forte du client (SCA ou Strong Customer Authentification) et des règles plus strictes sur l'accès aux systèmes de paiement et aux informations de compte par rapport à la DSP2. Cela joue un rôle essentiel dans la protection des transactions de paiement et la lutte contre la fraude.
En savoir plus sur la manière dont la DSP2 et la SCA ont interagi jusqu'à présent.
Impact de la DSP3 sur le secteur des paiements
Les changements liés à l'authentification forte du client (SCA) et à l'accès aux systèmes de paiement et aux informations de compte auront un impact sur le secteur des paiements. Voyons en détail de quels changements il s’agit et en quoi ils feront une différence.
Authentification forte du client
Les changements de la DSP3 concernant la SCA contribueront à des expériences d'achat plus sécurisées. On trouvera ainsi de nouvelles règles concernant le partage de données, la prévention de la fraude, l'authentification, les transactions et l'accessibilité.
Data
Localisation de l'utilisateur, heure de la transaction, appareils utilisés, habitudes de dépense, historique des transactions, données de session, adresse IP de l'appareil… Les entreprises devront partager davantage de données avec les émetteurs, afin qu’ils puissent surveiller des caractéristiques environnementales et comportementales propres à l’acheteur. De cette façon, elles pourront augmenter les taux d’approbation en déterminant mieux quelles transactions approuver et lesquelles décliner.
Les systèmes de paiement et les PSP seront également autorisés à traiter des données personnelles pour la prévention de la fraude, sans le consentement explicite de l'utilisateur en vertu du Règlement Général sur la Protection des Données (RGPD). Cela s'applique uniquement s'ils utilisent les données pour prévenir la fraude.
Fraude
Les nouvelles propositions suggèrent également un changement de responsabilité en cas de fraude. Les systèmes de paiement, les fournisseurs de services techniques (tels que les fournisseurs de wallet) et les passerelles de paiement seront tenus responsables de la fraude s'ils ne mettent pas en application la SCA. L’objectif ? Protéger les payeurs contre les dysfonctionnements techniques et encourager les prestataires à maintenir un niveau élevé de service.
Les émetteurs seront également responsables en cas de fraude par usurpation d'identité. C’est par exemple le cas où un fraudeur se fait passer pour un employé de banque pour inciter l'utilisateur à s’authentifier lors d’un paiement. Si le payeur agit de manière frauduleuse ou avec une négligence grave, les émetteurs resteront responsables.
Authentification
La DSP2 exigeait que les facteurs de SCA appartiennent à deux catégories parmi les trois suivantes : la connaissance, la possession et l'inhérence. Avec la DSP3, l'utilisation de deux catégories identiques, comme un token et un SMS OTP (One Time Password), ou même deux mots de passe, est possible.
La délégation de la SCA par les émetteurs à des tiers, tels qu'Apple Pay, est désormais qualifiée d'externalisation et doit respecter les règles d'externalisation pour authentifier le porteur de carte. Adyen avait anticipé que l'externalisation serait réglementée et a créé une solution d'authentification déléguée qui nous permet de ne pas externaliser à un tiers, mais plutôt de réaliser l'authentification nous-mêmes. Ainsi, les émetteurs peuvent nous déléguer l’étape de l’authentification forte.
Exemptions
Les transactions initiées par le commerçant (Merchant-initiated transactions ou MIT), telles que les paiements récurrents (abonnements), sont désormais exclues de la SCA. Seule la première transaction nécessite une SCA. Les MIT bénéficieront du même droit de remboursement inconditionnel de 8 semaines (« sans poser de questions ») que l'on trouve dans les prélèvements SEPA.
De même, les commandes par carte et par téléphone, également appelées transactions MOTO (Mail Order/Telephone Order), n'ont pas besoin d'être authentifiées par la SCA. Cette exemption profitera grandement à des secteurs tels que l'industrie du voyage.
En ce qui concerne la tokenisation, la SCA est uniquement requise si le porteur de carte initie la transaction, par exemple, lors d'une transaction avec une carte enregistrée ou lorsque le porteur de carte inscrit initialement sa carte dans un portefeuille numérique.
Accessibilité
La SCA doit désormais être accessible pour les clients vulnérables tels que les personnes âgées, les personnes en situation de handicap et les consommateurs non familiers avec les technologies numériques, en fournissant des méthodes d'authentification ne dépendant pas uniquement des smartphones.
Accès aux systèmes de paiement et aux informations de compte
Le PSR introduira des changements dans le cadre existant de l’Open Banking qui élimineront les freins à la fourniture de services d’open banking, et augmenteront au final la disponibilité des services bancaires et financiers.
Les prestataires de services d'initiation de paiement (PSIP) et les fournisseurs de services d'information sur les comptes (Account Information Service Providers ou AISP) seront autorisés à créer des interfaces personnalisées qui se connectent aux banques et à d'autres institutions financières.
Les banques et les institutions financières devront partager davantage d'informations sur les performances de leurs API en publiant des statistiques trimestrielles sur la disponibilité et les performances de leurs interfaces. Cela permettra aux entreprises d'obtenir des informations plus précises sur les systèmes de paiement, les aidant à prendre des décisions éclairées concernant le partenaire qu'elles souhaitent choisir pour leurs besoins de traitement des paiements.
En cas de dysfonctionnements ou de perturbations bancaires, les banques devront permettre aux tiers (AISPs et PSIP) d'utiliser leurs propres interfaces bancaires, ce qui permettra de proposer des processus de paiement plus efficaces pour les entreprises digitales et leurs clients. Conformément au droit civil applicable, elles conservent également le droit de réclamer des dommages et intérêts pour les pertes subies.
Les banques sont tenues de fournir aux clients un tableau de bord d'autorisation. Ce tableau de bord permet aux clients de surveiller en continu et de gérer les autorisations accordées aux AISPs de manière pratique.
Et après ?
Les propositions de la DSP3 et du PSR garantissent que les consommateurs pourront continuer à effectuer des paiements électroniques et des transactions en toute sécurité dans l'UE, que ce soit au niveau national ou international, en euros et en devises étrangères. Elles visent à offrir un plus grand choix de prestataires de services de paiement tout en protégeant les clients.
Chez Adyen, nous travaillons avec les régulateurs et les réseaux de cartes pour nous assurer que tout est prêt pour la DSP3. Pour le moment, aucune action supplémentaire n'est nécessaire. Nous vous tiendrons informés des derniers développements réglementaires par e-mails ou via des messages système afin de garantir une expérience optimale.
Il n'y a pas encore de calendrier clair pour la mise en œuvre de la DSP3 et du PSR. Le Parlement européen et le Conseil européen examineront les modifications proposées. Les versions finalisées pourraient être accessibles vers la fin de l'année 2024. Les États membres disposent généralement d'une période de transition de 18 mois, ce qui suggère que la DSP3 et le PSR pourraient entrer en vigueur vers 2026. Si vous souhaitez en savoir plus, vous pouvez consulter les documents officiels ici.
Vous pouvez également en savoir plus sur comment équilibrer la commodité avec la sécurité grâce à une meilleure authentification ici.
Inscrivez-vous à la newsletter d'Adyen
Recevez nos actualités par mail
Je confirme avoir bien pris connaissance de la Politique de Confidentialité d'Adyen et accepte que mes données soient utilisées conformément à celle-ci.