DSP 2 : la liberté au prix de la sécurité

Le droit des paiements vit un tournant majeur, avec la publication de la directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le march&eacute; int&eacute;rieur, abrogeant la premi&egrave;re directive en la mati&egrave;re (DSP), d'o&ugrave; son nom : DSP 2. DSP 2 : entre libert&eacute; et s&eacute;curit&eacute; &laquo; DSP 2 : entre libert&eacute; et s&eacute;curit&eacute; &raquo;, dans la mesure o&ugrave; le texte, tout &agrave; la fois : garantit &agrave; de nouveaux acteurs le libre acc&egrave;s aux comptes de paiement en ligne tenus par les prestataires de services de paiement (PSP) gestionnaires de ces comptes ; nouveaux acteurs que sont les prestataires de services d&rsquo;initiation de paiement [1] et les prestataires de services d&rsquo;information sur les comptes [2] ; impose notablement l&rsquo;authentification forte des clients, d&eacute;finie comme &laquo; une authentification reposant sur l&rsquo;utilisation de deux &eacute;l&eacute;ments ou plus appartenant aux cat&eacute;gories &ldquo;connaissance&rdquo; (quelque chose que seul l&rsquo;utilisateur conna&icirc;t), &ldquo;possession&rdquo; (quelque chose que seul l&rsquo;utilisateur poss&egrave;de) et &ldquo;inh&eacute;rence&rdquo; (quelque chose que l&rsquo;utilisateur est) et ind&eacute;pendants en ce sens que la compromission de l&rsquo;un ne remet pas en question la fiabilit&eacute; des autres, et qui est con&ccedil;ue de mani&egrave;re &agrave; prot&eacute;ger la confidentialit&eacute; des donn&eacute;es d&rsquo;authentification &raquo; (DSP 2, art. 4, 30). L&rsquo;acc&egrave;s aux comptes de paiement L&rsquo;interm&eacute;diation, dans la cha&icirc;ne de paiement, des prestataires de services d&rsquo;initiation de paiement et des prestataires de services d&rsquo;information sur les comptes pr&eacute;sente &agrave; l&rsquo;&eacute;vidence des risques accrus de compromission des &laquo; donn&eacute;es de paiement sensibles &raquo; (en ce compris les donn&eacute;es de s&eacute;curit&eacute; personnalis&eacute;es, les unes et les autres &eacute;tant des cat&eacute;gories nouvelles cr&eacute;&eacute;es par la DSP 2), entendues comme les donn&eacute;es susceptibles d&rsquo;&ecirc;tre utilis&eacute;es pour commettre des fraudes. Partant, l&rsquo;accent s&eacute;curitaire est mis en plusieurs endroits du texte : les dossiers d&rsquo;agr&eacute;ment d&rsquo;&eacute;tablissement de paiement devront comporter une description de diverses proc&eacute;dures propres &agrave; traiter des incidents de s&eacute;curit&eacute; et des fraudes ; des r&egrave;gles strictes d&rsquo;acc&egrave;s aux comptes de paiement sont impos&eacute;es aux prestataires qui ne les g&egrave;rent pas (initiation de paiement et informations sur les comptes) ; est institu&eacute;e une proc&eacute;dure de notification des incidents op&eacute;rationnels ou de s&eacute;curit&eacute; majeurs aupr&egrave;s des autorit&eacute;s de supervision comp&eacute;tentes, voire &agrave; destination des clients lorsque leurs int&eacute;r&ecirc;ts financiers sont menac&eacute;s ; enfin, la notion de &laquo; risques op&eacute;rationnels et de s&eacute;curit&eacute; &raquo; appara&icirc;t pour la premi&egrave;re fois, obligeant les PSP &agrave; &eacute;tablir &laquo; un cadre pr&eacute;voyant des mesures d&rsquo;att&eacute;nuation et des m&eacute;canismes de contr&ocirc;le appropri&eacute;s en vue de g&eacute;rer les risques op&eacute;rationnels et de s&eacute;curit&eacute;, li&eacute;s aux services de paiement qu&rsquo;ils fournissent &raquo;, sachant que &laquo; ce cadre pr&eacute;voit que les prestataires de services de paiement &eacute;tablissent et maintiennent des proc&eacute;dures efficaces de gestion des incidents, y compris pour la d&eacute;tection et la classification des incidents op&eacute;rationnels et de s&eacute;curit&eacute; majeurs &raquo; (art. 95, 1). La surveillance de l&rsquo;ABE La DSP 2 modifie le r&egrave;glement constitutif de l&rsquo;Autorit&eacute; bancaire europ&eacute;enne (ABE &ndash; EBA pour European Banking Authority) [3] afin d&rsquo;int&eacute;grer dans son champ les services de paiement et leurs prestataires, d&eacute;sormais partis au Syst&egrave;me europ&eacute;en de surveillance financi&egrave;re (SESF). Un r&ocirc;le majeur est confi&eacute; &agrave; l&rsquo;ABE, en particulier dans la r&eacute;daction de normes techniques de r&eacute;glementation, dites mesures de second niveau ou RTS (Regulatory Technical Standards), r&eacute;solument tourn&eacute;es vers la s&eacute;curit&eacute; des paiements. Est ainsi en cours un Discussion Paper on Future Draft Regulatory Technical Standards on Strong Customer Authentification and Secure Communication under the Revised Payment Services Directive (PSD2) (8 d&eacute;c. 2015). D&rsquo;ici la transposition de la DSP 2, s&rsquo;appliquent d&rsquo;ores-et-d&eacute;j&agrave; les orientations finales de l&rsquo;ABE sur la s&eacute;curit&eacute; des paiements sur Internet du 19 d&eacute;cembre 2014, applicables dans les &Eacute;tats membres au 5 mai 2015. Un environnement g&eacute;n&eacute;ral de contr&ocirc;le et de s&eacute;curit&eacute; y est d&eacute;taill&eacute;, passant par la gouvernance d&rsquo;entreprise, l&rsquo;&eacute;valuation des risques, le suivi et la d&eacute;claration des incidents, le contr&ocirc;le et l&rsquo;att&eacute;nuation des risques et, enfin, la tra&ccedil;abilit&eacute;. Libert&eacute; d&rsquo;exercice, donc, pour de nouveaux acteurs, qui s&rsquo;accompagne d&rsquo;un renforcement notable de la s&eacute;curit&eacute; des op&eacute;rations de paiement, selon la prescription suivante : &laquo; La s&eacute;curit&eacute; des paiements &eacute;lectroniques est fondamentale pour garantir la protection des utilisateurs et le d&eacute;veloppement d&rsquo;un environnement sain pour le commerce &eacute;lectronique. Tous les services de paiement propos&eacute;s par voie &eacute;lectronique devraient &ecirc;tre s&eacute;curis&eacute;s, gr&acirc;ce &agrave; des technologies permettant de garantir une authentification s&ucirc;re de l&rsquo;utilisateur et de r&eacute;duire, dans toute la mesure du possible, les risques de fraude &raquo; (cons. 95). Achev&eacute; de r&eacute;diger le 18 janvier 2016. 1 DSP 2, art. 4, 15 : &laquo; service d&rsquo;initiation de paiement, un service consistant &agrave; initier un ordre de paiement &agrave; la demande de l&rsquo;utilisateur de services de paiement concernant un compte de paiement d&eacute;tenu aupr&egrave;s d&rsquo;un autre prestataire de services de paiement &raquo;. 2 DSP 2, art. 4, 16 : &laquo; service d&rsquo;information sur les comptes&raquo;, un service en ligne consistant &agrave; fournir des informations consolid&eacute;es concernant un ou plusieurs comptes de paiement d&eacute;tenus par l&rsquo;utilisateur de services de paiement soit aupr&egrave;s d&rsquo;un autre prestataire de services de paiement, soit aupr&egrave;s de plus d&rsquo;un prestataire de services de paiement &raquo;. 3 R&egrave;gl n&deg; 1093/2010, 24 novembre 2010.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Services de paiement

DSP 2 : la liberté au prix de la sécurité

L’auteur analyse les éléments qui concernent la sécurité dans la directive sur les services de paiement dans le marché intérieur (DSP 2) publiée fin novembre 2015.

À retrouver dans la revue

Paiements

Chahuté, Worldline se bouge

Macro-économie

Dette et déficit publics : comment éviter le précipice

Paiements

DeluPay, une appli alternative aux cartes de paiement

Services financiers spécialisés

Le leasing, notre meilleur atout pour une mobilité décarbonée

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous