La principale novation de la seconde directive européenne sur les services de paiement (Directive (EU) 2015/2366 « DSP 2 »), entrée en vigueur le 13 janvier 2018, consiste, au-delà du renforcement des aspects liés à la sécurité, à réguler une nouvelle typologie d’acteurs permettant l’accès aux comptes bancaires.
Transposée en droit français par l’ordonnance n° 2017-1252 du 9 août 2017 complétée par les arrêtés publiés le 31 août 2017, la DSP 2 a créé deux nouveaux services de paiement dont la fourniture requière désormais un agrément par l’Autorité de contrôle prudentiel et de résolution (ACPR) : le service d’initiation de paiement qui permet à un utilisateur d’initier, via un prestataire intermédiaire, des virements depuis son compte de paiement ; et le service d’information sur les comptes qui permet à un utilisateur de récupérer, via un prestataire intermédiaire, les informations relatives à l’ensemble de ses comptes de paiement sur une interface unique.
Déjà sept agréments accordés par l’ACPR
Depuis le 13 janvier 2018, les acteurs qui fournissent ces services doivent être agréés par l’ACPR en qualité d’établissements de paiement, s’ils fournissent le service d’initiation de paiement (PSIP), ou être enregistrés en tant que prestataires d’information sur les comptes (PSIC), s’ils ne fournissent que le service d’information sur les comptes.
Le statut de ces fournisseurs est allégé par rapport aux autres prestataires de services de paiement traditionnels et consiste principalement en des exigences de sécurité et en la nécessité de souscrire une assurance de responsabilité civile professionnelle (cf. tableau ci-dessous).
Pour l’heure, l'ACPR, qui a fait partie des premières autorités européennes à délivrer de tels agréments, a autorisé sept entreprises, spécialisées dans les services d’information sur les comptes, et qui ont profité de la nouvelle réglementation pour élargir leur offre de services en la couplant avec le service d’initiation de paiement. Dix-sept institutions agréées dans un autre pays de l'UE ont par ailleurs demandé à bénéficier du passeport européen pour proposer leurs services en France. Dans l'attente de la mise en œuvre d'un registre européen et afin de faciliter en particulier l'information des prestataires de services de paiement (PSP) gestionnaires de comptes, l'ACPR publie sur son
Et ce marché est en pleine expansion. En effet, au-delà de la fourniture d’applications de gestion de budget, offertes directement aux utilisateurs, le service d’information sur les comptes prospère. Il permet notamment le partage de données bancaires avec d’autres partenaires qui les utilisent à leur tour pour offrir d’autres services, comme la comptabilisation automatique des opérations transitant sur les comptes de paiement, la mise en place d’un programme de fidélisation ou l’estimation de la solvabilité d’un client.
Un groupe de travail dédié
Une étape importante reste néanmoins à franchir pour finaliser le développement de ces nouveaux services : les banques doivent maintenant développer et mettre en œuvre d’ici septembre 2019 les interfaces qui sécuriseront et faciliteront l'échange des données avec ces nouveaux acteurs, telles que les interfaces de programmation spécifiques (API), afin de se conformer aux standards techniques réglementaires (RTS) adoptés en mars 2018.
Sur ce sujet, un important travail a déjà été effectué au niveau national, notamment grâce à un groupe de travail dédié au sein du Comité national sur les paiements scripturaux (CNPS). En permettant à tous les acteurs impliqués, banques et nouveaux entrants, d'exprimer leurs préoccupations et de débattre de problèmes techniques, celui-ci a permis la mise en place d'une réponse commune et unifiée à ce défi, grâce au développement d'un standard d’API compatible avec la DSP 2.
Pour autant, les enjeux restent conséquents pour les acteurs qui souhaitent déployer leur API sans mettre à disposition une solution de secours. En effet, le règlement délégué (UE) n° 2018/389 fixe les délais suivants :
- la mise à disposition par les prestataires offrant une API de la documentation relative à leurs interfaces d’accès au minimum six mois avant le 14 septembre 2019 ou la date de lancement de l’interface d’accès, si celle-ci intervient après le 14 septembre 2019 (Règlement délégué (UE) n° 2018/389, article 30.3) ;
- le lancement d’un dispositif d’essai de leurs interfaces d’accès par les prestataires offrant une API au minimum six mois avant la date d’application des normes fixée au 14 septembre 2019, ou la date de lancement de l’interface d’accès si celle-ci intervient après le 14 septembre 2019 (Règlement délégué (UE) n° 2018/389, article 30.5)
- et une utilisation large de ces interfaces d’accès par des prestataires de services de paiement durant au moins trois mois avant le déploiement effectif de ces dernières - ce délai pouvant se superposer aux délais mentionnés aux articles 30.3 et 30.5. (Règlement délégué (UE) n° 2018/389, article 33.6.c).
Des échéances qui s'enchaînent
En France, le décret n° 2018-1228 du 24 décembre 2018 a de surcroît rendu le règlement délégué (UE) n° 2018/389 applicable de façon anticipée à sa date d'application, fixée au 14 septembre 2019, afin que l'ensemble des parties prenantes mette en place dans les meilleurs délais des solutions techniques permettant de sécuriser leurs communications donnant accès aux données des comptes de paiement.
Ainsi, le 14 janvier 2019 était la date recommandée par l’Autorité de contrôle prudentiel et de résolution pour la mise à disposition par les prestataires de services de paiement gestionnaires de comptes (Account Servicing Payment Service Providers – ASPSP) de la documentation, mais aussi d’un dispositif d’essai de leurs interfaces d’accès afin de permettre aux tiers de disposer d’un temps suffisant pour se préparer aux conditions d’utilisation étendue à compter du 14 avril 2019.
Les prestataires disposant d’une API devaient mettre à disposition avant le 14 mars 2019, date limite prévue par les articles 30.3 et 30.5 des RTS, la documentation et un dispositif d’essai de leurs interfaces d’accès en vue d’obtenir une exemption au plus tard au 14 septembre 2019. Un prestataire offrant une API qui mettrait à disposition ces deux éléments à cette date devra néanmoins pouvoir justifier auprès de l’ACPR que le délai d’un mois avant la mise à disposition aux conditions d’utilisation étendue a été suffisant pour permettre aux PSP tiers d’utiliser l’API aux conditions d’utilisation étendues à compter du 14 avril 2019.
Le 14 avril 2019 est la date limite de la mise à disposition d’une API répondant aux conditions d’utilisation étendue, définies par les standards sécuritaires et les orientations de l’Autorité bancaire européenne (ABE). En effet, pour que le dossier d’exemption puisse être qualifié de complet lors de son dépôt à l’ACPR le 14 juillet 2019, le prestataire offrant une API devra être en mesure de prouver à cette date que son interface a fait l’objet d’une utilisation étendue conformément aux orientations de l’ABE durant les trois mois précédents.
Enfin, le 14 juillet 2019 sera la date limite de dépôt du dossier complet par les prestataires offrant une API, pour la demande d’exemption auprès de l’ACPR. Cette date permet aux demandeurs de s’assurer de l’obtention de l’autorisation avant le 14 septembre 2019.
Car le 14 septembre 2019 sera la date limite d’obtention d’une exemption de mécanisme d’urgence pour les prestataires offrant une API. Au-delà de cette date, tout prestataire de ce type qui n’aurait pas obtenu d’autorisation, sera dans l’obligation de prévoir un mécanisme d’urgence. À défaut, le prestataire sera non conforme à la réglementation.
