Le droit des paiements vit un tournant majeur, avec la publication de la directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, abrogeant la première directive en la matière (DSP), d'où son nom : DSP 2.
DSP 2 : entre liberté et sécurité
« DSP 2 : entre liberté et sécurité », dans la mesure où le texte, tout à la fois :
- garantit à de nouveaux acteurs le libre accès aux comptes de paiement en ligne tenus par les prestataires de services de paiement (PSP) gestionnaires de ces comptes ; nouveaux acteurs que sont les prestataires de services d’initiation de
paiement et les prestataires de services d’information sur les[1] comptes ;[2] - impose notablement l’authentification forte des clients, définie comme « une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories “connaissance” (quelque chose que seul l’utilisateur connaît), “possession” (quelque chose que seul l’utilisateur possède) et “inhérence” (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification » (DSP 2, art. 4, 30).
L’accès aux comptes de paiement
L’intermédiation, dans la chaîne de paiement, des prestataires de services d’initiation de paiement et des prestataires de services d’information sur les comptes présente à l’évidence des risques accrus de compromission des « données de paiement sensibles » (en ce compris les données de sécurité personnalisées, les unes et les autres étant des catégories nouvelles créées par la DSP 2), entendues comme les données susceptibles d’être utilisées pour commettre des fraudes.
Partant, l’accent sécuritaire est mis en plusieurs endroits du texte :
- les dossiers d’agrément d’établissement de paiement devront comporter une description de diverses procédures propres à traiter des incidents de sécurité et des fraudes ;
- des règles strictes d’accès aux comptes de paiement sont imposées aux prestataires qui ne les gèrent pas (initiation de paiement et informations sur les comptes) ;
- est instituée une procédure de notification des incidents opérationnels ou de sécurité majeurs auprès des autorités de supervision compétentes, voire à destination des clients lorsque leurs intérêts financiers sont menacés ;
- enfin, la notion de « risques opérationnels et de sécurité » apparaît pour la première fois, obligeant les PSP à établir « un cadre prévoyant des mesures d’atténuation et des mécanismes de contrôle appropriés en vue de gérer les risques opérationnels et de sécurité, liés aux services de paiement qu’ils fournissent », sachant que « ce cadre prévoit que les prestataires de services de paiement établissent et maintiennent des procédures efficaces de gestion des incidents, y compris pour la détection et la classification des incidents opérationnels et de sécurité majeurs » (art. 95, 1).
La surveillance de l’ABE
La DSP 2 modifie le règlement constitutif de l’Autorité bancaire européenne (ABE – EBA pour European Banking
Un rôle majeur est confié à l’ABE, en particulier dans la rédaction de normes techniques de réglementation, dites mesures de second niveau ou RTS (Regulatory Technical Standards), résolument tournées vers la sécurité des paiements. Est ainsi en cours un Discussion Paper on Future Draft Regulatory Technical Standards on Strong Customer Authentification and Secure Communication under the Revised Payment Services Directive (PSD2) (8 déc. 2015).
D’ici la transposition de la DSP 2, s’appliquent d’ores-et-déjà les orientations finales de l’ABE sur la sécurité des paiements sur Internet du 19 décembre 2014, applicables dans les États membres au 5 mai 2015. Un environnement général de contrôle et de sécurité y est détaillé, passant par la gouvernance d’entreprise, l’évaluation des risques, le suivi et la déclaration des incidents, le contrôle et l’atténuation des risques et, enfin, la traçabilité. Liberté d’exercice, donc, pour de nouveaux acteurs, qui s’accompagne d’un renforcement notable de la sécurité des opérations de paiement, selon la prescription suivante : « La sécurité des paiements électroniques est fondamentale pour garantir la protection des utilisateurs et le développement d’un environnement sain pour le commerce électronique. Tous les services de paiement proposés par voie électronique devraient être sécurisés, grâce à des technologies permettant de garantir une authentification sûre de l’utilisateur et de réduire, dans toute la mesure du possible, les risques de fraude » (cons. 95).
Achevé de rédiger le 18 janvier 2016.
