Selon la nouvelle directive européenne sur les services de paiement (DSP 2), l’Autorité bancaire européenne (ABE) est compétente dans le domaine des paiements. Celle-ci a deux missions principales, comme le précise son règlement fondateur : la régulation, avec la charge de rédiger des textes réglementaires, et la surveillance.
Son rôle de surveillance diffère toutefois de celui des autorités de régulation et de surveillance nationales, car son travail a pour objectif de promouvoir la convergence des pratiques réglementaires dans les différents pays membres de l’Union européenne (UE).
Un écosystème réglementaire à l’échelle européenne
La DSP 2, entrée en vigueur le 13 janvier 2018, vise notamment à réguler de nouveaux acteurs financiers ainsi qu’à améliorer la sécurité de leurs échanges. Cette nouvelle directive joue un rôle fondamental dans l’évolution du secteur des paiements à l’échelle européenne, et ouvre la voie à des paiements électroniques à la fois ouverts et sécurisés pour les consommateurs. La DSP 2 a aussi pour objectif le développement d’un marché européen des paiements et le renforcement de la concurrence et de l’innovation.
Cette directive a mandaté l’ABE pour le développement des instruments réglementaires, dans le but de préciser certaines des exigences. L’ABE a ainsi mis en place douze instruments : six orientations (guidelines) et six normes techniques de réglementation (RTS) et d'exécution (ITS). L’Autorité bancaire européenne a achevé en 2018 son travail de rédaction des textes réglementaires dans le cadre de la DSP 2. Cependant, trois RTS n’ont pas encore été publiées par la Commission européenne.
Les douze instruments développés par l’ABE forment, avec la DSP 2, l’écosystème réglementaire dans l’espace des paiements à l’échelle européenne. Le tableau ci-dessous donne un aperçu de l’ensemble des instruments juridiques mis en place par l’ABE, et de leur degré d’avancement.
Des normes techniques pour préciser le texte de la directive
Les normes techniques de réglementation relatives à l'authentification forte du client et à des normes ouvertes communes et sécurisées de communication (RTS) entreront en vigueur le 14 septembre 2019, exception faite de l’obligation de mettre à disposition dès le 14 mars un dispositif d’essai des interfaces dédiées par les prestataires de services de paiement gestionnaires de comptes (ASPSP), afin qu’elles soient testées durant 6 mois.
Ces normes techniques définissent des règles plus détaillées qui découlent de l’obligation d’utilisation de l’authentification forte telle qu'elle est définie dans la DSP 2, ainsi que les exemptions à cette obligation. Ces règles techniques réglementent aussi le partage des données des clients et leur communication sécurisée. Elles obligent en particulier les prestataires gestionnaires de compte à mettre en place une interface qui permette de communiquer les données en relation avec les comptes de paiement de chaque client, aux prestataires de services d'information et aux prestataires de services d'initiation de paiement, qui émettent des instruments de paiement liés à des cartes.
Les gestionnaires de comptes peuvent adapter l’interface client, ou créer une interface spécifique afin de fournir les données aux prestataires décrits ci-dessus. Une interface spécifique est typiquement créée à partir d'une interface de programmation d’application (API).
L’Autorité bancaire européenne a publié son rapport final en février 2017, et a soumis le texte des RTS à la Commission européenne, selon les procédures envisagées par le règlement fondateur de l’ABE. La Commission y a inclus un certain nombre d’amendements, parmi lesquels l’obligation, pour les prestataires gestionnaires de compte développant une interface de communication, souvent sous la forme d’API, à destination des prestataires de services, qu'ils soient initiateurs de paiement, émetteurs d’instruments de paiement liés à une
La Commission Européenne a également ajouté que les prestataires de services de paiement gestionnaires de compte pouvaient être exemptées de cette obligation, s'ils donnent satisfaction à l’autorité de régulation compétente sur quatre critères définis à l’article 33(6) des RTS, de manière coordonnée avec l’ABE, afin de minimiser les divergences. Les RTS finales ont été publiées sous forme d'un règlement délégué complétant la directive, relatif aux « normes techniques de réglementation » (RTS) de la DSP 2, le 13 mars 2018.
De la surveillance…
Depuis la finalisation de ces RTS, l’ABE a entamé son travail de surveillance, tout en soutenant les préparatifs de l’industrie de paiement et des autorités de régulation compétentes.
L’Autorité a ainsi publié, en décembre 2018, des orientations concernant les conditions à remplir pour bénéficier d’une dérogation au mécanisme d’urgence, en vertu de l’article 33(6) des RTS, les preuves que les prestataires de services de paiement gestionnaires de comptes (ASPSP) doivent fournir aux autorités de régulation compétentes pour chaque critère, ainsi que les données qui doivent être prises en compte par l’autorité de régulation compétente et la manière de se coordonner avec l’ABE.
Dans le cadre de la surveillance des RTS, l’ABE a aussi publié trois avis (opinions), l'un sur la transition de la DSP 1 à la DSP 2, un autre sur la mise en œuvre des RTS et un dernier sur l’utilisation des certificats eIDAs, destinés aux transactions électroniques spécifiques au marché européen, dans le contexte des RTS. Tous ces avis ont pour objectif d’apporter des clarifications sur l’interprétation des RTS et de la DSP 2, au vu de nombreuses considérations pratiques et d’incertitudes émises par le marché.
Dans le contexte du développement des interfaces, et des API en particulier, l'ABE a continué à soutenir l’effort des marchés et institué un groupe de travail dans l'objectif de traiter les difficultés pratiques rencontrées par les différents acteurs lors de la mise en place des API, en particulier pendant les périodes d’essai. Ce groupe de travail est constitué de différents acteurs, représentés de manière égale, et vise aussi à suggérer des solutions à l’ABE et aux autorités nationales de régulation et surveillance. Ces démarches devraient permettre d'améliorer la convergence et l'harmonisation à l'échelle européenne, tout en soutenant le développement d’API sécurisées et très performantes. Ce travail s’inscrit directement dans la lignée du soutien de l’ABE au développement de FinTechs et de l'innovation dans le domaine des paiements et de l'open banking, à commencer par le soutien à l’ouverture des paiements.
Une foire aux questions et un registre central
Au-delà de son travail sur les RTS, l’Autorité bancaire européenne a étendu l’utilisation de son outil de « questions et réponses » (Q&A) à la DSP 2, afin que tous les acteurs évoluant dans le milieu des paiements puissent poser des questions en vue de clarifier les textes réglementaires. L’objectif est de le faire de manière convergente et cohérente, dans toute l’UE. L’outil "Q&A" permet en effet de limiter fortement le risque d’interprétations différentes, y compris au niveau national, pour peu que la DSP 2 ait été transposée à l’échelon national de la même manière.
Le 18 mars 2019, l’ABE a également lancé le registre central électronique, qui sera accessible gratuitement et inclura des informations sur des milliers d’institutions de paiement et de monnaie électronique, et plus de 150 000 agents.
Alors que l’ABE prépare son déménagement à Paris, son travail dans le domaine des paiements progresse à grand pas. Elle se révèle en avance dans sa préparation de l’entrée en vigueur des normes techniques de réglementation relatives à l'authentification forte du client, celles relatives à des normes ouvertes communes et sécurisées de communication, ainsi que dans la gestion des demandes d’exemption reçues par les autorités nationales de régulation et de surveillance.
Achevé de rédiger le 19 mars 2019.
