Entrée en vigueur en 2009, la Directive sur les services de paiement (DSP) a permis la création d’un véritable marché communautaire des paiements entre États membres. Face à une révolution numérique sans précédent portée notamment par l'offre de services innovants, le besoin d'adapter le dispositif existant s'est imposé. Dans ce contexte, la Commission a adopté le 24 juillet 2013 un paquet législatif sur les paiements portant révision de la DSP (DSP2).
Le texte final de la DSP2 a été publié le 2 juin dernier par le Conseil de l'Union européenne et est actuellement soumis à la revue du Comité des représentants permanents pour approbation. En parallèle, des regulatory technical standards devront être développés par l'Autorité Bancaire Européenne, la Banque Centrale Européenne et la Commission afin de compléter le futur cadre réglementaire.
Un champ d'application redéfini
Il s'agissait de la préoccupation majeure de la réforme : dès lors que les activités innovantes qu'ils déployaient n'étaient pas prévues par la DSP, certains prestataires de services de paiement (PSP) échappaient au cadre réglementaire applicable et concurrençaient sans contrainte les PSP agréés. Ces nouveaux entrants sont rattrapés par la DSP2. Initialement définis dans la proposition de directive de la Commission comme des « PSP tiers » par opposition aux gestionnaires/teneurs de comptes de paiement dits « PSP gestionnaires de comptes », le texte définitif n'a pas repris cette distinction en préférant consacrer deux nouvelles catégories de PSP aux côtés des gestionnaires de comptes : les « initiateurs de paiement » et les « agrégateurs ». En parallèle, alors que la définition des services de paiement demeure toujours technologiquement neutre pour appréhender toutes les futures innovations, la liste des services de paiement s'enrichit des nouveaux services proposés par ces nouveaux PSP : les services d'initiation de paiement, qui consistent en des solutions de paiement en ligne utilisant les plates-formes numériques de PSP gestionnaires de comptes et informant les personnes auprès desquelles des opérations sont effectuées de la réalisation de transferts de fonds (passerelle logicielle entre le site Internet d'un PSP et la plate-forme de la banque du client en vue d'initier des paiements sur la base de virements ou de prélèvements) et les services d'information sur comptes, qui permettent de centraliser les données de différents comptes sur une plate-forme unique et/ou offrent des solutions simplifiées de gestion patrimoniale.
Initiateurs et agrégateurs bénéficient d'un régime de faveur
Intégrés dans le dispositif de la DSP2, les initiateurs et agrégateurs ne font pas l'objet d'un statut spécifique, mais constituent des établissements de paiement à part entière et devront désormais justifier d'un agrément et d'un enregistrement auprès des autorités compétentes pour exercer leurs activités. Le régime qui leur est applicable est cependant allégé. Ainsi, les PSP agrégateurs ne sont pas soumis à une exigence de capital social minimal et les PSP initiateurs doivent posséder un capital social minimum fixé à 50 000 euros (alors que ce seuil est de 125 000 euros pour les PSP offrant des services de paiement classiques). Par ailleurs, les informations requises pour l'obtention d'un agrément sont plus limitées. À titre d'exemple, les PSP agrégateurs n'auront pas à fournir leur politique de sécurité ou encore l'identité des personnes détenant directement ou indirectement une participation qualifiée au sein de leur capital social.
La nouvelle chaîne des services de paiement
Comparée aux conditions dans lesquelles les établissements bancaires et financiers concluent leurs partenariats, la nouvelle chaîne des services de paiement apparaît originale. Usuellement, ces derniers choisissent leurs partenaires commerciaux et concluent avec ceux-ci des conventions permettant d'encadrer leur intervention réciproque (par exemple, pour des opérations de sous-traitance portant sur des prestations dites essentielles ou encore pour la distribution de produits et services bancaires ou financiers).
La DSP2 prévoyant le droit, pour les PSP agrégateurs ou initiateurs, de fournir leurs services sans conclure au préalable un contrat avec les PSP gestionnaires, le schéma habituel des services de paiement, reposant sur une relation bilatérale dans laquelle le client s'adresse au PSP gestionnaire qui ouvre son compte et lui permet de réaliser des opérations sur celui-ci, se trouve bouleversé. Les PSP tiers pourront se greffer sur les relations commerciales préexistantes des PSP gestionnaires sans que les PSP agrégateurs ou initiateurs ne soient tenus par un quelconque lien contractuel.
En tout état de cause, en plus d'une relation client qui leur échappera partiellement, les PSP gestionnaires devront nécessairement revoir leurs procédures internes et leurs outils supports (procédure, cartographie des risques, mise en place des flux d'information avec les PSP tiers, etc.) et seront également susceptibles de subir des pertes d'audience sur les sites Internet qu'ils ont déployés (le service proposé par les agrégateurs consistant à fournir au client toutes les informations relatives à ses comptes sur un seul site Internet, le volume de connexions sur le réseau du PSP gestionnaire sera forcément amené à diminuer).
Les règles d'accès aux comptes clients
De nombreuses questions se posaient à propos des modalités dans lesquelles les PSP tiers pourraient accéder aux comptes pour initier des opérations et/ou récolter des informations ainsi qu'au partage de responsabilité en cas de défaillance. La DSP2 instaure à cet égard des mécanismes favorables aux PSP tiers.
D'une part, elle consacre un véritable droit d'accès aux comptes de paiement auprès de tout teneur de compte. Un PSP gestionnaire ne pourra refuser à un PSP tiers l'accès aux comptes de ses clients que pour des motifs objectifs, non discrétionnaires et proportionnés (par exemple, utilisation non autorisée ou frauduleuse du compte de paiement par le PSP tiers). Dès lors que les raisons ayant justifié cette opposition n'existeront plus, celui-ci devra à nouveau garantir l'accès au compte au PSP tiers. Par ailleurs, tout refus d'accès donnera lieu à une procédure de reporting auprès des autorités de contrôle compétentes.
D'autre part, elle prévoit que tout payeur pourra recourir aux services d'initiation de paiement et que tout utilisateur de services de paiement pourra recourir aux services d'information sur comptes, dès lors que les comptes de paiement concernés seront accessibles en ligne. Dans le cadre de leurs prestations, les initiateurs de paiement et agrégateurs devront respecter de nombreuses obligations communes : s'assurer que les identifiants et codes d'accès personnalisés du client seront transmis de manière confidentielle et sécurisée ou encore s'assurer de la sécurité de toute communication avec les intervenants à l'opération.
Le partage des responsabilités entre PSP gestionnaires et PSP initiateurs
Si, comme pour les PSP gestionnaires, les PSP initiateurs doivent démontrer que l'opération de paiement à laquelle ils ont participé a bien été authentifiée, précisément enregistrée et n'a pas été affectée par une panne technique ou une autre défaillance, ils bénéficient cependant d'un régime très (trop) favorable en matière de responsabilité. Dans le cadre d'une opération de paiement non autorisée initiée par un PSP initiateur, c'est le PSP gestionnaire qui supportera le remboursement du payeur (au plus tard à l'expiration du jour ouvré suivant).
À charge pour celui-ci de se retourner vers le PSP initiateur. Un régime similaire est également prévu dans le cadre d'une opération de paiement autorisée initiée par un PSP initiateur et mal exécutée, inexécutée ou exécutée avec retard.
Sécurité, authentification et données personnelles : clefs du bon fonctionnement
Au cours de ces dernières années, les technologies liées aux services de paiement n'ont cessé de se développer et de s'affiner, augmentant significativement le niveau de risques (usurpation d'identité, fraude de type hameçonnage, etc.) dans les services de paiement.
Lors de la conclusion des conventions de compte et contrats-cadres de services de paiement, les PSP gestionnaires remettent aux clients des identifiants/codes d'accès personnalisés leur permettant d'accéder aux informations de leur compte de paiement et de réaliser des opérations en se connectant sur un site Internet dédié. À l'appui de leurs activités, les PSP gestionnaires ont ainsi investi d'importants moyens pour le déploiement de solutions informatiques sécurisées et respectant la législation sur la protection des données confidentielles. En plus de profiter aisément de ces plates-formes, les PSP tiers sont susceptibles de mettre en cause la sécurité présentée par celles-ci lors de leurs interventions. D'ores et déjà, la pratique développée par certains agrégateurs et initiateurs, consistant à demander au client ses identifiants et codes d'accès personnalisés afin de se connecter à son compte, a provoqué de nombreux remous. En plus de contrevenir aux conditions générales des conventions de compte et contrats-cadres, elle pose de nombreuses questions en matière de protection des données confidentielles et de leur exploitation par les PSP tiers. La DSP2 prévoit notamment que les PSP tiers devront s'assurer que les identifiants sécurisés des utilisateurs de services de paiement ne sont pas accessibles à d'autre partie et fassent l'objet de transmission effective et sûre. Également, à chaque session d'échange, les PSP tiers devront s'identifier eux-mêmes auprès du PSP gestionnaire concerné et communiquer de manière sécurisée avec celui-ci. Concernant les données, les PSP tiers ne devront pas stocker les informations sensibles liées aux opérations auxquelles ils participent (ce terme incluant les identifiants et codes d'accès personnels des clients mais pas leurs noms et numéros de compte), ni demander des informations qui ne sont pas nécessaires à l'exercice de leurs activités ou encore traiter des informations recueillies pour des fins autres que la fourniture du service demandé.
Les manœuvres post-DSP2 ont déjà commencé
Alors que des précisions doivent encore être apportées, à travers notamment les orientations et normes techniques de l'Autorité Bancaire Européenne (sur les mesures de sécurité, le passeport européen, etc.), cette réglementation accompagne favorablement l'effervescence connue par le marché des services de paiement.
Les banques ne manquent pas d'atouts pour s'adapter et repenser leur business model (important réseau de distribution, clientèle préexistante, capacité d'investissement et bien sûr savoir-faire technique) et faire face à l'opportunisme affiché de certains opérateurs moins régulés. Certaines se sont ainsi déjà pleinement lancées dans l'aventure, avec succès (Paylib) ou non (Kwixo). D'autres ont choisi de profiter des avancées technologiques des PSP tiers, par le biais d'acquisition ou de partenariat. Crédit Mutuel Arkéa a ainsi non seulement investi dans Linxo, mais également conclu un partenariat commercial avec cet agrégateur au travers sa filiale Fortunéo. Boursorama a de son côté récemment annoncé l’acquisition de l'agrégateur Fiduceo.
De leurs côtés, les fintech multiplient les initiatives visant à promouvoir leurs activités. Au mois de juin 2015, a ainsi été lancée l'association France fintech, chargée de fédérer et de représenter trente-six sociétés utilisant des modèles innovants et disruptifs, notamment dans les services de paiement (avec entre autres Bankin et Linxo). De quoi leur assurer un poids conséquent pour faire entendre leur voix lors de la transposition, en droit français, de la DSP2.
