DSP2 : entre continuité et innovation

L’entrée en application de la DSP1 en 2009 avait bouleversé le marché des paiements et provoqué une rupture inédite dans la relation traditionnelle banque-client, en créant un cadre juridique moderne et harmonisé pour les services de paiement et une nouvelle catégorie de prestataires de services de paiement (PSP) ; la DSP2 permet d'adapter ce cadre réglementaire aux nouveaux usages et aux nouveaux services dans ce secteur d’activité très innovant.

La DSP2 s’inscrit dans la continuité de la DSP1 en poursuivant l’objectif de développement d’un marché intérieur intégré des services de paiement. Elle poursuit le travail d’harmonisation initié en 2009 en consolidant son champ d’application et en mettant en place de nouveaux outils pour renforcer la mise en œuvre harmonisée de ces dispositions. Elle fait également une large place à l’innovation en ajoutant des nouveaux services de paiement et en intégrant de nouveaux acteurs réglementés, tout en veillant à les soumettre à un cadre réglementaire proportionné aux risques qu’ils génèrent.

I. Une harmonisation renforcée

L’analyse d’impact de la DSP1 a permis de constater que les objectifs de cette directive étaient globalement atteints, mais elle a également relevé l’existence de certaines difficultés liées à des divergences d’application entre les États membres et à la persistance de règles nationales se superposant aux règles harmonisées. Ainsi, l’élargissement du champ d’application de la directive et le franchissement d’une nouvelle étape vers l’harmonisation se sont révélés nécessaires pour accroître l’efficacité du dispositif, lutter contre les pratiques d’arbitrage réglementaire et garantir des conditions de concurrence équitables entre les acteurs.

1. Élargissement du champ d’application

Consacrant la pratique de certains États membres [1] , la DSP2 étend son champ d'application territorial et monétaire. Ainsi, les dispositions relatives à l’information des utilisateurs (titre III) et aux conditions d’exécution des opérations de paiement (titre IV) s’appliqueront à l’avenir aux opérations en toutes devises lorsque le ou les PSP impliqués dans l'opération de paiement sont situés dans l'UE ou lorsqu’un seul des PSP engagés dans la transaction est situé au sein de l’UE, pour la partie de la transaction qui se déroule dans l’UE (one-leg transactions).

L’élargissement du champ d’application de la directive se concrétise aussi par un resserrement de ses exclusions. Des précisions ont en effet été apportées pour mettre un terme aux applications divergentes de ces exclusions : elles ont parfois conduit à faire sortir indûment certaines activités du champ de la directive, exposant les utilisateurs à des risques accrus et faussant la concurrence entre les intervenants réglementés et non réglementés.

C’est en particulier le cas pour l’exclusion prévue pour les agents commerciaux. La DSP2 lève toute ambiguïté en indiquant expressément que cette exclusion ne s’applique que lorsque l’agent commercial agit uniquement pour le compte de l’acheteur ou pour celui du vendeur et qu’elle n’a pas vocation à s’appliquer aux « plateformes de commerce électronique agissant en qualité d’intermédiaires pour le compte à la fois d’acheteurs et de vendeurs sans disposer d’une marge réelle pour négocier ou conclure l’achat ou la vente de produits ou de services » [2] . Les agents qui agissent tant pour les acheteurs que pour les vendeurs ne devraient finalement être exclus que s’ils « n’entrent à aucun moment en possession des fonds des clients ni n’exercent de contrôle sur ces fonds » [3] .

Il en est de même pour l’exclusion Réseau limité, dont la définition est modifiée afin de la rendre plus restrictive. Ainsi, les instruments visés devront non seulement respecter les critères liés au réseau limité d’accepteurs ou à l’éventail limité de biens et services susceptibles d’être acquis [4] , mais en outre, ils devront être « spécifiques » et leur usage « limité ». Le considérant 13 précise à cet égard qu’un même instrument ne devrait pas permettre d’acquérir des biens et services au sein de plus d’un réseau limité, ni d’acquérir un éventail illimité de biens et services, avant de préciser les cas dans lesquels ces conditions devraient être réputées remplies.

Ces modifications des exclusions du champ d’application de la directive ne devraient pas révolutionner la pratique française en la matière, qui est toujours restée proche de la lettre de la DSP1. L’interprétation stricte retenue par l’ACPR a ainsi été confirmée par la DSP2.

La situation est plus ambiguë en ce qui concerne l’exclusion dite « Telco », dont bénéficient les opérateurs de télécommunication. En effet, l’exclusion prévue par la DSP1 pour les paiements réalisés auprès des opérateurs pour l'acquisition de biens et services numériques a fait l’objet d’une application parfois excessive dans certains pays, conduisant à l’exclusion pure et simple du champ de la DSP1 de certains opérateurs exerçant pourtant une large activité d’intermédiation. L’objectif affiché par le considérant 15 de la DSP2 est de « restreindre les conditions d’application » de cette exclusion. Cependant, les activités visées dans la DSP2 sont plus larges qu’auparavant : elles couvrent non seulement les biens et services numériques, mais également les encaissements de dons au profit d'associations caritatives et les paiements réalisés pour l’achat de tickets électroniques (transport, divertissement, stationnement, billets d’accès, à l’exclusion des biens physiques). On peut toutefois noter que ces modifications n’ont pas le même impact selon les États, en fonction de l’application plus ou moins mesurée qui a été faite de cette exclusion sous la DSP1. Dans certains États, il s’agit d’un resserrement de cette exclusion, alors qu’en France, il s’agit plutôt d’une extension. En tout état de cause, le bénéfice de cette exclusion est désormais limité aux paiements dont la valeur unitaire n’excède pas 50 euros et dont la valeur cumulée des transactions n’excède pas 300 euros par mois de facturation par abonné, ce qui permet de limiter cette exclusion « aux paiements présentant un profil de risque peu élevé » [5] .

Enfin, la DSP2 s’inspire de la procédure de déclaration préalable instaurée en France dès 2009 concernant les exclusions Réseau limité et Telco. Désormais, les personnes fournissant des services de paiement dans le cadre de ces exclusions devront notifier leurs activités aux autorités compétentes [6] et un rapport d’audit annuel devra être fourni pour justifier du respect des limites fixées dans le cadre de l’exclusion Telco. Cette procédure a pour objet de permettre aux autorités de vérifier que l'activité est exercée dans le respect des critères de la directive. Ces activités devront par ailleurs être signalées à l’ABE et figurer sur le registre de l'État membre concerné et sur le registre européen.

2. Une nouvelle étape vers l’harmonisation complète

L’élargissement du champ d’application de la DSP2 est important pour renforcer la sécurité juridique des acteurs et des utilisateurs de services de paiement, mais la directive est un outil législatif qui laisse la place à des interprétations et à des approches réglementaires différentes. Pour tenter de gommer ces différences et pour s’assurer qu’elles ne freinent pas la fourniture de services de paiement transfrontalière, la DSP2 franchit une nouvelle étape vers l’harmonisation complète des réglementations nationales en octroyant un rôle central à l’Autorité bancaire européenne (ABE) et en lui confiant d’importantes responsabilités dans trois domaines.

L’ABE a tout d’abord un rôle d’information du public puisqu’elle est chargée de mettre en place un registre européen des établissements de paiement qui aura pour vocation de faciliter l’accès du public à la liste des entités fournissant des services de paiement. Ce registre agrégera les informations contenues dans les registres nationaux et sera alimenté par les autorités compétentes. Sa consultation sera ouverte au public, gratuite et devra être facile d’usage.

Le règlement des différends entre les autorités compétentes des États membres fait également partie des nouvelles attributions de l’ABE. Les autorités compétentes pourront la saisir lorsque la coopération transfrontalière ne sera pas conforme aux règles posées par la directive. Son rôle sera alors d’aider les autorités nationales à trouver un accord dans le cadre d’une phase de conciliation et, en cas d’échec, d’arrêter une décision qui s’imposera à elles. L’ABE pourra aussi aider les autorités à rechercher un accord de sa propre initiative. En tout état de cause, les autorités concernées seront tenues de suspendre leur décision en attendant le règlement de l’ABE.

Enfin, l'ABE est chargée de préparer onze textes complémentaires sur des sujets variés et parfois stratégiques qui viendront compléter le dispositif de la DSP2. Cette multiplication des mesures d’application et d’interprétation démontre une volonté du législateur européen de faire converger les pratiques des États membres concernant l’application de cette directive et d’éviter les divergences d’interprétation que l’on a pu observer sous la DSP1.

Des normes techniques de réglementation (RTS) et d'exécution (ITS) sont ainsi prévues dans des domaines comme le registre de l'ABE, les modalités de la coopération entre les autorités compétentes ou les modalités d'authentification et de communication sécurisée. Une fois approuvées par la Commission européenne, ces mesures deviendront respectivement des règlements délégués et des règlements d’exécution. Ceux-ci s’imposeront directement dans l’ordonnancement juridique de tous les États membres sans qu’il soit nécessaire de les transposer.

Enfin, l’ABE est également chargée de rédiger des orientations (guidelines) afin de favoriser la convergence des pratiques dans des domaines comme les informations à fournir dans le cadre d’une demande d’agrément ou les procédures de réclamation. Officiellement, ces orientations publiées par l’ABE ne seront pas contraignantes pour les autorités nationales. Pourtant, celles-ci devront se justifier, soit en indiquant que leur réglementation nationale est conforme à ces orientations, ou éventuellement en indiquant les modifications qu’elles comptent y apporter pour assurer cette conformité, soit en expliquant leur refus d’appliquer ces orientations.

II. L’innovation au cœur de DSP2

Dans la continuité de la directive précédente, la DSP2 crée une nouvelle rupture dans la relation traditionnelle banque-client en créant deux nouveaux services qui viennent s’ajouter à la liste des services de paiement. Il s’agit d’activités innovantes qui permettent à un tiers de s’interposer entre un utilisateur et son PSP gestionnaire de compte. Ces services pourront être fournis par l'ensemble des PSP ou par des prestataires fournissant uniquement l’un ou l’autre de ces services. Le cadre réglementaire existant a donc dû être ajusté pour accueillir ces nouveaux services et s’adapter à l’arrivée de nouveaux acteurs.

1. Nouveaux services et nouveaux acteurs

Les nouveaux services sont, d’une part, le service d'initiation de paiement qui consiste à initier un ordre de paiement à la demande d'un utilisateur à partir d'un compte de paiement détenu auprès d'un autre PSP et, d’autre part, le service d'information sur les comptes qui consiste à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l'utilisateur auprès d'un ou plusieurs autres PSP.

Ces activités sont fondées sur des technologies innovantes et sont nées du développement et de la démocratisation de l’accès à la gestion des comptes de paiement sur Internet. Elles existent d’ores et déjà dans certains États membres, mais ne sont pas exercées dans un cadre harmonisé, ce qui constitue un frein à leur développement. Elles sont par ailleurs rarement régulées, ce qui implique des risques en termes de sécurité, de protection des données et de responsabilité.

La particularité de ces activités est l’absence d’entrée en possession des fonds des clients, le service d’information sur les comptes n’entraîne même aucun contrôle de ces fonds, ni aucune opération de paiement. Le prestataire fournit donc ses services en s’appuyant sur les comptes de paiement tenus par d’autres PSP et en fournissant un service complémentaire aux services de paiement traditionnels.

Pour ces acteurs, cette qualification de service de paiement crée des contraintes réglementaires puisqu’ils devront désormais se soumettre à des procédures d’agrément ou d’enregistrement et que l’exercice de leurs activités devra se faire dans le cadre d’un corpus de règles qui peuvent être vues comme contraignantes. Toutefois, cela leur permettra de gagner en légitimité auprès des utilisateurs et des PSP gestionnaires de comptes et d’exporter leurs services dans toute l’Union européenne.

Par ailleurs, l’absence de détention des fonds des utilisateurs a conduit le législateur européen à considérer que ces nouveaux services présentaient un risque modéré et à adapter les conditions d’exercice et le régime prudentiel en conséquence.

Ainsi, les prestataires qui n’exercent que le service d’initiation de paiement seront agréés comme n’importe quel autre établissement de paiement mais bénéficieront d’exigences prudentielles assouplies avec un capital initial de 50 000 euros et aucune autre exigence en fonds propres. Les personnes physiques ou morales qui n’exercent que le service d’information sur les comptes seront quant à elles dispensées d’agrément et d’exigences prudentielles. Elles devront seulement se soumettre à une procédure d’enregistrement spécifique.

Toutefois, les prestataires d’initiation de paiement comme les prestataires d’information sur les comptes devront être couverts par une assurance de responsabilité civile professionnelle ou une garantie équivalente couvrant les territoires où ils fournissent leurs services et dont le montant minimal devra être déterminé selon les critères définis par une orientation à venir de l’ABE.

Enfin, ce nouveau statut permettra aux prestataires fournissant ces services de bénéficier de la reconnaissance mutuelle et d’exercer leurs activités en libre établissement ou en libre prestation de services dans tous les États membres ou partie à l’Espace économique européen.

2. L’adaptation du cadre législatif

Le partage de l'accès aux comptes de paiement est une condition préalable à la fourniture de ces nouveaux services de paiement. Une modification du cadre législatif était nécessaire pour permettre et garantir cet accès. Les prestataires d’initiation de paiement pourront accéder en ligne au compte de paiement de l’utilisateur afin d’initier un paiement, sans pouvoir en modifier le montant, le bénéficiaire ou toute autre caractéristique. De même, les prestataires d’information sur les comptes pourront accéder en ligne aux informations des comptes de paiement désignés et aux opérations de paiement associées.

Ce droit d’accès est considéré par les acteurs traditionnels comme une source de faille potentielle dans leurs dispositifs de sécurité. Toutefois, les risques induits par ce droit d’accès doivent être appréciés en regard des mesures adoptées pour renforcer la sécurité et de la réorganisation des règles de responsabilité.

Le renforcement de la sécurité par la DSP2 revêt deux aspects principaux. Le premier concerne l’ensemble des PSP et est déconnecté de l’apparition des nouveaux services. Il s’agit de la généralisation de l’authentification forte qui devient la règle lorsque l’utilisateur accède à son compte de paiement en ligne, lorsqu’il initie une opération de paiement électronique et lorsqu’il exécute une action, avec un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

L’authentification forte s’applique également lorsque les paiements sont initiés par l’intermédiaire d’un prestataire d’initiation de paiement et lorsque l'information est demandée par un prestataire d’information sur les comptes. Toutefois, elle ne doit pas constituer un frein au développement de ces nouveaux services. Le législateur européen a donc prévu que le PSP gestionnaire du compte devrait permettre aux prestataires d’initiation de paiement et d’information sur les comptes de se fonder sur l'authentification forte prévue à l'intention de l'utilisateur de services de paiement. Des normes techniques de réglementation, en cours de préparation par l’ABE, préciseront les modalités de cette authentification. En tout état de cause, le PSP gestionnaire de compte restera toujours responsable de l’authentification de l’utilisateur.

Le second apport de la DSP2 en matière de sécurité est directement lié à l’apparition des nouveaux services puisqu’il s’agit de la mise en place de règles de communication entre les PSP. Cette communication est en effet indispensable pour initier des paiements ou fournir des informations sur les comptes tenus par d’autres PSP. La DSP2 prévoit que la communication devra s’effectuer dans le respect de normes de communication ouvertes, communes et sécuriséesqui seront, elles aussi, définies par des normes techniques de réglementation en cours de préparation par l’ABE. Ces normes devront garantir l’interopérabilité des différentes solutions techniques de communication, l’information du PSP gestionnaire du compte quant aux personnes qui le contactent (prestataires d’initiation de paiement ou prestataires d’information sur les comptes ou utilisateur) et la sécurité des communications entre les différents PSP et entre les PSP et les utilisateurs.

Au-delà du renforcement des mesures de sécurité, il était indispensable de rééquilibrer le régime de responsabilité mis en place par la DSP1 pour que ce droit d’accès aux comptes de paiement tenus par d’autres PSP soit acceptable par les PSP gestionnaires de comptes. En effet, sous la DSP1 les risques étaient principalement portés par les PSP gestionnaires de comptes qui étaient garants de la sécurité de leurs systèmes et de la bonne exécution des opérations de paiement. Le service d’initiation fait entrer un nouvel acteur dans la chaîne du paiement. Ce nouveau service de paiement déplace donc les risques et nécessite un aménagement des règles traditionnelles de responsabilité.

La DSP2 tient compte de ces changements en rééquilibrant les règles de responsabilité. Ainsi, en matière d’opérations de paiement non autorisées ou mal exécutées, un régime de responsabilité en deux temps est mis en place :

• dans un premier temps, le PSP gestionnaire du compte reste le point d’entrée de l’utilisateur aussi bien pour la correction des opérations que pour le remboursement immédiat du payeur ;
• dans un second temps, chaque PSP impliqué dans l’opération de paiement non autorisée ou mal exécutée est responsable de la partie de l’opération qu’il a exécutée.

Ainsi, en cas de fourniture du service d’initiation de paiement, la charge de la preuve pèse sur le prestataire d’initiation de paiement : il lui appartient de prouver que, dans sa sphère de compétence, l’opération de paiement a été authentifiée, correctement enregistrée et non affectée par une défaillance technique. Il peut également être amené à prouver la fraude ou la négligence grave de l’utilisateur.

 

La DSP2 sera applicable dans les États membres en janvier 2018. En attendant, les législations nationales devront être adaptées aux nouveautés de cette directive et supprimer les éventuelles dispositions qui pourraient être vues comme contraires ou allant au-delà du cadre harmonisé. En effet, il conviendra de prendre en considération le souci de renforcement de l’harmonisation particulièrement marqué dans la DSP2. Enfin, la DSP2 permettra à de nouveaux acteurs d’entrer pleinement dans le marché intégré des paiements et aux acteurs existants d’améliorer leurs relations avec leurs clients.