L’économie numérique à l’heure de la DSP 2.0

Le temps du législateur. 2007, le temps de la publication de la première directive concernent les services de paiement, dite « DSP [1] » ; 2009, celui de sa transposition (et de la révolution !) en droit français par une ordonnance du 15 juillet. Depuis, l’expansion considérable du commerce en ligne et le développement des paiements par téléphonie mobile (et autres objets connectés) a ouvert une nouvelle ère, celle du « paiement numérique ». Un Livre vert jeté comme une bouteille à la mer le 11 janvier 2012 [2] , avec pour rivage un « paquet paiement » daté du 24 juillet 2013 et composé d’une proposition de DSP [3] et de règlement relatif aux commissions multilatérales d’ interchange [4] , annonçait le temps du droit nouveau (nouvelle révolution ?). La publication au Journal officiel de l’Union européenne du 23 décembre 2015 de la directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n° 1093/2010, et abrogeant la directive 2007/64/CE modernise ainsi le droit des paiements en l’adaptant au temps du 2.0 [5] . L’horizon est désormais fixé au 13 janvier 2018, date butoir de transposition de la DSP 2.

La future loi fondamentale du droit des services de paiement consolide (I.), clarifie (II.) et innove (III.).

I. Les consolidations

Si la DSP a été une révolution pour le droit des paiements, la DSP 2 est avant tout une consolidation de l’existant, tant sur le plan de l’organisation institutionnelle du marché des paiements que sur le terrain du régime des opérations de paiement. Quelques nouveautés sont malgré tout à noter, car le cadre institutionnel en sort enrichi et la sécurité des opérations renforcée.

Un cadre institutionnel enrichi. Le schéma institutionnel mis en place en 2007 est conservé dans tous ses aspects. Les services de paiements sont l’objet d’un monopole, confiés à des prestataires particuliers : les prestataires de services de paiement [6] . Ceux-ci sont réglementés : ils doivent être agréés par une autorité compétente [7] et sont ensuite soumis à des obligations permanentes, contrôlées par la même autorité [8] ou, si le prestataire est une banque systémique, par la Banque Centrale Européenne [9] . L’agrément vaut passeport dans tous les pays de l’Espace économique européen [10] .

Mais l’organisation du marché des paiements évolue tout de même, pour tenir compte des mutations du système européen de surveillance financière dont le marché des paiements avait été jusque-là tenu à l’écart. Le cadre institutionnel connaît donc une innovation notable avec l’entrée en scène de l’Autorité bancaire européenne (ci-après ABE [11] ). Instituée en 2010 pour surveiller le secteur bancaire, l’ABE n’avait pas hérité de compétences en matière de services de paiement. La DSP 2 décalque donc le dispositif mis en place pour la surveillance des établissements de crédit et qui siège désormais dans la CRD 4 [12] : les autorités compétentes pour superviser les acteurs du paiement sont chapeautées par l’ABE. Celle-ci endosse un rôle important sur le terrain réglementaire, puisqu’elle est chargée de définir un certain nombre de normes techniques que devront respecter les prestataires [13] . Comme toutes les autorités européennes de surveillance, elle devient l’autorité des autorités [14] et va les superviser pour les questions concernant le retrait d’agrément et l’octroi de dérogations [15] . Elle centralisera les informations relatives aux acteurs par le biais d’un registre central [16] .

La sécurité des opérations renforcée. La DSP 2 reprend aussi le cadre applicable aux relations entre les prestataires et les utilisateurs, dont elle fixe les droits et obligations réciproques [17] . La fourniture de services de paiement est toujours soumise à des conditions de transparence et à des mesures d’information (quelque peu renforcées [18] ). Elle se concrétise par la réalisation d’opérations de paiement dont le régime avait été fixé par la DSP et qui se trouve reconduit [19] , tout en étant adapté aux nouveaux services consacrés par la DSP 2, notamment à l’initiation de paiement (cf. infra). À part ces innovations, la seule nouveauté résulte du régime mis en place pour les prélèvements, les prélèvements par carte et les retenues de garanties [20] .

Le développement du commerce électronique et des paiements par Internet a toutefois conduit le législateur européen à renforcer la sécurité des opérations d’un double point de vue. Sur un plan technique, la DSP 2 pose des exigences de principe en termes d’ authentification [21] et de gestion des risques opérationnels [22] , exigences dont les modalités devront être précisées par l’ABE. L’authentification forte du client repose « sur l’utilisation de deux éléments ou plus appartenant aux catégories “connaissance” (quelque chose que seul l’utilisateur connaît), “possession” (quelque chose que seul l’utilisateur possède) et “inhérence” (quelque chose que l’utilisateur est) et indépendants [...] qui est conçue de manière à protéger la confidentialité des données d’ authentification [23] ». Elle est requise lorsque le payeur accède à son compte en ligne, initie une opération de paiement électronique et exécute, à distance une action susceptible de comporter un risque de fraude [24] . «Action susceptible de comporter un risque de fraude» : on a connu règle mieux assise. On attendra donc le résultat du Discussion Paper on future Draft Regulatory Technical Standards on strong customewr authentification and secure communication under the revised Payment Services Directive (PSD2), publié par l’ABE le 8 décembre 2015. Où l’on craint que le futur droit des services de paiement trouve sa source davantage dans les normes techniques de l’ABE que dans la DSP 2.

Sur le terrain juridique, le partage des responsabilités en cas de perte, vol ou détournement de la carte est aménagé au bénéfice du payeur : dans ces hypothèses, ce dernier ne peut plus être tenu de supporter les opérations de paiement non autorisées que jusqu’à 50 euros [25] (contre 150 euros dans le régime antérieur). Cette franchise ne s’applique par lorsque l’opération a été réalisée sans recours à un dispositif d’authentification forte. Le 3D Secure, après s’être imposé par la pratique, se voit donc attribué une légitimité juridique.

II. Les clarifications

La DSP 2 procède principalement à deux clarifications bienvenues quant au champ d’application de la réglementation des services des paiements : elle purge la polémique qui s’était développée autour de l’activité des marketplaces et précise le périmètre de l’exclusion pour les opérateurs de téléphonie mobile qui ont, depuis 2007, pris une place significative sur le marché des paiements.

Inclusion des marketplaces réalisant de l’encaissement pour compte de tiers dans le champ du statut. Les marketplaces, ou places de marché, mettent en relation des vendeurs et des acheteurs sur Internet. Lorsque la mise en relation se concrétise par une transaction, les marketplaces proposent généralement un service de paiement en ligne et encaissent les sommes versées par les acheteurs (payeurs) pour le compte des vendeurs (bénéficiaires) au profit desquels elles reversent ensuite les montants dus. Cette activité, dite d’« encaissement pour compte de tiers » a été analysée par certaines autorités nationales comme relevant du champ de la DSP. Tel était le cas de l’ACPR qui a enjoint à plusieurs marketplaces françaises d’adopter un statut les autorisant à fournir des services de paiements [26] . L’analyse pouvait prêter à discussion [27] et toutes les autorités n’avaient pas adopté la même position, certaines admettant au contraire que les marketsplaces pouvaient bénéficier de l’exclusion que consacrait la DSP pour les agents commerciaux. La DSP 2 tranche la question, du moins implicitement. Sans prendre expressément position sur l’activité d’encaissement pour compte de tiers, elle précise aujourd’hui le champ de l’exclusion consacrée au profit des agents commerciaux. Pour être exclue du champ de la DSP2, l’opération de paiement réalisée par l’intermédiaire d’un agent commercial doit faire intervenir celui-ci uniquement pour les payeurs ou pour les bénéficiaires [28] , ce qui exclut les plates-formes mettant en relation ces deux types d’acteurs. La condition posée pour l’exclusion des services par les prestataires techniques confirme l’analyse : pour que ces services échappent à la DSP 2, il est nécessaire que le prestataire n’entre, à aucun moment, en possession des fonds à transférer [29] . La messe est donc dite : les marketsplaces qui continuent leur activité d’encaissement pour compte de tiers devront trouver une solution pour se conformer aux règles de la DSP 2, soit en adoptant le statut d’établissement de paiement, soit en devenant agent d’un prestataire de service de paiement. Le droit des services de paiement complexifie ainsi le cadre juridique applicable à certains grands acteurs du monde numérique.

Périmètre de l’exclusion des opérations de paiement proposées par les opérations de téléphonie ou de télécommunications. Depuis la DSP, le développement des smartphones, des tablettes et la place plus généralement prise par les téléphones mobiles dans la vie quotidienne a conduit les opérateurs de téléphonie et de télécommunications à offrir la possibilité à leurs clients de payer des biens ou services par diverses applications. Les enjeux commerciaux attachés à la fourniture de telles solutions de paiement ont évidemment nourri d’importantes réflexions sur le périmètre de la réglementation des services de paiement. La DSP avait déjà consacré une exception dite « telco ». La DSP 2 vient à la fois la préciser et l’élargir en accueillant la demande des opérateurs de pouvoir de facturer des biens autres que des biens dits « numériques » sous un plafond raisonnable. Ainsi, les opérations de paiement proposées par un fournisseur de réseaux ou de services de communications électroniques, en plus de services de communications électroniques, pour un abonné au réseau ou au service, sont exclues de son champ d’application dans deux hypothèses : si elles servent à l’achat de contenu numérique et de services vocaux, d’une part, ou si elles sont exécutées depuis ou au moyen d’un dispositif électronique correspondant dans le cadre d’activités caritatives ou pour l’achat de billets sans dépasser un montant de 50 euros, et se limitent à un plafond de 300 euros par mois (préfinancé ou non), d’autre part. Une condition commune est par ailleurs posée : l’opération doit être imputée sur la facture émise par l’ opérateur [30] .

Cette exclusion reste donc limitée et elle n’est pas de nature à dispenser les opérateurs de téléphonie mobile ou de télécommunications qui veulent développer des services de paiement de l’obligation de se constituer en établissement de paiement ou a minima d’en devenir agent.

Réseau limité. On notera que la DSP 2 réaménage aussi l’exception dite de « réseau limité », qui permet aux enseignes commerciales d’un même réseau mettant à disposition de leurs clients des instruments permettant d’acquérir des biens ou services d’échapper à la directive et qui s’applique aussi aux instruments pouvant être utilisées pour acquérir un éventail « très » limité (la précision est nouvelle) de biens ou services. La DSP 2 étend cette exception aux instruments fournis à la demande d’une entreprise ou d’une entité publique à des fins sociales ou fiscales [31] .

III. Les innovations

Le compte de paiement : entre ceux qui le tiennent et ceux qui y ont accès. On l’a vu, la DSP 2 est davantage un texte de consolidation que de rupture, ce qui, au demeurant, n’en fait pas une loi moins digne d’intérêt. Mais rupture, cependant, il y a, et importante. Car, bientôt, une summa divisio inédite distribuera le droit des services de paiement selon que les PSP seront, ou non, gestionnaires de comptes.

Les PSP gestionnaires de compte (account servicing payment service provider) ont désormais leur définition : ce sont ceux qui fournissent et gèrent un compte de paiement pour un payeur [32] . À cet égard, le texte complémentaire de la DSP 2 n’est pas tellement le règlement CMI mais davantage la directive 2014/92/UE du 23 juillet 2014 sur la comparabilité des frais liés aux comptes de paiement, le changement de compte de paiement et l’accès à un compte de paiement. Les PSP traditionnels n’aiment pas beaucoup la DSP 2. On le comprend, ils auront l’obligation de donner accès aux comptes qu’ils tiennent. De ne peut-être pas donner les clés du coffre, mais d’en laisser la porte ouverte.

Encore indûment qualifiés de « tiers », et hier réunis dans la catégorie des prestataires de services fondés sur l’accès aux comptes, deux acteurs à part entière et indépendant sont promus (et régulés ne faut-il pas oublier) : les prestataires de services d’initiation de paiement (nouveaux services de paiement 7) et les prestataires de services d’information sur les comptes (nouveaux service 8 [33] ).

Les prestataires de services d’initiation de paiement. Le service d’initiation de paiement (payment initiation service) s’entend d’« un service consistant à initier un ordre de paiement à la demande de l’utilisateur de services de paiement concernant un compte de paiement détenu auprès d’un autre prestataire de services de paiement [34] ».

L’illustration est celle-ci : dans le domaine du commerce électronique, les services d’initiation de paiement « interviennent dans les paiements dans le cadre du commerce électronique en établissant une passerelle logicielle entre le site internet du commerçant et la plateforme de banque en ligne du prestataire de services de paiement gestionnaire de compte du payeur en vue d’initier des paiements par internet sur la base d’un virement [35] ».

Les prestataires de services d’initiation de paiement sont des établissements de paiement comme les autres, dont l’exercice est donc soumis à agrément. Leur capital initial ne pourra être inférieur à 50 000 euros, soit une valeur intermédiaire entre le plancher de 20 000 euros imposé aux prestataires du service 6 de transmission de fonds et celui de 120 000 euros requis des prestataires des autres services de 1 à 5.

Les prestataires de services d’information sur les comptes. C’est un signe : ceux-là ne sont pas soumis à agrément mais à simple enregistrement, sans doute parce qu’il est moins dangereux de lire un compte que de le mouvementer.

Le service d’information sur les comptes (account information service) est défini comme « un service en ligne consistant à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l’utilisateur de services de paiement soit auprès d’un autre prestataire de services de paiement soit auprès de plus d’un prestataire de services de paiement [36] ».

Aux termes du considérant 28 de la DSP 2, « ces services fournissent à l’utilisateur de services de paiement des informations agrégées en ligne concernant un ou plusieurs comptes de paiement qu’il détient auprès d’un ou plusieurs autres prestataires de services de paiement et sont accessibles via des interfaces en ligne du prestataire de services de paiement gestionnaire du compte. L’utilisateur de services de paiement est donc en mesure d’avoir immédiatement une vue d’ensemble de sa situation financière à un moment donné ».

Et encore ? À côté de ces deux innovations, une dernière semble voir le jour. Les « émetteurs d’instruments de paiement liés à une carte » (en anglais card-based payment instrument issuers) se voient reconnaître un droit à confirmation de la disponibilité des fonds, puisque la DSP 2 prévoient que « les États membres veillent à ce qu’un prestataire de services de paiement gestionnaire du compte, à la demande d’un prestataire de services de paiement qui émet des instruments de paiement liés à une carte, confirme immédiatement si le montant nécessaire à l’exécution d’une opération de paiement liée à une carte est disponible sur le compte de paiement du payeur [37] ».

La chronique Nouveaux moyens de paiement, banque digitale et protection des données est assurée par Pierre Storrer et Myriam Roussille.

1 Dir. 2007/64/CE, 13 novembre 2009. 2 Vers un marché européen intégré des paiements par carte, par internet et par téléphone mobile, COM(2011) 941 final. 3 P. Storrer, « De la DME 2 à la DSP 2 : le nouvel horizon des paiements », Banque et Droit n° 152, nov.-déc. 2013, p. 8. 4 Règlement (UE) n° 2015/751 du Parlement européen et du Conseil, du 29 avril 2015, relatif aux commissions multilatérales d’interchange pour les opérations de paiement liées à une carte : M. Roussille, « Le règlement sur les commissions multilatérales d’interchange révolutionne le modèle économique de la carte de paiement », Banque et Droit n° 162, juillet-août 2015, p. 60. 5 Cf. P. Storrer, « Abécédaire de la DSP 2 », Rev. Banque n° 793, févr. 2016. 6 Titre II de la DSP 2, art. 5 à 37. 7 DSP 2, art. 5 et s. 8 DSP 2, art. 22 et s. 9 Les prestataires de services de paiements sont énumérés par l’article 1er de la DSP 2 qui vise notamment les établissements de crédit (prestataires historiques), les établissements de monnaie électronique (agréées et surveillés selon les prescriptions de la directive 2009/110/CE dite DME 2) et les établissements de paiements qui sont règlementés par la DSP 2. L’Union bancaire résulte du règlement (UE) n° 1024/2013 du Conseil 15 oct. 2013. 10 Sur les conditions à remplir pour bénéficier de la libre circulation : DSP 2, art. 28 11 Ou encore EBA pour European Banking Authority. L’ABE est l’Autorité européenne de surveillance dans le domaine bancaire qui a été instituée par le règlement (UE) n° 1093/2010 du Parlement européen et du Conseil du 24 novembre 2010. 12 Dir. 2013/36/UE du Parlement européen et du Conseil 26 juin 2013. 13 Elle va élaborer des orientations applicables aux demandes d’agrément et pourra élaborer des projets de normes techniques de réglementation en la matière (DSP 2, art. 5.4 et 5.6). Elle pourra aussi définir les normes techniques applicables l’autorité point de contact pour les établissements de paiement déployant leurs activités sur plusieurs pays (DSP 2, art. 29.5). 14 Elle est ainsi chargée de régler les différends entre les autorités nationales compétentes : DSP 2, art. 27. 15 DSP 2, art. 14.4. 16 DSP 2, art. 15. 17 Titre IV, art. 61 à 106. Certaines obligations des PSP relèvent des règles statutaires qui leur sont applicables, notamment la protection des fonds (DSP 2, art. 10). 18 Les prestataires doivent notamment conclure, hors le cas d’opérations isolées, avec leurs clients des contrats-cadre : chapitre 3 du titre III, art. 50 à 58. Sur les opérations de paiement isolées : chapitre 2 du titre III, art. 43 à 49. 19 Notamment au sein du titre IV, aux articles 61 à 93. Ces règles concernent d’abord les frais pouvant être perçus (art. 62 et 6), ensuite l’autorisation de l’opération qui implique notamment un consentement de la part du payeur (art. 64) et les conséquences d’une opération non autorisée sont précisées (DSP 2, art. 73 et 74) et enfin l’exécution des opérations de paiement (art. 78 à 93). Les différentes obligations du payeur sont rappelées : respecter les conditions d’utilisation de l’instrument de paiement et informer son prestataire en cas de perte, vol, détournement ou toute utilisation non autorisée de l’instrument et une obligation de confidentialité (DSP 2, art. 69). 20 DPS 2, art. 75. 21 DSP 2, art. 97 22 DSP 2, art. 95 et 96. 23 DSP2, art. 4.30. 24 DSP2, art. 97. 25 DSP 2, art. 74. 26 L’activité d’« encaissement pour compte de tiers » s’analyse, selon l’ACPR, comme la fourniture de deux services de paiement : l’acquisition d’ordre de paiement (C. monét. fin., art. L. 314-1, II, 5°) et l’exécution d’opération de virement associée à la gestion d’un compte de paiement (C. monét. fin., art. L. 314-1, II, 3°c). 27 Pour une position critique : M. Roussille, « Marketplaces et services de paiement : jusqu’où ira l’impérialisme de l’ACPR ? », RDBF 2014, alerte 23 ; P. Storrer, « L’encaissement pour le compte de tiers vaut-il fourniture de service de paiement ? », Rev. Banque 2014, n° 777, p. 86. Voir à propos des plate-formes de bitcoins : Th. Bonneau, note sous CA Paris 26 sept. 2013, ch. 1, n° 11/15269, SA Crédit industriel et commercial c/ SAS Macaraja ; JCP E 2014, 1091. 28 DPS 2, art. 3.b). Sur l’explication : considérant n° 11. 29 DSP 2, art. 3, i). 30 Ce que l’on nomme dans la pratique la « facturation opérateur ». 31 DSP 2, art. 3, j). 32 DSP 2, art.4. 17. 33 F. Coupez, « Agrégateurs d’informations et initiateurs de paiement : des prestataires en mal de réglementation ? », Revue Banque n° 776. 34 DSP 2, art. 4.15. 35 DSP 2, cons. 27. 36 DSP 2, art.4. 16. 37 DSP 2, art. 65). La DSP 2 devrait ainsi contribuer à faire circuler les données de paiement et nourrir de nouvelles applications dans le domaine.