1. La stratégie de la Commission en matière de paiements de détail. Aux premiers jours de l’automne 2020, la Commission européenne faisait paraître sa communication sur une stratégie en matière de paiements de détail pour l’UE1. On se souvient que cette communication était comprise dans un ensemble plus large, sinon hétéroclite, que l’on appela Digital finance package2, composé d’une autre communication (Une stratégie en matière de finance numérique) et de propositions de textes qui, relatifs aux crypto-actifs (règlement dit MiCA et règlement pour un régime pilote) et à la résilience opérationnelle (règlement dit DORA), ont tôt fait de prendre la lumière.
Concernant les paiements, qui nous intéressent seuls ici, la Commission proclamait sa volonté d’« exploiter pleinement le potentiel »3 de la DSP 2, tout en garantissant « un haut niveau de sécurité pour les paiements de détail en Europe »4. On retrouve ainsi, en toute logique, le mouvement qui anima la rédaction de la deuxième directive : promotion de l’ouverture (open banking et, à venir, open finance), certes, mais contrebalancée par une sécurité renforcée (lutte contre la fraude, authentification forte, communication commune sécurisée).
À quoi la communication du 24 septembre 2020 ajoutait un volet plus inattendu : l’appel à une redéfinition du champ d’application de la DSP 2 (du droit des services de paiement), à commencer par remettre sur le métier un projet jusqu’ici reculé, celui de la fusion entre DSP 2 et DME 2 ; mais aussi en évoquant la possibilité de règlementer des services à ce jour exclus, comme les services techniques auxiliaires aux services de paiement.
2. L’EBA répond (longuement) à la Commission. Se prévalant, benoîtement5, de la clause de réexamen de l’article 108 de la DSP 2, la Commission lança, le 18 octobre 20216, un « appel à conseil » auprès de l’EBA : Call for advice to the European Banking Authority (EBA) regarding the review of Directive (EU) 2015/2366 (PSD2).
À cette occasion, la Commission posa 28 questions à l’EBA, reparties autour des 9 thèmes suivants, que nous donnons dans leur langue originale – et qui le restera, tout comme l’opinion en réponse : Scope and definitions, Licensing of payment institutions (PIs) and supervision of payment service providers under PSD2, Transparency of conditions and information requirements, Rights and obligations, Strong customer authentication (SCA), Access to and use of payment accounts data in relation to payment initiation services and account information services, Access to payment systems and access to accounts maintained with a credit institution, Cross-sectoral topics et, enfin, Enforcement of PSD2.
En apparence, l’Autorité bancaire européenne a rempli, et dans les temps (son avis a été rendu le 23 juin dernier), la mission qui lui est dévolue par l’article 16 bis, paragraphe 4, de son règlement constitutif (le règlement (UE) n° 1093/2010 du 24 novembre 2010). Il se pourrait tout de même qu’elle l’ait un tant soit peu « surjouée », si l’on veut bien considérer que son avis (EBA/Op/2022/06, 10 pages) et le rapport qui l’accompagne (EBA/Rep/2022/14, 115 pages) font de 28 questions pas moins de 200 propositions d’amendement de la DSP 2 : « The European Banking Authority (EBA) published today an Opinion and Report in response to the European Commission’s Call for Advice (CfA) on the review of the Payment Services Directive (PSD2). In its response, the EBA puts forward more than 200 proposals that would contribute to the development of the single EU retail payments market and ensure a harmonised and consistent application of the legal requirements across the EU »7. Faut-il que la directive, dont pourtant la Commission nous a dit fièrement qu’« elle est devenue une référence mondiale en ce qui concerne la banque ouverte et les opérations sécurisées »8, soit si imparfaite ? Est-il dans le rôle de l’EBA de dénoncer les carences de la loi européenne : « The EBA observed that, while some objectives of the PSD2 have started to materialise, there are still may issues and challenges that need to be addressed »9?
3. Clarifier le champ d’application de la DSP 2. La proposition, manifestement consensuelle, de fusion de la DSP 2 et de la DME 2 apparaît de toute évidence emblématique ; elle verrait principalement (i) les « services » de monnaie électronique intégrer les services de paiement existants, (ii) la réunion sous un même statut (exigences identiques en ce qui concerne la procédure d’agrément, les exigences de capital initial et de fonds propres, etc.) des établissements de paiement (EP) et des établissements de monnaie électronique (EME), ainsi que (iii) l’alignement du régime de distributeur (de monnaie électronique) sur celui d’agent (de services de paiement), comblant par-là un « raté » de la législation actuelle qui était bien commode10. Pourquoi pas, après tout, cela fait longtemps que l’on en parle ; longtemps que l’on se perd en discussions plus ou moins oiseuses sur ce qu’est, ou n’est pas, la monnaie électronique. Mais le risque n’est-il pas grand que l’on se prive de la singularité – et des utilités – d’une forme de monnaie une fois noyée dans le seul et grand bain des services de paiement ?
L’EBA suggère également, et qui serait peut-être inédit, de clarifier la nature de « chaque » service de paiement afin de mieux les distinguer ; clarification qui s’accompagnerait de la fusion entre les services 1 et 2, et entre les services 3 et 4, mais, au contraire, de la scission en deux services de paiement de l’émission et de l’acquisition, à ce jour réunis en un même service 5. Sur ce terrain des key concepts, enfin, un appel à clarification des expressions suivantes est lancé : « ‘payment account’, ‘payment instrument’, ‘electronic payment transaction’, ‘initiation of a payment transaction’, ‘remote payment transaction’, ‘sensitive payment data’ and others »11. Mais là encore, l’avis de l’Autorité bancaire dépasse largement les seuls « conseils techniques » qu’elle est censée donner : appeler à clarifier la nature des services de paiement ou les concepts de compte de paiement et autres n’est jamais que suggérer au législateur européen de changer radicalement de méthode.
« Should specific business models or services that are currently not in the scope of the Directive be included? Please include in the assessment in particular new service providers (e.g. ‘white label’-business models), payment instruments with limited purposes, and services provided by ‘technical service providers’ (such as ‘gateways’ or intermediaries in the payment chain) », demandait la Commission dans son Call for advice d’octobre 2021. La réponse de l’Autorité bancaire européenne se révèle plus qu’évasive : oui, il faut introduire des exigences de sécurité spécifiques (authentification forte) pour les schémas de cartes de paiement, les passerelles de paiement (payment gateways) et les marchands, mais sans exiger que ceux-ci soient pour autant agréés ; oui, encore, l’application de certains services exclus du champ de la DSP 2 (agent commercial, réseaux limités, fournisseurs indépendants d’ATM) mérite d’être clarifiée ; et oui, enfin, un traitement réglementaire adapté aux modèles commerciaux « white label » (marque blanche) se justifie12.
4. Poursuivre l’ouverture de l’accès aux comptes. « The proposed amendments include: (...) moving from ‘Open banking’ to ‘Open finance’ (or otherwise the expansion from access to payment accounts data towards access to other types of financial data) and the opportunities and potential challenges associated with it, based on the PSD2 experience »13. Cela rejoint à l’évidence la volonté de la Commission européenne, qui n’hésitait pas à réaffirmer qu’« elle croit fermement au potentiel de la banque ouverte et qu’elle est résolue à faire en sorte que la DSP2 soit une réussite »14.
Sauf que ce mouvement de la banque ouverte à la finance ouverte n’est absolument pas du ressort de la DSP 2, qui ne peut disposer, par définition, qu’à l’égard des seuls comptes de paiement, en relation avec la fourniture de services de paiement. On se souvient suffisamment, lors de l’adoption de la directive, combien la prétention de quelques prestataires nouveaux d’accéder à tous les comptes financiers avait provoqué des débats stériles pour ne pas y revenir, cette fois sur le terrain de l’open finance. La Commission, au demeurant, le dit très bien dans ses deux communications stratégiques de septembre 2020 : la DSP 2 a fait œuvre de laboratoire, mais seul un texte (beaucoup) plus large permettrait de légiférer sur la finance ouverte.
L’on pourrait également se rappeler qu’open banking et open finance sont un « luxe » ; que la démonopolisation des services de paiements, puis d’l’ouverture de l’accès aux comptes, risqueraient fort de n’avoir été qu’un mirage si le phénomène de de-risking que le marché bancaire connaît venait à s’installer (trop) durablement. L’EBA s’en est tout récemment alarmée : « The EBA found that de-risking occurs across the EU and affects different types of customers or potential customers of institutions, including specific segments of the financial sector such as respondent banks, payment institutions (PIs) and electronic money institutions (EMIs) (...) »15. Partant, son avis sur la révision de la DSP 2 suggère en particulier que les établissements de crédit qui refuseraient que des EP ou EME aient accès à leurs comptes (on pense naturellement aux comptes de cantonnement), ou résilieraient de tels accords, aient à le justifier, voire à le notifier à leur autorité de contrôle. On eût toutefois apprécié que l’accès, indirect, aux schémas et systèmes de paiement soit également traité.
5. Renforcer la sécurité du paiement et de l’accès aux données. L’EBA reconnaît volontiers que, parmi les objectifs de la DSP 2, « the security requirements, in particular SCA, are having the desired effect of reducing fraud, thus contributing to the objectives of PSD2 of improving security of payment transactions and payments data, and enhancing consumer protection »16 ; des premières analyses l’ont en effet montré17, ce qui conduit l’Autorité, en réponse à la question 13.8 de la Commission, à observer que, manifestement, d’autres mesures de sécurité que la SCA (Strong Customer Authentication) ne s’imposent pas18.
Il n’en demeure pas moins que la question de l’authentification forte du client mériterait d’être éclaircie sur certains points, qui sont : (i) outsourcing/delegating/relying on SCA, (ii) the regulatory treatment of MITs19 and transactions excluded from the scope of SCA, (iii) the need for clarification on the inherence SCA element, its interplay with GDPR and the treatment of behaviour biometrics, (iv) independence of SCA elements, (v) nature of the exemptions from SCA, (vi) clarification on the treatment of refunds and the application of SCA to them et (vii) clarification on the application of the liability regime for cases where an SCA exemption has been applied20. Autant de sujets, on s’en doute, particulièrement sensibles en pratique...
S’agissant, enfin, de la finalité ultime de tout cela : l’accès aux données de compte, le terme de « fragmentation » – d’« API fragmentation », pour être précis – est lâché. D’où cette suggestion, en demi-teinte, de l’EBA : « (...) the EBA proposes that the EC explores the possibility of having a common API standard across the EU. In this respect, the EBA acknowledges that introducing a single API standard at this stage would bring additional compliance costs for ASPSPs and TPPs that have already invested extensive resources in the implementation of current APIs, but on balance, a single API standard across the EU would have significant benefits (...)»21. Sont encore mis sur la table, par l’Autorité bancaire européenne, deux thèmes majeurs : celui, tout d’abord, de la dépendance excessive à l’égard de l’utilisation de l’interface client pour l’accès par les prestataires de services d’initiation de paiement et les prestataires de services d’information sur les comptes, que l’EBA continue à nommer TPP (third party provider) ; celui, encore, de l’application de la SCA au service d’information sur les comptes. Mais nous laisserons le lecteur découvrir par lui-même les développements que le rapport de l’EBA leur consacre22.
