1.
Le fameux règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/2366 du Parlement européen et du Conseil par des normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication, communément nommé « RTS on SCA&CSC » (pour « regulatory technical standards on strong customer authentication and common and secure communication »), continue à faire parler de lui ; gageons que ce ne sera pas la dernière fois.
En jeu, cette fois, le service 8° d’information sur les comptes, dont les prestataires (les « PSIC ») bénéficient, à raison de l’article 10 des RTS, d’une dérogation à l’obligation d’authentification forte du client lorsque celui-ci accède au solde et aux opérations récentes de son compte de paiement, sans divulgation des données de paiement sensibles : « Les prestataires de services de paiement sont autorisés à ne pas appliquer l’authentification forte du client (...) », énonce le paragraphe 1er dudit article.
2. Or voici que cette disposition aurait donné lieu à des pratiques fort divergentes, et jugées négatives par la Commission européenne : certains PSIC exigeraient une authentification forte de leurs clients tous les 90 jours, d’autres à intervalles plus courts, voire à chaque accès d’un client à son compte.
« Cette divergence, observe le considérant 2 du règlement délégué sous commentaire, a engendré des frictions indésirables dans le parcours client lors de l’utilisation des services d’information sur les comptes et¿ a eu une incidence négative sur les services des prestataires de services d’information sur les comptes. » Pour une Commission censée œuvrer à la promotion d’une libre concurrence toujours plus affirmée, une telle appréciation étonne ; comme avait étonné, en son temps, le retour à un régime de prix imposés lorsqu’il fut décidé de plafonner les commissions multilatérales d’interchange appliquées entre prestataires de services de paiement (souvenons-nous de ceci : « La concurrence entre les schémas de cartes de paiement visant à convaincre les prestataires de services de paiement d’émettre leurs cartes entraîne une hausse, et non une baisse, des commissions d’interchange sur le marché, contrairement à l’effet de discipline sur les prix que la concurrence exerce habituellement dans une économie de marché »1).
3. Publié au JOUE du 5 décembre 2022, applicable à partir du 25 juillet prochain, le règlement délégué (UE) 2022/2360 entend par conséquent remédier à cette liberté incongrue, abandonnée aux PSIC, d’appliquer ou non l’article 10 des RTS on SCA&CSC. En somme : « la dérogation devrait être rendue obligatoire »2. Mais cela n’est que l’écume d’une modification autrement plus substantielle, dont on se demande si un règlement délégué peut y procéder.
À partir du considérant 6 du règlement (UE) 2022/2360, s’opère en effet une distinction selon que l’utilisateur de services de paiement (USP) accède aux informations relatives au compte « directement » auprès du prestataire de services de paiement gestionnaire du compte (PSPGC) ou « par l’intermédiaire » d’un PSIC. Dans le premier cas, le PSPGC demeurera libre d’appliquer ou non l’authentification forte du client alors que, dans le second, le PSIC perdra cette liberté, aux termes d’un nouvel article 10 bis ajouté au règlement délégué (UE) 2018/389 et reproduit ci-dessus avec l’article 10.
Mais au fait, la DSP 2 distingue-t-elle, s’agissant du service d’information sur les comptes – comme d’ailleurs celui d’initiation de paiement3 –, selon que l’accès de l’USP est direct ou indirect ? Absolument pas dès lors que, par hypothèse, elle avait pour but de réglementer ces nouveaux intermédiaires de paiement... n
Achevé de rédiger le 15 janvier 2023.
L’article 10 est remplacé par le texte suivant :
« Article 10
Accès aux informations sur le compte de paiement directement auprès du prestataire de services de paiement gestionnaire du compte
1. Les prestataires de services de paiement sont autorisés à ne pas appliquer l’authentification forte du client, sous réserve du respect des exigences définies à l’article 2, lorsqu’un utilisateur de services de paiement accède en ligne à son compte de paiement directement, à condition que cet accès soit limité à l’un des éléments suivants en ligne sans que des données de paiement sensibles soient divulguées :
a) le solde d’un ou de plusieurs comptes de paiement désignés ;
b) les opérations de paiement exécutées durant les 90 derniers jours par l’intermédiaire d’un ou de plusieurs comptes de paiement désignés.
2. Par dérogation au paragraphe 1, les prestataires de services de paiement ne sont pas exemptés de l’application de l’authentification forte du client lorsque l’une des conditions suivantes est remplie :
a) l’utilisateur de services de paiement accède en ligne aux informations visées au paragraphe 1 pour la première fois ;
b) plus de 180 jours se sont écoulés depuis la dernière fois que l’utilisateur de services de paiement a accédé en ligne aux informations visées au paragraphe 1 et que la procédure d’authentification forte du client a été appliquée ».
« Article 10 bis
Accès aux informations sur le compte de paiement par l’intermédiaire d’un prestataire de services d’information sur les comptes
1. Les prestataires de services de paiement n’appliquent pas l’authentification forte du client lorsqu’un utilisateur de services de paiement accède en ligne à son compte de paiement par l’intermédiaire d’un prestataire de services d’information sur les comptes, à condition que cet accès soit limité à l’un des éléments suivants en ligne sans que des données de paiement sensibles soient divulguées :
a) le solde d’un ou de plusieurs comptes de paiement désignés ;
b) les opérations de paiement exécutées durant les 90 derniers jours par l’intermédiaire d’un ou de plusieurs comptes de paiement désignés.
2. Par dérogation au paragraphe 1, les prestataires de services de paiement appliquent l’authentification forte du client lorsque l’une des conditions suivantes est remplie :
a) l’utilisateur de services de paiement accède en ligne aux informations visées au paragraphe 1 pour la première fois par l’intermédiaire du prestataire de services d’information sur les comptes ;
b) plus de 180 jours se sont écoulés depuis la dernière fois que l’utilisateur de services de paiement a accédé en ligne aux informations visées au paragraphe 1 par l’intermédiaire du prestataire de services d’information sur les comptes et que la procédure d’authentification forte du client a été appliquée.
3. Par dérogation au paragraphe 1, les prestataires de services de paiement sont autorisés à appliquer l’authentification forte du client lorsqu’un utilisateur de services de paiement accède en ligne à son compte de paiement par l’intermédiaire d’un prestataire de services d’information sur les comptes et que le prestataire de services de paiement a des raisons objectivement motivées et documentées liées à un accès non autorisé ou frauduleux au compte de paiement. Dans ce cas, le prestataire de services de paiement documente et motive dûment auprès de son autorité nationale compétente, sur demande, les raisons de l’application d’une authentification forte du client.
4. Les prestataires de services de paiement gestionnaires de comptes qui proposent une interface dédiée telle que visée à l’article 31 ne sont pas tenus d’appliquer la dérogation prévue au paragraphe 1 du présent article aux fins du mécanisme d’urgence visé à l’article 33, paragraphe 4, lorsqu’ils n’appliquent pas la dérogation prévue à l’article 10 dans l’interface directe utilisée pour l’authentification et la communication avec leurs utilisateurs de services de paiement. »
![[Web Only] Tarifs bancaires : les banques amortissent l’inflation](http://www.revue-banque.fr/binrepository/480x320/0c0/0d0/none/9739565/MEBW/gettyimages-968963256-frais-bancaires_221-3514277_20240417171729.jpg "[Web Only] Tarifs bancaires : les banques amortissent l’inflation")
