Commentaire de Louise Laïdi
L’ERPB et les services de paiement. L’ERPB, pour
Euro Retail Payment Board
[1]
, a été créée en 2013 par la Banque Centrale Européenne (BCE) pour remplacer le Conseil SEPA. C’est l’organisme au travers duquel la BCE promeut l’innovation des paiements de
détails en euros
[2]
. Il s’agit en apparence d’une simple instance de concertation réunissant des représentants des prestataires, des utilisateurs de
services de paiement
[3]
(USP) et des banques centrales des pays de l’
Union européenne
[4]
. À ce titre, il se réunit deux fois par an. En réalité, l’ERPB est bien plus que cela. Bien que n’étant pas doté de pouvoir décisionnaire, c’est un acteur majeur de l’Europe des paiements : il a un réel pouvoir d’impulsion et son programme de travail traduit les chantiers jugés prioritaires par la
BCE
[5]
.
L’ERPB a ainsi décidé d’ajouter à ce programme « L’intégration paneuropéenne des services d’initiation de paiements », lors de sa dernière réunion du 13 juin 2016. La BCE s’intéresse à l’initiation de paiements depuis plus longtemps, ainsi qu’elle l’a manifesté dans la réponse au Livre vert
« Vers un marché européen intégré des paiements par carte, par internet et par téléphone mobile »
[6]
, qui constituait une consultation lancée par la Commission européenne en 2012 avant l’adoption des textes composant aujourd’hui le paquet Paiement (DSP2, règlement CMI notamment).
Initiation de paiement: de la pratique à la régulation. Depuis quelques années, de nouveaux acteurs sont progressivement apparus pour proposer l’initiation de paiement par internet, alors même que ce service n’était pas prévu dans la directive sur les services des paiements (
DSP
[7]
). Face au développement de cette activité et aux risques qu’elle engendre, la deuxième directive sur les services de paiement (
DSP 2
[8]
) a consacré le service d’initiation de paiement.
De quoi s’agit-il? À la faveur de l’un de ses considérants, le texte les décrit de la façon suivante :
« Ces services de paiement interviennent dans les paiements dans le cadre du commerce électronique en établissant une passerelle logicielle entre le site internet du commerçant et la plate-forme de banque en ligne du prestataire de services de paiement gestionnaire de compte du payeur en vue d’initier des paiements par l’internet sur la base d’un virement »
[9]
. Concrètement, le prestataire de services d’initiation de paiement passe au préalable un contrat avec un e-commerçant. Lorsqu’un acquéreur est sur le point de passer une commande en ligne, il est mis en en contact avec le prestataire qui lui propose d’initier un paiement par virement. Si l’acqué- reur opte pour cette solution de paiement (à la place de sa carte bancaire), il peut alors autoriser le prestataire à accéder à son compte bancaire pour initier le virement. Pour ce faire, il doit en principe transmettre ses codes de banque en ligne, de manière à ce que le prestataire puisse initier le virement. Une fois l’opération de paiement réalisée, l’initiateur en rend compte au e-commerçant, qui peut expédier la commande. La DSP2 encadre l’activité des prestataires de services d’initiation de paiement (PSIP) qui seront tenus d’obtenir l’agrément d’établissements de paiements. Les PSIP devront par ailleurs passer des contrats avec les utilisateurs de services de paiement : les bénéficiaires (qui seront les apporteurs d’affaire) et les payeurs. Mais les rapports des PSIP avec les prestataires de services de paiement gestionnaire de compte (PSPGC), généralement des banques gérant les comptes des payeurs à partir desquels les virements seront réalisés, ne donneront pas nécessairement lieu à un contrat. La Commission et le Parlement ont fait le choix politique de ne pas contraindre ces deux catégories de prestataires à conclure de contrats les uns avec les autres, alors pourtant qu’ils devront échanger pour pouvoir accomplir leurs prestations respectives. De ce fait, c’est la DSP2 qui pose le cadre des relations entre les PSIP et les PSPGC : à défaut d’être régie par le contrat, cette relation sera régie par les textes. Toutefois, les contrats ne sont pas interdits et les acteurs du marché trouveront peut-être intérêt à contractualiser ces relations. La DSP 2 prévoit donc que les PISP devront s’authentifier auprès des PSPGC et communiquer de façon sécurisée avec ces derniers.
Rôle de l’ABE : les normes techniques sur « l’authentification forte et l’interface sécurisée ». L’Autorité Bancaire Européenne (ABE) prépare un projet de RTS sur
« l’authentification forte et l’interface sécurisée »
[10]
. Ces RTS vont constituer une pièce maîtresse pour le bon fonctionnement des relations entre les PSISP et les PSPGC, puisqu’ils définiront les modalités d’authentification et d’échange entre eux. Mais ils ne permettront pas de couvrir tous les aspects indispensables au dialogue entre les PISP et PSPGC, car l’ABE estime qu’elle a un mandat limité et n’a pas vocation à développer et assurer la gouvernance d’une
interface sécurisée
[11]
. Les RTS définiront seulement les principales conditions que devront respecter les multiples interfaces qui se développeront sur le marché. L’ABE a annoncé qu’elle publiera un projet de RTS en août prochain, pour consultation publique. Le projet final sera remis à la Commission européenne début janvier 2017 et entrera en vigueur, après publication, fin 2018.
L’ERPB promeut un marché paneuropéen des services d’initiation de paiement. Dans le cadre de l’ERPB, la BCE a fait remonter certaines inquiétudes des commerçants et a proposé des mesures pour y
remédier
[12]
. Les commerçants en ligne s’inquiètent en effet d’une fragmentation du marché : ils entendent pouvoir utiliser un seul PSIP pour l’ensemble de leurs clients, ce qui impliquerait que tout PSIP puisse communiquer avec tous les PSPGC de ceux-ci. Évidemment, l’idéal ne pourra être atteint, ne serait-ce que pour des questions de barrière de langue. Mais il est acquis que le cadre posé par la DSP 2, même une fois qu’il sera pré- cisé par les RTS sur « l’authentification forte et l’interface sécurisée » conçus par l’ABE, ne sera pas suffisant pour couvrir tous les aspects nécessaires à la mise en place d’une communication entre tous les PSIP et tous les PSPGC, puisque telle n’est pas la finalité de ces
textes
[13]
. Pour construire une interface sécurisée entre PSIP et PSPGC, les réflexions s’orientent actuellement sur des solutions d’interfaces de programmation applicative (Application programming interface – API). Mais pour que l’objectif soit atteint, encore faudrait-il que toutes les API développées par les PSPGC soient accessibles à tous les PSIP. La BCE préconise, à cet égard, que le marché s’organise au travers de Rulebook (contrat collectif ) à l’instar des schemes de virement paneuropéen et prélèvement paneuropéen gérés aujourd’hui par l’EPC (
European Payment Council
[14]
).
Mise à jour du programme de l’ERPB. L’ERPB a donc décidé d’ajouter « l’intégration paneuropéenne des services d’initiation de paiements » à son
programme de travail
[15]
. Concrètement, il va procéder en deux étapes : – dès cet été, la BCE va lancer une étude sur les acteurs offrant actuellement des services d’initiation de paiements et sur les évolutions probables de ce marché ; – puis, lors de sa prochaine réunion de novembre 2016, après prise en compte du projet de RTS de l’ABE sur « l’authentification forte et l’interface sécurisée » devant être publié en août, l’ERPB proposera des mesures concrètes. Un groupe de travail composé des repré- sentants des utilisateurs et des prestataires sera vraisemblablement constitué. Les chantiers de mise en place de l’initiation de paiement et des nouveaux services que la DSP2 a consacrés avancent
donc
[16]
. Les travaux engagés sur les PSIP pourraient s’étendre aux agrégateurs de comptes et aux émetteurs d’instruments de paiement liés à la carte. La place française va se positionner sur le sujet dans le cadre du Comité national des
paiements scripturaux
[17]
.
1
En français, Conseil des paiements de masse en euros
2
Banque de France- BCE, communiqué de presse, 19 déc. 2013
3
Les utilisateurs de service de paiement sont à la fois les payeurs et les bénéficiaires
4
Plus précisément, l’ERPB réunit la BCE qui en assure la présidence et le secrétariat, sept représentants des utilisateurs (consommateurs, détaillants et entreprises), sept représentants de prestataires (banques, établissement de paiement et de monnaie électronique) et six représentants de banques centrales nationales sur une base tournante (la Banque de France est actuellement membre). La Commission européenne a le statut simple d’observateur
5
D’ailleurs, la BCE a fermement soutenu les objectifs et le contenu du projet de directive DSP 2, en particulier la proposition visant à élargir la liste des services pour y faire figurer les services d’initiation de paiement et les services d’information sur les comptes. Du point de vue de la BCE, cette mesure favorisera l’innovation et la concurrence dans le domaine des paiements de détail : Banque de France- BCE, communiqué de presse, 10 fév. 2014.
6
COM(2011)941, 11 janv. 2012.
7
Dir. 2007/64/CE du Parlement européen et du Conseil, 13 nov. 2007.
8
Dir. UE/2015/2366 du Parlement européen et du Conseil, 25 nov. 2015.
9
DSP 2, cons. 28
10
La DSP 2 a en effet donné mandat à l’ABE pour rédiger des projets de mesures techniques (Regulatory technical standards – RTS). Ces projets seront soumis à la Commission européenne, à charge pour elle de les adopter et de les publier.
11
ABE, « Discussion Paper on future Draft Regulatory Technical Standards on strong customer authentication and secure communication under the revised Payment Services Directive », 8 déc. 2015.
12
ERBP, « Integration of payment initiation services within the EU », 30 mai 2016: ERPB/2016/007
13
La BCE poursuit un objectif plus politique de construction du marché alors que l’ABE n’a qu’une vocation normative et s’intéresse principalement aux aspects sécuritaires et techniques.
14
En français, Conseil européen des paiements
15
European Central Bank – ERPB Board, « Statement following the fifth meeting of the Euro Retail Payments Board held on 13 June 2016 » : ERPB/2016/011.
16
D’autres chantiers sont cours. L’ERPB a « invité » l’EPC à mettre en place un scheme de virement instantané paneuropéen, projet qui devrait aboutir fin 2017
17
Le CNPS a été créé en avril2016 en avril dernier pour remplacer le Comité National SEPA : Banque de France- FBF – AFTE, communiqué de presse, « Lancement des travaux du Comité national des paiements scripturaux », 5 avr. 2016.
