Horizon 2018. La DSP2 va modifier un certain nombre de règles applicables aux opérations de
paiement
[1]
. Ses titres III et IV, respectivement consacrés à la transparence des conditions et aux exigences en matière d’informations régissant les services de
paiement
[2]
d’une part et aux droits et obligations liés à la prestation et à l’utilisation de services de paiement d’autre
part
[3]
, recèlent de nouvelles mesures que les établissements vont être contraints d’adopter. L’horizon de mise en conformité est situé au 13 janvier
2018
[4]
. Mais il n’est pas évident que toutes les spécifications techniques auront été arrêtées sur le plan réglementaire ; les discussions sur les mesures de niveau 2 et de niveau
3
[5]
sont en cours.
Domaine d’application élargi. Sur le terrain des opérations de paiement, la DSP2 présente trois apports principaux : elle l’élargit, le clarifie et surtout le modernise.
La DSP2 étend d’abord le champ des opérations de paiement couvertes. Toutes les règles relatives aux opérations s’appliquent désormais quelle que soit la devise utilisée dès lors que le ou les prestataires de services de paiement (ci-après « PSP ») impliqués sont situés dans l'UE, mais même lorsque seul un PSP est situé dans
l’UE
[6]
. La DSP2 régira alors la partie de la transaction qui se déroule dans l’UE.
Mais surtout, la DSP2 a présente l’intérêt de clarifier le champ d’application des opérations couvertes (I.) et de moderniser un certain nombre de règles applicables, en vue notamment d’améliorer la sécurité des utilisateurs de services de paiement (II.).
I. Clarifications
Clarification du champ des opérations couvertes. La DSP2 lève des incertitudes que la DSP avait pu alimenter sur le champ des opérations couvertes, et même plus largement des activités concernées.
La libération du marché des paiements en 2007 s’est accompagnée de la mise en place d’un cadre et de la définition de nouveaux services. Cela a nourri beaucoup de questions, pour les acteurs de l’Internet et de la téléphonie mobile. Les autorités compétentes dans chaque pays d’origine ont été amenées à se prononcer sur les activités entrant ou non dans le cadre du régime des services de paiement. Mais les réponses apportées ont parfois soulevé des polémiques et face aux positions divergentes, les autorités européennes ont saisi l’opportunité du nouveau texte pour clarifier certaines situations, en vue d’assurer l’harmonisation de leur traitement dans chaque État.
Clarification de l’exception bénéficiant aux agents commerciaux. La DSP2 présente d’abord le mérite d’éteindre la polémique qui s’est développée autour de l’activité des marketplaces. Les marketplaces, ou places de marché, sont des plates-formes Internet qui mettent en relation à distance des vendeurs et des acheteurs. Lorsque la mise en relation se concrétise par une transaction, les marketplaces proposent généralement un service de paiement en ligne et encaissent les sommes versées par les acheteurs (payeurs) pour le compte des vendeurs (bénéficiaires) au profit desquels elles reversent ensuite les montants dus (moins une commission). Cette activité, dite « d’encaissement pour compte de tiers », a été analysée par certaines autorités nationales comme relevant du champ de la DSP. Tel était le cas de l’ACPR qui a enjoint à plusieurs marketplaces françaises d’adopter un statut les autorisant à fournir des services de
paiements
[7]
.
L’analyse pouvait prêter à
discussion
[8]
et toutes les autorités n’avaient pas arrêté la même position, certaines admettant au contraire que les marketplaces pouvaient bénéficier de l’exclusion que consacrait la DSP pour les agents commerciaux.
La DSP2 tranche la question, du moins implicitement. Sans préciser expressément le régime applicable à l’activité d’encaissement pour compte de tiers, elle précise aujourd’hui le champ de l’exclusion consacrée au profit des agents commerciaux. Pour être exclue du champ de la DSP2, l’opération de paiement réalisée par l’intermédiaire d’un agent commercial doit faire intervenir celui-ci uniquement au profit des payeurs ou au profit des
bénéficiaires
[9]
, ce qui exclut les plateformes mettant en relation ces deux types d’acteurs à la
fois
[10]
.
La messe est donc dite : les marketplaces qui perpétuent leur activité d’encaissement pour compte de tiers devront trouver une solution pour se conformer aux règles de la DSP2, soit en adoptant elles-mêmes le statut d’établissement de paiement, soit en devenant agent d’untel établissement. Ce faisant, le nouveau droit des services de paiement complexifie le cadre juridique applicable à certains grands acteurs du monde numérique, ce qui est un résultat quelque peu paradoxal, la DSP2 ayant pour objectif, comme la DSP, de favoriser l’essor du commerce électronique.
Périmètre de l’exclusion en faveur des opérateurs de téléphonie mobile. Les enjeux commerciaux attachés à la fourniture de telles solutions ont évidemment nourri d’importantes réflexions sur le périmètre de la réglementation des services de paiement. La DSP avait déjà consacré une exception dite « telco » : pour faire simple, celle-ci visait les biens ou services numériques qui ne peuvent être utilisés qu’à l’aide d’un
appareil
[11]
.
La DSP2 vient à la fois étendre et encadrer cette exception. L’étendre tout d’abord, puisqu’elle accueille la demande des opérateurs de pouvoir de facturer des biens autres que des biens dits « numériques » dans un plafond raisonnable. L’encadrer ensuite puisque, pour être exclues du régime les opérations de paiement, les opérations qui servent à l’achat de contenus numériques et de services vocaux et celles qui sont exécutées dans le cadre d’activités caritatives ou pour acheter des billets, ne doivent pas dépasser un montant de 50 euros par opération tout en respectant un plafond de 300 euros par mois (préfinancé ou non). En outre, elle doit être imputée sur la facture émise par l’opérateur.
L’exclusion reste donc limitée et elle n’est pas de nature à dispenser les opérateurs de téléphonie mobile ou de télécommunications qui veulent développer des services de paiement de l’obligation de se constituer en établissement de paiement ou a minima d’en devenir agent.
Aménagement quant à la dérogation pour les opérations réalisées dans le cadre d’un réseau limité. La DSP2 fournit une nouvelle définition, plus restrictive, de l’exception dite de « réseau
limité »
[12]
. Cette dérogation permet aux enseignes commerciales d’un même réseau de mettre à disposition de leurs clients des instruments de paiement permettant d’acquérir des biens ou services, tout en échappant au cadre applicable aux services de
paiement
[13]
. Elle s’applique également aux instruments pouvant être utilisés pour acquérir un éventail « très » limité (la précision est nouvelle) de biens ou services. Toutefois, la DSP2 étend cette exception aux instruments fournis à la demande d’une entreprise ou d’une entité publique à des fins sociales ou
fiscales
[14]
.
II. Modernisation
Adapter la DSP à l’ère du temps. La DSP2 modernise le droit des opérations de paiement, en tenant compte des innovations technologiques réalisées depuis
2007
[15]
. Cela constitue son troisième apport, sans nul doute le plus important. En toile de fond, il s’agissait de définir un cadre répondant mieux aux nouveaux besoins des utilisateurs (paiements instantanés, paiements
mobiles
[16]
, sans
contact
[17]
) et aux nouvelles attentes sécuritaires, tout en accueillant les nouvelles techniques d’authentification de seconde génération (biométrie, etc.).
Changement de perspective. Par ailleurs, la DSP2 développe le droit des opérations de paiement dans une perspective nouvelle. Ceci est en grande partie la conséquence de la consécration des nouveaux services – initiation de paiement et agrégation
de données
[18]
– mais pas seulement. Alors que la DSP1 ne réglementait que les relations entre les prestataires de services de paiement et leurs propres
clients
[19]
, la DSP2 formule désormais des règles destinées à organiser les rapports entre PSP. Cela s’imposait puisque l’on distingue désormais les PSP qui gèrent les comptes de ceux qui ne les gèrent pas, mais qui peuvent tout de même soit initier, soit obtenir des informations sur ces
comptes
[20]
. Aussi, sur le terrain des opérations, la DSP adoptait-elle une perspective exclusivement verticale, que la DSP2 double désormais d’une dimension
horizontale
[21]
. Ce faisant, le nouveau texte dessine la trame des relations futures entre les établissements de crédit traditionnels (qui restent les principaux gestionnaires de compte et conservent les stocks de fonds) et les nouveaux acteurs (qui, pour l’essentiel, gèrent des flux et des
données
[22]
). Il s’agit d’un nouveau défi pour les services conformité des banques car au-delà des enjeux stratégiques qu’il représente, le nouveau cadre fait naître des obligations inédites à la charge des acteurs traditionnels du paiement susceptibles de recevoir une traduction
disciplinaire
[23]
.
Renforcement de la sécurité : authentification forte, encadrement de la communication de données et gestion des incidents. Le développement du paiement électronique, en ligne ou via téléphone mobile, a conduit les autorités européennes à s’intéresser à la sécurité des opérations en vue de le renforcer. La préoccupation relève avant tout du domaine technique et elle devrait surtout être améliorée par les règles relatives à l’authentification.
La DSP2 généralise, d’abord, l’authentification
forte
[24]
du payeur pour trois types d’opérations : l’accès aux comptes en ligne et lors de l’initiation d’opération de paiement (c’est-à-dire pour les deux nouveaux services consacrés par la DSP2) ainsi pour toutes les transactions électroniques à
distance
[25]
. Un système d’exemptions sera mis en place, sur la base d’une approche par les risques. La DSP2 pose à cet égard une règle qui devrait être efficace pour inciter les PSP à l’adopter, puisque le payeur se verra exonéré de toute responsabilité pour les opérations de paiement non autorisée en l’absence de dispositif d’authentification
forte
[26]
.
Au niveau opérationnel, la sécurité se traduit ensuite par de nouvelles règles en matière de communications des données. Il s’agit d’aménager les conditions d’exercice des nouvelles activités, initiation et agrégation
de données
[27]
. Pour les banques, la mise en œuvre de ces exigences relève plus des « métiers » que d’une préoccupation strictement juridique.
Enfin, la DSP2 prévoit un dispositif de gestion des incidents, qui imposera aux services conformité d’instituer de nouvelles procédures. L’idée est de pouvoir anticiper et traiter au plus vite les failles de sécurité. Aussi les acteurs du paiement devront-ils mettre en place, à compter de 2018, une classification des incidents opérationnels ou de sécurité majeurs et prévoir des procédures de notification aux autorités. D’ailleurs les banques devront aussi aménager un traitement des réclamations et disposer de procédures de règlement des réclamations des utilisateurs de services de
paiement
[28]
.
Consolidation des règles relatives au déroulement des opérations. En amont des opérations, le cadre contractuel posé par la DSP est globalement reconduit. La fourniture de services de paiement reste évidemment soumise à des conditions de transparence et à des mesures d’information, même si celles-ci sont
renforcées
[29]
. La DSP2 reprend aussi le cadre applicable aux relations entre les prestataires et les utilisateurs de services de paiement, en termes de droits et obligations
réciproques
[30]
. Elle apporte quand même quelques modifications qui tiennent compte de l’évolution des pratiques en matière de paiement.
Les modifications introduites pourraient paraître marginales ; elles auront sans doute d’importantes implications pour les prestataires et pour les utilisateurs, et elles laissent des questions en suspens.
Adaptation du cadre posé par la DSP. La fourniture de services de paiement se concrétise par la réalisation d’opérations de paiement, dont le régime a été fixé par la DSP et qui se trouve là aussi globalement
repris
[31]
. Mais la DSP2 l’adapte aux nouvelles pratiques (prélèvement par carte) et aux nouveaux services, notamment à l’initiation de paiement. L’enjeu sur les opérations tient à trois points : la révocabilité des opérations, la possibilité de les contester (d’en obtenir remboursement) et aux frais facturables.
Le schéma classique est conservé : une opération est déclenchée par un ordre, lequel suppose un consentement du payeur en principe préalable. L’ordre peut émaner du payeur ou du bénéficiaire. Il peut aussi émaner du payeur mais transiter via la bénéficiaire, auquel cas il est globalement traité comme un ordre émanant du bénéficiaire, pour toutes les questions de droit au remboursement. Toutefois, sous couvert de précisions, plusieurs interrogations voient le jour.
Incohérence de la définition du virement avec le cadre de l’initiation de paiement. La qualification de cette opération de paiement – qui se distingue du
prélèvement
[32]
et du paiement par carte – importe beaucoup du point de vue des règles sur
l’irrévocabilité
[33]
, car c’est l’opération qui est la plus difficile à contester.
Le virement est défini comme un service de paiement (alors que c’est une opération – ce n’est pas dans la liste des services) fourni par le PSP qui « détient le compte du payeur », énonce le
texte
[34]
. En principe donc, seul l’établissement de crédit ou l’établissement de paiement teneur de compte pourra exécuter des virements. Là apparaît la curiosité car ces deux critères de définition sont totalement incompatibles avec la manière dont l’initiation de paiement est conçue. Ce nouveau service est supposé permettre au PSP initiateur d’initier des virements grâce à l’accès à la plate-forme de banque en ligne du
payeur
[35]
, de sorte que l’on devrait donc potentiellement être en présence de deux types de virements : le classique et celui lancé via l’initiation. Or la définition posée par la DSP2 ne semble pas accueillir ce second type de virement.
Réaménagement du droit au remboursement. Le droit au remboursement constitue un enjeu important pour l’ensemble des acteurs impliqués dans une opération de paiement : pour le payeur qui entend se voir restituer les fonds, pour le bénéficiaire qui espère au contraire les conserver une fois qu’il les a encaissés, et pour les PSP qui entendent ne pas avoir à gérer trop de réclamations.
Dans un
considérant
[36]
, la DSP2 affirme le droit inconditionnel au remboursement pour toutes les opérations de prélèvement. Mais les règles de la directive ne sont pas toutes cohérentes avec cette affirmation. Évidemment, le droit au remboursement inconditionnel en cas d’opérations non
autorisées
[37]
est
maintenu
[38]
. Mais les contraintes imposées au payeur sont alourdies, dans la mesure où il doit réagir dans la journée où il a pris connaissance de l’opération. Ce droit inconditionnel s’applique aussi en cas d’initiation de paiement, dont il sera selon toute vraisemblance le talon d’Achille. Le PSP initiateur pourra, en outre, être tenu d’indemniser le client si celui-ci conteste avoir autorisé l’opération.
En cas de perte, vol ou détournement de la carte, le dispositif est aménagé au bénéfice du payeur : un certain partage des risques est organisé à son profit, puisqu’il n’a pas à assumer les opérations non autorisées exécutées avant le blocage de sa carte jusqu’à
50 euros
[39]
, (contre 150 euros dans le régime antérieur), le reliquat étant à la charge de son PSP. La DSP2 pose toutefois deux limites à cette franchise : d’abord, elle ne vaut que pour les opérations exécutées avant qu’il ait prévenu son PSP (fait opposition) ; ensuite, elle ne s’applique pas lorsque l’opération a été réalisée sans recours à un dispositif d’authentification
forte
[40]
.
Le droit inconditionnel au remboursement rencontre toutefois une autre limite et non des moindres : en cas d’opérations initiées par ou par l’intermédiaire du bénéficiaire, le droit au remboursement est au contraire
conditionné
[41]
one off) et il restreint a priori le droit au remboursement à deux hypothèses : prélèvement automatique et prélèvement par
carte
[42]
.
Dans toutes ces hypothèses, le payeur dispose de huit semaines pour demander le remboursement de
l’opération
[43]
. En outre, le contrat-cadre pourra priver complètement le payeur de tout droit au remboursement lorsqu’il avait consenti à l’opération directement auprès de son PSP et (conditions cumulatives) qu’il avait été informé au moins quatre semaines à l’avance du montant qui serait prélevé sur son compte. Cette mesure sera sans doute généralisée. Sécurisante, mais elle implique que le bénéficiaire attende quatre semaines pour pouvoir encaisser ce qui lui est dû…
Nouveauté de la DSP2 : le blocage. La DSP2 consacre l’existence d’une nouvelle opération : le blocage des
fonds
[44]
qui ne doit pas être confondu avec l’hypothèse de blocage de la
carte
[45]
, bien qu’elle semble se recouper avec cette dernière. Lorsqu’une opération est initiée par ou par l’intermédiaire du bénéficiaire, et que le montant n’est pas connu à
l’avance
[46]
, le PSP du payeur peut bloquer les fonds si celui-ci a consenti à un tel
blocage
[47]
. Le déblocage pourra avoir lieu après réception de l’ordre de paiement, et réception sur le montant exact de l’opération.
Sur les frais. Les frais afférents aux opérations de paiement constituent le parent pauvre de la DSP2. Il s’agit pourtant du nerf de la guerre, la facturation façonnant évidemment le modèle économique des opérateurs du paiement, tout en étant un facteur de dissuasion rédhibitoire pour les utilisateurs des services de paiement. La DSP2 interdit seulement au PSP de facturer des frais pour les informations remises à son client (sauf informations
supplémentaires
[48]
) et qu’elle réaffirme – on ne saurait en attendre moins – l’exigence de transparence sur les frais (comprendre donc les frais d’accès aux services et d’exécution des
opérations)
[49]
. Mais elle reste muette sur qui peut facturer quoi et à qui.
Il subsiste donc de nombreuses questions en suspens, certaines d’autres techniques qui dicteront le niveau des adaptations que les opérateurs devront assumer pour se conformer au nouveau cadre DSP2, d’autres laissées à la pratique ou reléguée à des cadres réglementaires différents (notamment le règlement
CMI
[50]
et la directive sur le compte de
paiement
[51]
).
1
Sur la notion d’opération de paiement : M. Roussille, « Variations sur l’opération de paiement », Mélanges offerts à D.R. Martin, LGDJ, nov. 2015, p. 547.
2
DSP2, art. 38 à 60.
3
DSP2, art. 61 à 103.
4
Les textes posant ces différentes mesures devraient être publiés en 2017. Le 13 janvier 2017, l’ABE doit remettre du projet de standards techniques (RTS) sur l’authentification forte et la communication sécurisée. L’ABE devrait publier ces standards cet été et les établissements devront s’y conformer quand la Commission aura adopté le règlement (3 mois). Une consultation est en cours sur ces questions. La date d’entrée en vigueur ne pourra être antérieure à janvier 2018. Le 13 juillet 2017, devraient être publiées les lignes directrices (Guidelines) sur les autorisations d’accès aux données pour l’initiation de paiement (interopérabilité entre les prestataires), ainsi que les mesures de sécurité en lien avec l’ABE.
Le 13 janvier 2018 constitue la date butoir de la transposition dans les droits nationaux, mais aussi celle de la publication des lignes directrices sur les procédures de contestations, sur les obligations de déclarations des incidents.
5
Les réponses au Discussion paper sur l’authentification forte et la communication sécurisée ont été formulées et il y aura sans doute un second train de discussions sur le sujet.
6
En anglais, on évoque les « one-leg transactions », ce qui a donné une expression franglaise opération « leg out ».
7
L’activité d'« encaissement pour compte de tiers » s'analyse, selon l’ACPR, comme la fourniture de deux services de paiement : l'acquisition d'ordre de paiement (C. monét. fin., art. L. 314-1, II, 5°) et l'exécution d'opérations de virement associée à la gestion d'un compte de paiement (C. monét. fin., art. L. 314-1, II, 3°c).
8
Pour une position critique : M. Roussille, « Marketplaces et services de paiement : jusqu'où ira l'impérialisme de l'ACPR ? », RDBF 2014, alerte 23 ; P. Storrer, « L'encaissement pour le compte de tiers vaut-il fourniture de service de paiement ? », Revue Banque 2014, n° 777, p. 86.
Voir à propos des plates-formes de bitcoins : Th. Bonneau, note sous CA Paris 26 sept. 2013, ch. 1, n° 11/15269, SA Crédit industriel et commercial c/ SAS Macaraja ; JCP E 2014, 1091.
9
DSP2, art. 3.b). Sur l’explication : considérant n° 11.
10
La condition posée pour l’exclusion des services par les prestataires techniques confirme l’analyse : pour que ces services échappent à la DSP2, il est nécessaire que le prestataire n’entre, à aucun moment, en possession des fonds à transférer : DSP2, art. 3, i).
11
Cette exception « telco » a été retranscrite dans le Code monétaire et financier à l’art. L. 311-4.1° (art. 3 l) : « La réalisation d’opérations de paiement exécutées au moyen d’un appareil de télécommunication ou d’un autre dispositif numérique ou informatique, lorsque l’opérateur du système de télécommunication numérique ou information n’agit pas en seule qualité d’intermédiaire. Cette condition est remplie lorsque les biens ou les services achetés sont livrés et doivent être utilisés au moyen de cet appareil de télécommunication, ou de ce dispositif numérique ou informatique. »
12
DSP2, art. 3, k).
13
DSP2, considérant 13.
14
DSP2, art. 3, j).
15
Les nouvelles préoccupations des autorités européennes se lisaient en filigranes dans le livre vert« Vers un marché européen intégré des paiements par carte, par internet et par téléphone mobile » publié par la Commission en janvier 2012 : Doc. COM (2011) 941 final, 11 janv. 2012.
16
Egalement dénommés « m-paiements ».
17
Sur les actualités du paiement sans contact en France : P. Storrer et M. Roussille, Banque et Droit, n° 163, sept.-oct. 2015, p. 63.
18
Voir, dans ce dossier, l’article de P. Storrer.
19
Les clients étaient qualifiés d’ « utilisateurs » – payeur ou bénéficiaire selon l’opération et le service.
20
Ainsi que l’a très justement souligné Pierre Storrer dans son abécédaire de la DSP2, il y a aussi les émetteurs d’instruments de paiement liés à une carte, qui sont supposés pouvoir accéder à l’information sur la disponibilité des fonds sur le compte du payeur : P. Storrer, Revue Banque n° 793, fév. 2016, p. 88, spéc. n° 15, p. 92.
21
En somme, la DSP s’intéressait essentiellement au statut des acteurs et aux rapports avec leurs clients, la DSP2 pose un cadre pour les relations entre les PSP entre eux.
22
P. Storrer, art. précit.
23
Sur les rapports entre les banques et les établissements de paiement : CJUE, 5e ch., 10 mars 2016, aff. C-235/14, Safe Interenvíos SA c/ Liberbank SA, Banco de Sabadell SA et Banco Bilbao Vizcaya Argentaria SA. Le litige opposait un EP espagnole à des banques espagnoles, sur fond de LCBFT qui illustre les difficultés/zones de contentieux pour l’avenir. Voir à cet égard : Banque et Droit n° 167, mai-juin 2016, p. 57, note M. Roussille.
24
L’authentification forte est « une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories “connaissance” (quelque chose que seul l’utilisateur connaît), “possession” (quelque chose que seul l’utilisateur possède) et «inhérence» (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification » : DSP2, art. 4, 30).
25
DSP2, art. 97.1.
26
DSP2, art. 74.2 : si le PSP du payeur n’a pas exigé une authentification forte du client, le payeur ne supportera aucune perte financière éventuelle à moins qu’il ait agi frauduleusement ; de même lorsque le bénéficiaire ou son PSP n’acceptera pas d’authentification forte du client, il remboursera le préjudice financier causé au prestataire de services de paiement du payeur.
27
Les standards techniques actuellement en cours d’élaboration préciseront les exigences sécuritaires pour une communication sécurisée entre PSP teneurs de comptes, acteurs tiers et utilisateurs des services.
28
Ces procédures devront être articulées avec les règles relatives à la médiation et au dispositif de règlement extra-judiciaire des litiges résultant de la directive 2013/11/UE du 21 mai 2013.
29
Les prestataires doivent notamment conclure, hors le cas d’opérations isolées, avec leurs clients des contrats-cadre : chapitre 3 du titre III, art. 50 à 58. Sur les opérations de paiement isolées : chapitre 2 du titre III, art. 43 à 49.
30
Titre IV, art. 61 à 106. Certaines obligations des PSP relèvent des règles statutaires qui leur sont applicables, notamment la protection des fonds (DSP2, art. 10).
31
Notamment au sein du titre IV, aux articles 61 à 93. Ces règles concernent d’abord les frais pouvant être perçus (art. 62 et 6), ensuite l’autorisation de l’opération qui implique notamment un consentement de la part du payeur (art. 64) et les conséquences d’une opération non autorisée qui sont précisées (DSP2, art. 73 et 74) et enfin l’exécution des opérations de paiement (art. 78 à 93). Les différentes obligations du payeur sont rappelées : respecter les conditions d’utilisation de l’instrument de paiement et informer son prestataire en cas de perte, vol, détournement ou toute utilisation non autorisée de l’instrument et une obligation de confidentialité (DSP2, art. 69).
32
DSP2, art. 4, 23.
33
DSP2, art. 80. Le principe est que l’ordre de paiement est révocable jusqu’à ce qu’il ait été reçu par la PSP du payeur. Cela signifie que le virement qui résulte de l’ordre émis par le payeur à son PSP est irrévocable quasiment dès qu’il est émis (sauf à avoir été envoyé par courrier papier, il est reçu presque instantanément). Le texte introduit des exceptions pour le prélèvement et les virements à date donnée qui sont révocables juqu’à à la fin du jour ouvrable précédant le jour convenu pour le débit des fonds.
34
DSP2, art. 4, 24.
35
DSP2, considérant 27 : « les services d’initiation de paiement […] interviennent dans les paiements dans le cadre du commerce électronique en établissant une passerelle logicielle entre le site internet du commerçant et la plate-forme de banque en ligne du prestataire de services de paiement gestionnaire de compte du payeur en vue d’initier des paiements par l’internet sur la base d’un virement ».
36
DSP2, cons. 76.
37
DSP2, art. 73.
38
DSP2, art. 73.
39
DSP2, art. 74.
40
Le 3D Secure, après s’être imposé par la pratique, se voit donc attribuer une légitimité juridique. Toutefois, la question de la fraude au 3D secure reste en suspens. Un jour viendra où le 3D secure ne sera plus considéré comme un mécanisme d’authentification.
41
DSP2, art. 76.
42
Bien que détournant la manière dont le paiement par carte a été conçu, le prélèvement par carte s’est beaucoup répandu (sous la pression des e-abonnements) et il fait son entrée dans la DSP2.
43
DSP2, art. 76.
44
DSP2, art. 75.
45
Le blocage de la carte (« instrument de paiement ») résulte en principe d’une instruction du titulaire (DSP2, art. 69.1), mais il peut désormais être conventionnellement prévu qu’il constituera une faculté de son PSP (émetteur) : le PSP peut se réserver le droit de bloquer l’instrument de paiement, « pour des raisons objectivement motivées ayant trait à la sécurité de l’instrument de paiement, à une présomption d’utilisation non autorisée ou frauduleuse de l’instrument de paiement ou, s’il s’agit d’un instrument de paiement doté d’une ligne de crédit, au risque sensiblement accru que le payeur soit dans l’incapacité de s’acquitter de son obligation de paiement » (DSP2, art. 68.2).
46
Par exemple dans l’hypothèse de retenue de garantie opérée lors de la réservation d’un hôtel ou d’une location.
47
On remarquera que l’utilisation du mot « consenti » est curieux : le blocage ne devrait est possible que si le payeur l’a ordonné (plutôt que d’être prélevé, il bloque).
48
DSP2, art. 40.2.
49
DSP2, art. 40, 45.1.c), 48 c), 56, 57.1.c), 60 et 62.
50
Règl. no (UE) 2015/751 du Parlement européen et du Conseil, 29 avr. 2015 : JOUE n° L 123, 19 mai.
51
Dir. 2014/92/UE du Parlement européen et du Conseil 23 juill. 2014 : JOUE n° L 257, 28 août.
