La DSP2 a, certes, été adoptée en 2015, il y a huit ans déjà, mais sa mise en application a été plus tardive, et a duré en France jusqu’en juin 2021. Il fallait à la fois mettre en place les normes techniques de réglementation (RTS) pour l’authentification forte et permettre la réalisation d’applications (notamment d’API) pour l’accès aux comptes. Cela a nécessité des investissements importants, qu’il convient de stabiliser et d’amortir, avant de lancer de nouvelles évolutions.
Dans sa réponse très complète à la consultation de la Commission européenne1, publiée fin juin 2022, l’Autorité bancaire européenne (EBA) a établi un bilan de cette directive, donné son opinion sur les axes techniques de sa révision, et mis en avant « in detail more than 100 distinct issues and eventually developed more than 200 proposals across the nine different sections »2. On peut notamment citer la fusion de la directive sur les services de paiement (DSP) et de celle sur la monnaie électronique, ou la clarification des modalités d’application de l’authentification forte, sans oublier la levée des obstacles à la mise en œuvre des règlements relatifs à l’initiation de paiement et aux services d’information sur les comptes, notamment la question des Interfaces programmables pour applications (API) DSP2, et enfin, l’extension de l’open banking à l’open finance. Il est probable que ces propositions seront prises en compte dans le futur projet de directive. Rappelons que l’EBA a publié le 3 août 2022 une nouvelle modification des RTS pour harmoniser la durée d’authentification forte des acteurs pour l’accès aux comptes à 120 jours.
En parallèle, l’ERPB (Euro Retail Payments Board) a demandé à l’EPC (European Payments Council) d’harmoniser la question des API d’accès aux comptes et l’EPC a publié le 30 novembre 2022, un nouveau « SEPA Payment Account Access (SPAA) Scheme Rulebook ». Enfin, la Commission européenne n’a pas chômé dans d’autres domaines, comme sur les questions de lutte contre la fraude et de blanchiment, de sanctions interétatiques, de confidentialité des données, d’identité numérique, de paiements internationaux... et plus généralement avec deux textes majeurs – la Stratégie des paiements de détail (Retail Payments Strategy – RPS) et le « paquet » sur la finance digitale –, et encore, dernièrement, avec le projet de règlement sur le paiement instantané (Instant Payment).
Il y a donc matière à un réexamen en profondeur, urgence à faire un lien avec toutes ces autres initiatives, pour assurer une cohérence d’ensemble, mais il faut prendre le temps d’aboutir à un consensus de moyen et long terme. La DSP3 devrait avoir pour objectif de :
– gommer les imperfections de la DSP2 en approfondissant certains sujets à la lumière de l’expérience, comme l’authentification forte et l’open banking dans les paiements ;
– prendre en compte la stratégie des paiements de détail et les évolutions survenues dans les paiements durant ces cinq dernières années, avec notamment la poursuite de la croissance de la carte bancaire, l’accélération du déploiement de l’instant payment (IP), les réflexions sur le lancement de l’euro numérique, ou les développements sur les cryptopaiements ;
– parfaire le marché unique des paiements, à la fois sur l’intégration du marché européen pour éliminer les fragmentations nationales, sur la consolidation des acteurs européens des paiements, sur l’innovation, et sur le concept de souveraineté européenne dans les paiements, qu’il convient de réviser au regard des évolutions du contexte géopolitique.
Peut-être la DSP3 devrait-elle aussi viser à bien séparer les sujets, entre ce qui relève de :
– l’efficacité en matière de paiement – autour des instruments et des systèmes, de la lutte contre la fraude et de la défense des consommateurs ;
– l’intégration du marché européen et du développement de l’innovation, et de la concurrence, notamment au titre de l’open banking, voire de l’open finance, mais aussi de l’entrée de Google, Apple, Facebook et Amazon (les GAFA) et équivalents chinois Baidu, Alibaba, Tencent et Xiaomi (BATX) sur le marché ;
– la souveraineté européenne.
L’efficacité du marché des paiements
Le marché des paiements a montré sa résilience durant la phase de Covid, et la poursuite de sa croissance, portée pour l’essentiel par la carte bancaire. Mais il n’a pas toujours montré son efficacité, comme l’illustre l’échec relatif du projet EPI (European Payment Initiative) à créer un scheme européen pour les cartes bancaires. Celles-ci assurent aujourd’hui environ 50 % des paiements en Europe, alors que le virement et le prélèvement ont chacun perdu 10 % de part de marché en 20 ans. Le paiement instantané, qui offrirait à l’Europe une avancée majeure, tarde à se déployer, d’où le projet de règlement visant à faciliter son acceptation au plan européen. Un autre instrument est en cours de préparation, l’euro numérique, déjà sous sa forme de monnaie de banque centrale, et certainement, à plus long terme, de monnaie commerciale, sans oublier les nouvelles formes de cryptopaiements.
L’offre de paiement s’enrichit de très nombreux nouveaux modes, souvent promus par des fintechs, mais aussi par divers acteurs, bigtechs et schemes cartes internationaux (ICS) notamment, qui en assurent la fluidité et la convivialité. Cette offre répond très largement à la demande. Il faut cependant veiller à maintenir la neutralité technologique et économique du cadre règlementaire et harmoniser les règles pour disposer d’un corpus unique inter-instruments autour de trois questions clés : l’acceptation, la lutte contre la fraude, et le modèle économique.
L’euro numérique fera l’objet d’un cadre juridique européen en cours de réflexion et devrait bénéficier du cours légal, avec pour la première fois une définition commune à travers l’Europe, qui en rendra l’acceptation obligatoire. De son côté, la proposition de règlement sur le virement instantané vise à imposer à l’ensemble des PSP européens de fournir ce service afin d’assurer la reachability européenne.
La carte bancaire s’appuie à ce jour sur sa seule puissance marketing, et son acceptation reste strictement contractuelle, avec toujours la difficulté à obtenir une interopérabilité générale transfrontière en Europe.
Même si on comprend bien les motivations du législateur sur chacun des deux premiers instruments, il faut veiller à la neutralité technologique et économique des réglementations, et laisser le marché organiser les services et le marketing autour de ces trois instruments, de préférence par des schemes multi-instruments, tout en exigeant effectivement une interopérabilité technique et commerciale, via une acceptation croisée, facturable comme en Espagne ou gratuite comme en France.
En matière de lutte contre la fraude, la puce et l’authentification forte (pour les paiements à distance) sécurisent les transactions par carte, au détriment des autres instruments vers lesquels la fraude se déplace. Mais dans une perspective de moyen terme qui est celle de la DSP 3, il faut se préparer à ce qui s’annonce déjà : le développement de la cybercriminalité quotidienne et les menaces qui naîtront du déploiement de technologies puissantes telles que le quantique. Ils vont imposer d’accroître de façon substantielle la sécurité des transactions.
L’authentification forte va encore montrer son efficacité dans les années qui viennent, mais elle trouve déjà progressivement ses limites, notamment du fait de nouvelles techniques de fraude par « manipulation », mais aussi d’habitudes récentes des consommateurs, qui créent des failles de sécurité, souvent insuffisamment comblées. D’un autre côté, sa mise en œuvre a rapidement été identifiée par les e-commerçants et leurs représentants comme une contrainte forte sur le parcours client.
Pour la sécurité, une des failles étant l’usurpation d’identité, on ne pourra longtemps éviter de recourir à la cryptographie ou à la signature électronique3, qui ont fait de très nombreux progrès techniques et juridiques, pour les opérations à distance. Il faut rapidement envisager des offres de paiement cryptées et intégrées de bout en bout. À moyen terme, un identifiant numérique européen s’imposera, ne serait-ce que pour l’euro numérique, même si le besoin n’est pas démontré à court terme, et il faut éviter d’entrer dans des solutions qui ne seraient pas reconnues par les acteurs du paiement, notamment les banquiers et les commerçants, ni interopérables en Europe.
Le débat sur l’application de la future réglementation eIDAS2 aux paiements et la demande d’exemption du monde bancaire en est une illustration majeure. Et peut-être faut-il déjà, à court terme, relier l’authentification forte et le contrôle des IBAN, pour éviter les nombreux rejets ou fraudes dans les virements. Mais comme l’a souligné le rapport 2021 de l’Observatoire de la sécurité des moyens de paiement (OSMP), il faut également envisager l’apport d’une identité numérique décentralisée, si celle-ci venait à se concrétiser. Une nouvelle réglementation devrait baliser le chemin vers des solutions privées d’identité numérique à côté de celles de la sphère publique. Une sorte de European Payment Identity, que la société EPI pourrait abriter.
La fluidité des parcours clients étant un enjeu clé pour le commerce, les moyens permettant d’éviter les « frictions » ont été recherchés dès la publication des RTS. Les solutions actuelles passent, soit par une logique d’optimisation des parcours clients, soit par la recherche d’exemptions pour les commerçants, avec des conséquences financières pour l’émetteur, et le transfert de responsabilité vers le commerçant en cas de fraude.
Ces pratiques ne sont pas satisfaisantes. La DSP 3 devra apporter des clarifications sur des axes qui restent encore peu explorés tels que les tiers de confiance ou la délégation d’authentification à un tiers, qui permettraient au commerçant de mieux maîtriser le parcours d’achat mais qui nécessitent pour l’instant un cadre contractuel complexe. Il s’agit donc de rechercher un nouvel équilibre entre sécurité et fluidité.
Enfin, le modèle économique des divers instruments doit être laissé au marché, ou sinon faire l’objet d’une même réglementation, sans quoi on risque de provoquer une « concurrence » inter-instruments qui ne se justifierait pas. Il faut laisser les clients (particuliers, commerces, entreprises) choisir les instruments et modes de paiement les plus adaptés à leurs besoins. Et il faut autoriser la facturation des services pour financer les investissements, notamment au regard des pratiques autorisées outre-Atlantique.
L’intégration du marché européen
Force est de constater que la notion d’unicité du marché européen des paiements, le SEPA, reste en grande partie aujourd’hui encore une fiction, à la fois parce que les États tiennent à conserver une certaine maîtrise de leurs marchés domestiques dans un domaine aussi sensible que les paiements, mais aussi parce que les paiements transeuropéens restent toujours marginaux, et qu’il y a eu ni consolidation bancaire, contrairement aux États-Unis en 2008, ni consolidation industrielle, bien que quelques champions comme NEXI et WorldLine soient apparus. Nous sommes aujourd’hui plus sur la notion d’une Common Euro Payments Area (CEPA), que d’une Single Euro Payments Area (SEPA).
Certes, la Commission européenne a beaucoup œuvré pour que les réglementations nationales laissent la place aux réglementations européennes, et pour harmoniser les règles applicables dans l’ensemble de la zone SEPA, et la DSP a été et reste un outil essentiel en ce domaine. Mais la DSP 3 doit être l’occasion d’un saut qualitatif majeur.
La première exigence est bien sûr de lever les obstacles nationaux au marché intérieur européen, et en ce sens, la définition des acteurs et des règles européennes est un premier pas. Mais il faut aller plus loin, pour organiser un marché unique. L’adoption envisagée d’une définition unique du cours légal de l’euro numérique au plan européen sera un premier pas majeur vers une réelle harmonisation européenne. Il faut d’autres pas de ce type éliminant l’essentiel des logiques domestiques, et l’une d’entre elles pourrait être de fixer une échéance commune à un processus de convergence des réglementations domestiques, et de l’engagement des États européens à disposer, par exemple en 2030, ou en 2035 au plus tard, d’un marché où seules les règles européennes prévaudraient, sauf exceptions mineures...
Donner l’exemple par les paiements
La seconde exigence pourrait être de favoriser la concentration par des règles favorisant les acteurs paneuropéens. Et il faut que ces incitations à cette consolidation viennent des pouvoirs publics européens. La Commission européenne favorise la consolidation des chambres de compensation européennes sur les marchés des titres4, pour résister à la Place de Londres mais en oublie celles des paiements, les ACH... pour résister à « l’ami américain ». L’exemple de la consolidation bancaire française dans les paiements par carte menée il y a trente ans déjà devrait aussi servir de référence. C’est en acceptant une prime aux acteurs européens consolidés qu’on favorisera la concentration industrielle et bancaire. Et la DSP3, pour servir vraiment, devrait d’abord chercher à créer un vrai marché unique européen et de vrais champions européens... La logique du marché prendra ensuite le relais.
La dernière exigence serait de poursuivre le soutien aux acteurs innovants, notamment aux fintechs européennes, avec une aide sous trois angles :
– économique, une sorte d’avance sur recette, donc remboursable, pour favoriser la création d’entreprises et d’offres innovantes ;
– réglementaire, par une simplification temporaire des exigences de conformité, qui sont si lourdes dans les trois premières années de développement ;
– stratégique, en mettant en avant certains grands axes de développement pour l’industrie des paiements à moyen terme, comme pour les cryptopaiements ou la sécurité des paiements.
France Payments Forum publiera au printemps prochain un Document de Position sur ce sujet de la révision de l’actuelle directive. La DSP3 est la dernière occasion d’une organisation du marché européen des paiements, à défaut de laquelle ce marché sera phagocyté par les acteurs internationaux. Il faut aussi éviter que la future directive devienne le réceptacle de toutes les exigences et veiller à ce qu’elle reste centrée sur les paiements.
