Directive sur les services de paiement

Cet article est une ébauche concernant l’Union européenne et le droit.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

La Directive sur les services de paiement (DSP) est une directive européenne concernant les prestataires de services de paiement au sein du marché intérieur, publiée au journal officiel de l'Union européenne.

La DSP 1 est adoptée le 13 novembre 2007, elle est publiée le 5 décembre 2007. Celle-ci est abrogée et remplacée par la DSP 2 adoptée le 25 novembre 2015.

Première directive sur les services de paiements (DSP 1)

La DSP 1 est adoptée le 13 novembre 2007, elle est publiée le 5 décembre 2007^[1]. Elle est transposée dans les droits nationaux et mise en œuvre par tous les États membres avant le 1^er novembre 2009.

La directive vise à garantir un accès équitable et ouvert aux marchés des paiements et à renforcer la protection des consommateurs. Avant son entrée en vigueur, chaque État membre applique en effet ses propres règles en matière de paiements, et les paiements effectués entre ces systèmes cloisonnés représentent un coût annuel de 2 à 3 % du PIB. Cela limite les prestataires de services de paiement (PSP) d’offrir des services compétitifs sur l'ensemble du territoire de l'UE. Il est attendu de la suppression de ces barrières une réduction des coûts de 28 milliards d'euros par an pour l'ensemble de l'économie de l'UE. Cette directive présente des avantages importants pour tous les utilisateurs des services de paiement. Elle prévoir de permettre de réaliser les paiements électroniques effectués en euros ou au niveau national dans un délai maximal d'un jour après l'envoi de l'ordre de paiement. Elle donne un fondement juridique au lancement de systèmes de paiement transfrontaliers par prélèvement bancaire. Elle vise également à réduire les prix et élargir le choix pour les utilisateurs en encourageant la concurrence sur le marché et en permettant à des institutions non bancaires d'entrer sur les marchés des paiements, avec la création du statut d'établissement de paiement.

Elle définit les micropaiement (Article 34) et permet une mise en œuvre simplifiée de la monnaie électronique et des services de paiement de montants unitaires inférieurs à 30 € ou la mise en œuvre d'autorisation de limite de dépense inférieure à 150 €.

La directive fournit la base juridique nécessaire à la création de l'Espace unique de paiement en euros (SEPA) qui prévoit l'harmonisation de certains moyens de paiement. L'espace unique de paiement en euros est une initiative du secteur bancaire européen, représenté par le Conseil européen des paiements, avec le soutien de la Commission européenne (CE) et de la Banque centrale européenne (BCE). La CE et la BCE considèrent le SEPA comme un marché intégré pour les services de paiement qui doit faire l'objet d'une concurrence réelle et sur lequel il ne doit pas y avoir de distinction entre les paiements nationaux et les paiements transfrontaliers en euros à l'intérieur de la zone SEPA.

Cela implique la suppression de toutes les barrières techniques, légales et commerciales entre les marchés nationaux des paiements.

Deuxième directive sur les services de paiements (DSP 2)

La Commission européenne adopte le 24 juillet 2013 un paquet législatif contenant une nouvelle directive sur les services de paiement, dite DSP 2, qui abroge la première directive sur les services de paiement DSP 1 (Directive 2007/64/CE^[2]) et adopte définitivement par le Parlement européen et le Conseil le 25 novembre 2015 (Directive 2015/2366/UE^[3]).

À la suite des travaux de l'Autorité bancaire européenne pour compléter la directive par des normes techniques de réglementation relatives à l'authentification forte du client et à des normes ouvertes communes et sécurisées de communication^[4], le règlement délégué (UE) 2018/389 est adopté le 27 novembre 2017^[5].

Cette directive révisée vise à faciliter l’utilisation des services de paiement électronique sur internet en les rendant moins onéreux et plus sûrs grâce à la prise en compte des services dits d’initiation de paiement, intervenant entre le commerçant et la banque de l’acheteur.

Les prestataires de services de paiement sans carte de crédit seront donc désormais soumis aux mêmes normes de réglementation et de surveillance que tous les autres établissements de paiement.

Cette directive pose le principe du remboursement inconditionnel des prélèvements automatiques, excepté dans le cas où le bien ou service payé a été consommé ou si les pertes sont dues à une négligence de la part de l’utilisateur.

En outre, cette directive révisée rabaisse le plafond que les utilisateurs pourront être tenus d’assumer en cas de paiement non autorisé à la suite d'une perte ou d'un vol de carte de paiement à 50 €, contre 150 € avec la DSP 1.

La directive entre en vigueur partiellement en janvier 2018 et définitivement en septembre 2019 avec la mise en place de l'obligation de l'authentification forte et de l'accès aux informations sur les comptes donnés aux nouveaux prestataires de services de paiement (PSP)^[6].

Transposition de la directive en France

En France, la Banque de France informe que les établissements français se sont engagés à travers l'Observatoire de la sécurité des moyens de paiement (OSMP) à proposer plusieurs moyens pour s'authentifier en ligne, en particulier pour les personnes qui ne disposent pas d'un ordiphone^[7]:

soit par la saisie d'un code à usage unique reçu par SMS ou serveur vocal, en plus de la saisie d'un code personnel dans un champ distinct ;
soit par l'usage d'un dispositif d'authentification sécurisé tel qu'un générateur de code avec clavier, clé USB, lecteur de QR code, etc. en apportant le support et l'assistance nécessaire.

Troisième directive sur les services de paiements (DSP 3)

La troisième directive sur les services de paiements renforce les règles d'authentification — l'Authentification Forte du Client (SCA) — pour améliorer la sécurité des paiements et réduire la fraude, en transférant certaines responsabilités d'authentification des banques aux prestataires de services d'information sur les comptes (AISP). Elle complète la DSP2 sur l'Open banking, facilitant l'accès aux données financières. Elle améliore la transparence et la protection des consommateurs en clarifiant les frais et en renforçant les droits liés aux données personnelles. Elle uniformise les règles des DSP à travers l'UE, limitant les interprétations nationales divergentes des transpositions en intégrant un Règlement sur les services de paiement (RSP1)^[8].

Voir aussi

Articles connexes

Liens externes

La transposition de la Directive sur les services de paiement sur le site de la Banque de France

Notes et références

↑ [PDF] Texte de la Directive publié au JO UE
↑ « EUR-Lex - 32007L0064 », sur eur-lex.europa.eu (consulté le 24 mai 2018).
↑ « EUR-Lex - 32015L2366 », sur eur-lex.europa.eu (consulté le 10 juin 2016).
↑ (en) « Regulatory Technical Standards on strong customer authentication and secure communication under PSD2 », sur Autorité bancaire européenne, 12 avril 2019 (consulté le 2 novembre 2023)
↑ « EUR-Lex - 3A32018R0389 », sur eur-lex.europa.eu (consulté le 24 mai 2018).
↑ « Paiement : la directive DSP2 entre en vigueur, c'est quoi ? », sur La Tribune, 13 janvier 2018 (consulté le 23 mai 2020).
↑
« Les changements introduits par la DSP2 : Le renforcement de la sécurité des paiements en ligne », sur Banque de France (version du 3 juillet 2022 sur Internet Archive) : « Un établissement bancaire est-il tenu de proposer plusieurs dispositifs d’authentification forte ?
La réglementation n’impose pas aux établissements de proposer plusieurs dispositifs d’authentification forte. Toutefois, les établissements de la Place française se sont engagés, dans le cadre de l’Observatoire de la sécurité des moyens de paiement (OSMP), à proposer plusieurs dispositifs, en particulier pour les publics ne disposant pas de smartphones et ne pouvant donc installer les solutions mobiles des banques françaises permettant une authentification forte. Les solutions alternatives qui pourraient être proposées sont les suivantes :
- le maintien du code envoyé par SMS ou par serveur vocal associé à un code personnel. Dans ce cas de figure, le consommateur valide la transaction sur Internet en saisissant dans deux champs distincts : i) le code reçu par SMS ou par serveur vocal interactif et ii) un code personnel statique qui lui a été communiqué par sa banque (par exemple, le code d’accès à sa banque en ligne). La cinématique de paiement est donc globalement inchangée, moyennant l’ajout d’un champ de saisie supplémentaire sur la page de validation, ce qui constitue une solution de continuité ;
- l’utilisation d’un dispositif physique mis à disposition par la banque, en particulier pour la clientèle « sédentaire » qui effectue ses achats en ligne systématiquement depuis son domicile. Dans ce cas de figure, la banque a équipé le consommateur d’un dispositif lui permettant de s’authentifier de manière sécurisée, et qui peut prendre différentes formes : générateur de codes doté d’un clavier de saisie, clef USB, lecteur de QR code, etc. Dans ce cas, la banque doit veiller à apporter à son client tout le support et l’assistance nécessaires à la bonne prise en main de ce dispositif. »
↑ https://www2.deloitte.com/fr/fr/pages/services-financier/articles/revision-cadre-reglementaire-ue-paiements-nouvel-ensemble-dsp3-rsp1.html

[1] [PDF] Texte de la Directive publié au JO UE

[2] « EUR-Lex - 32007L0064 », sur eur-lex.europa.eu (consulté le 24 mai 2018).

[3] « EUR-Lex - 32015L2366 », sur eur-lex.europa.eu (consulté le 10 juin 2016).

[4] (en) « Regulatory Technical Standards on strong customer authentication and secure communication under PSD2 », sur Autorité bancaire européenne, 12 avril 2019 (consulté le 2 novembre 2023)

[5] « EUR-Lex - 3A32018R0389 », sur eur-lex.europa.eu (consulté le 24 mai 2018).

[6] « Paiement : la directive DSP2 entre en vigueur, c'est quoi ? », sur La Tribune, 13 janvier 2018 (consulté le 23 mai 2020).

[7] « Les changements introduits par la DSP2 : Le renforcement de la sécurité des paiements en ligne », sur Banque de France (version du 3 juillet 2022 sur Internet Archive) : « Un établissement bancaire est-il tenu de proposer plusieurs dispositifs d’authentification forte ?
La réglementation n’impose pas aux établissements de proposer plusieurs dispositifs d’authentification forte. Toutefois, les établissements de la Place française se sont engagés, dans le cadre de l’Observatoire de la sécurité des moyens de paiement (OSMP), à proposer plusieurs dispositifs, en particulier pour les publics ne disposant pas de smartphones et ne pouvant donc installer les solutions mobiles des banques françaises permettant une authentification forte. Les solutions alternatives qui pourraient être proposées sont les suivantes :
le maintien du code envoyé par SMS ou par serveur vocal associé à un code personnel. Dans ce cas de figure, le consommateur valide la transaction sur Internet en saisissant dans deux champs distincts : i) le code reçu par SMS ou par serveur vocal interactif et ii) un code personnel statique qui lui a été communiqué par sa banque (par exemple, le code d’accès à sa banque en ligne). La cinématique de paiement est donc globalement inchangée, moyennant l’ajout d’un champ de saisie supplémentaire sur la page de validation, ce qui constitue une solution de continuité ;

l’utilisation d’un dispositif physique mis à disposition par la banque, en particulier pour la clientèle « sédentaire » qui effectue ses achats en ligne systématiquement depuis son domicile. Dans ce cas de figure, la banque a équipé le consommateur d’un dispositif lui permettant de s’authentifier de manière sécurisée, et qui peut prendre différentes formes : générateur de codes doté d’un clavier de saisie, clef USB, lecteur de QR code, etc. Dans ce cas, la banque doit veiller à apporter à son client tout le support et l’assistance nécessaires à la bonne prise en main de ce dispositif. »

[8] tien du code envoyé par SMS ou par serveur vocal associé à un code personnel. Dans ce cas de figure, le consommateur valide la transaction sur Internet en saisissant dans deux champs distincts : i) le code reçu par SMS ou par serveur vocal interactif et ii) un code personnel statique qui lui a été communiqué par sa banque (par exemple, le code d’accès à sa banque en ligne). La cinématique de paiement est donc globalement inchangée, moyennant l’ajout d’un champ de saisie supplémentaire sur la page de validation, ce qui constitue une solution de continuité ;

[9] ’utilisation d’un dispositif physique mis à disposition par la banque, en particulier pour la clientèle « sédentaire » qui effectue ses achats en ligne systématiquement depuis son domicile. Dans ce cas de figure, la banque a équipé le consommateur d’un dispositif lui permettant de s’authentifier de manière sécurisée, et qui peut prendre différentes formes : générateur de codes doté d’un clavier de saisie, clef USB, lecteur de QR code, etc. Dans ce cas, la banque doit veiller à apporter à son client tout le support et l’assistance nécessaires à la bonne prise en main de ce dispositif. »

[DL-8] ttps://www2.deloitte.com/fr/fr/pages/services-financier/articles/revision-cadre-reglementaire-ue-paiements-nouvel-ensemble-dsp3-rsp1.html

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]