La Directive sur les Services de Paiement 2 et les acteurs gérant les moyens de paiement sur internet

 

Adoptée le 13 novembre 2007, la DSP visant à harmoniser les règles en matière de paiement électronique au sein de l’EEE, en vue de garantir un accès équitable et ouvert au marché des payements, est rapidement devenue obsolète et a été remplacée par la DSP 2.

 

L’obsolescence de la DSP 1 s’explique par l’évolution du marché :

  • Apparition de nouveaux types de services de paiement

  • Croissance rapide des paiements sur internet

Cette obsolescence de la DSP 1 n’était pas sans conséquences :

  • Insécurité juridique

  • Risques possibles pour la sécurité de la chaine des paiements

  • Protection insuffisante des consommateurs

  • Obstacle au développement de services de paiement numériques novateurs

La DSP 2 a donc été adoptée le 25 novembre 2015. Cette révision vient compléter une série de dispositions législatives récemment adoptées par l’UE (règlement SEPA 14 mars 2012 et règlement sur les commissions multilatérales d’interchange 29 avril 2015) afin de permettre la mise en place de services de paiement modernes, efficaces et bon marché et de renforcer la protection des entreprises et des consommateurs européens. Il est nécessaire de garder à l’esprit que l’un des objectifs de la Commission européenne est la création d’un marché unique des services de paiement en Europe ; la DSP 1 et 2  en fournissent les bases juridiques.

 

Selon le Parlement européen, cette directive bénéficiera aux consommateurs et aux entreprises, notamment parce qu’elle :

  • Constitue un pas en avant sur la voie d’un marché unique numérique

  • Garantit des paiements en ligne plus surs et plus pratiques

  • Facilite l’arrivée de nouveaux acteurs

  • Permet l’entrée sur le marché de nouveaux services

Quid du champ d’application ?

Prestataires de services de paiements : article 1 DSP 2 qui distingue six catégories de prestataires de services de paiement entrant dans champ application DSP 2

Services de paiements électroniques : annexe 1 DSP 2 fournit une liste exhaustive d’opérations considérées comme des « services de paiement ». Services de paiements électroniques implique donc exclusion paiements par chèque et en espèces.

 

Deux questions se posent :

  1. Quels sont les nouveaux acteurs qui sont pris en compte dans DSP 2 ?

  2. Quelles sont les nouvelles obligations auxquelles sont soumis les prestataires de services de paiement électroniques ?

 

 

1. L’OUVERTURE DU MARCHE A DE NOUVEAUX ACTEURS

 

L’objectif de la DSP 2 est d’encadrer les nouveaux acteurs déjà présents sur le marché ceux qu’on appelle les tiers de paiement ou « Thirds Party Providers ».

 

 

A) Les prestataires de service d’information sur les comptes 
 

Qu’est ce qu’un service d’information sur les comptes ?

L’article 4.16 de la DSP2 en donne la définition suivante :  c’est un « service en ligne consistant à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l’utilisateur de services de paiement soit auprès d’un autre prestataire de services de paiement, soit auprès de plus d’un prestataire de services de paiement ».

 

C’est par exemple le cas de Linxo, Moneydoc ou Budget qui sont des applications permettant d’analyser, de centraliser et d’avoir accès partout et tout le temps à l’ensemble de ses comptes bancaires. Ces applications ont besoin d’un accès aux comptes des utilisateurs.

 

 

B) Les prestataires de service d’initiation de paiement
 

L’article 4.15. de la DSP2 définie le service d’initiation de paiement comme : « un service consistant à initier un ordre de paiement à la demande de l’utilisateur de services de paiement concernant un compte de paiement détenu auprès d’un autre prestataire de services de paiement ».

 

C’est un service de paiement qui n’est pas fourni par une banque mais qui va permettre notamment les paiements sur internet, et à l’utilisateur de demander à un tiers de donner l’ordre de paiement  à sa banque pour son compte. Remarque : Il est important de préciser que ces prestataires ne sont pas impliqués dans les transferts ni les fluxs financiers mais uniquement dans des fluxs informationnels. Ils ne remplacent pas un établissement de crédit. Ce sont des passerelles logicielles Ainsi, ce n’est pas en les utilisant que l’on peut éteindre la  dette que le consommateur a à l’égard du commerçant.

 

Quid de Monexion ?

Monexion permet de créer, entre particuliers, une cagnotte pour gérer des dépenses communes mais également de payer et rembourser les participants. Face à ce type de prestataires il est nécessaire d’analyser ce qu’ils font réellement car la limite de leur action est parfois floue. Si l’on prend le cas de Monexion il est possible de l’analyser comme suit : Nous sommes en présence de la constitution d’un porte monnaie électronique collectif, ceux qui mettent de l’argent dans la cagnotte font un chargement en monnaie électronique vers la cagnotte qui est dépensé comme de la monnaie électronique. Mais une autre analyse aurait pu être faite.

 

 

C) Les Pre-requis 
 

L’un principe majeur est celui de l’accès non discriminatoire aux systèmes de paiement. Des traitements différenciés peuvent ainsi être opérés, mais sur le fondement de critères objectifs. Le critère de différenciation utilisé doit être réellement objectif pour qu’il n’y ait pas de discrimination.

 

Qu’est ce qu’un système de paiement ?

Dans l’esprit de la DSP, un système de paiement est un système de compensation et de règlement entre établissement de crédit. L’exemple Français est CORE. En Europe c’est TARGET : il est géré par la BCE (Banque Centrale Européenne), seuls les établissements de crédit européens (120) ont accès aux infrastructures d’échange et de règlement et ont un compte TARGET. Il fonctionne en monnaie centrale tout comme ABE (systéme d’échange bancaire européen)  et SWIFT.

 

En outre, il est interdit aux personnes autres que les prestataires de services de paiement de fournir des services de paiement auxquels s’appliquent une obligation de notification : on se rapproche ici de la procédure d’agrément.

 

Il est important de préciser qu’historiquement, il existait un monopole bancaire (les banques avant 1986 étaient nationalisées) de la gestion des moyens de paiement. Les moyens de paiement étaient très encadrés.  La DSP 1 est venue briser ce monopole en introduisant des établissement de  paiement et de monnaie électronique . La DSP 2 quant à elle ajoute deux nouveaux acteurs.

Quid des agréments ? Ce sont les autorités de contrôle et de régulation qui délivrent les agréments pour les établissements de crédit en Europe, mais celles ci ne font pas partie de l’Eurosystème (L’Europe est dotée de l’Eurosystème, organe regroupant la BCE et les banques nationales des pays ayant adopté l’euro.) car les agréments concernent toute l’Union Européenne et même les pays qui ne font pas partie de la zone euro.

 

La volonté actuelle est de tendre vers un marché unique européen : les critères doivent être appliqués de la même manière dans tous les pays ce qui n’était pas le cas auparavant.

 

Autrefois,  il existait des paradis d’agréments. Par exemple il était nécessaire qu’attendre 8 jours pour obtenir un agrément au Luxembourg alors qu’en France le temps d’attente était de plus de 18 mois en France.

Ainsi, le chapitre agrément de la DSP 2 est important et renforce la coopération pour l’ échange d’informations entre les autorités nationales de contrôle prudente (en France l’ACPR). La BCE contrôle en pratique si les critères de ce chapitre sont appliqués uniformément par les Autorités nationales de contrôle .

 

 

2. L’ALOURDISSEMENT DES MESURES DE SÉCURITÉ

 

La sécurité des paiements électroniques est fondamentale pour favoriser le commerce électronique et rassurer les consommateurs. Le principe majeur est l’exigence de proportionnalité entre les mesures de sécurité et le niveau de risque associé au service de paiement. En réponse à ce principe de proportionnalité la directive introduit des exceptions. Ainsi, certaines opérations ne vont pas être soumises aux mesures de sécurité : ces opérations sont précisées par l’ABE via des normes techniques de réglementation (RTS).

 

Quid des normes techniques de réglementation ?

Il s’agit en réalité d’actes délégués. Seule la Commission peut prendre des actes délégué, mais en la matière, c’est l’ABE, qui les rédige puis les propose à la Commission. Les actes délégués sont directement applicables et procurent des droits à l’ensemble des justiciables.

 

L’ABE va utiliser plusieurs critères cumulatifs pour juger l’exclusion ou non :

  • le niveau de risque lié au service fourni

  • le moyen utilisé pour exécuter l’opération

  • le montant, le caractère récurrent de l’opération ou le deux

Quatre mesures de sécurité vont être présentées.

 

Le mécanisme de contrôle et de procédure de notification des incidents

La question qui se pose est celle de savoir ce qu’est un  incident devant être déclaré ? C’est un réel problème en pratique car il n’existe pas de définition.

 

L’authentification forte du payeur :

Elle permet de vérifier l’identité d’un utilisateur de services de paiement.

Elle est définie par l’article  4.30 de la DSP 2 comme étant  « une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories «connaissance» (quelque chose que seul l’utilisateur connaît), «possession» (quelque chose que seul l’utilisateur possède) et «inhérence» (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ».

 

L’article 97 distingue trois hypothèses, selon que le payeur :

1. Accède à son compte de paiement en ligne : authentification forte

2. Initie une opération de paiement électronique : authentification forte + lien dynamique

3. Exécute une action, grâce à un moyen de communication à distance (paiement sur internet par exemple) : authentification forte

Remarque : La distinction est importante entre l’authentification forte et le lien dynamique qui assure l’intégrité des données.

 

Protection des données de sécurité personnalisées :

 

L’article 4.31 de la DSP 2 définit les données de sécurité personnalisées, comme des données personnalisées « fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification ».

Protéger ces données permet d’éviter les activités frauduleuses et le risques de phishing. C’est une obligation de mettre en place des mesures de sécurités adéquates pour protéger la confidentialité et l’intégrité des données. Mais la directive ne dit pas ce qu’elles sont et renvoie à l’ABE.

Les notions de confidentialité et d’intégrité évoquent les mécanismes de la signature électronique  et le scellement des messages par l’utilisation de  clés cryptographiques.

 

Sécurisation des communications entre les différents acteurs :

 

Entre les prestataires de paiement gestionnaire du compte, les prestataire d’initiation de paiement, les payeurs, les bénéficiaires et/ou les autres prestataires de services de paiement.

Pour mettre en œuvre les différentes mesures de sécurité il est nécessaire d’avoir une communication sécurisée entre les différents acteurs qui doivent utiliser les mêmes normes.

 

 

3. LE RENFORCEMENT DE LA PROTECTION DES CONSOMMATEURS

 

A) L’interdiction de facturer les suppléments (le surcharging)
 

L’utilisateur (le commerçant) doit pouvoir choisir quel instrument de paiement il souhaite utiliser sans avoir de frais associés à ce choix.

 

Ainsi, l’article 62.3 de la DSP2 énonce que « le prestataire de services de paiement n’empêche pas le bénéficiaire d’appliquer des frais, ou de proposer une réduction au payeur, ou de l’orienter d’une autre manière vers l’utilisation d’un instrument de paiement donné. Les frais appliqués ne peuvent dépasser les coûts directs supportés par le bénéficiaire pour l’utilisation de cet instrument de paiement ».

 

L’article 62.4 quand à lui précise qu’« en tout état de cause, les États membres font en sorte que le bénéficiaire ne puisse appliquer des frais au titre de l’utilisation d’instruments de paiement pour lesquels les commissions d’interchange sont réglementées par le chapitre II du règlement (UE) 2015/751 et pour les services de paiement auxquels s’applique le règlement (UE) no 260/2012 ».

Quid de l’Affaire EasyJet ? Quel est le droit applicable ? Celui du consommateur, s’il y a une démarche vers le consommateur (notion d’activité dirigée).

 

Précision  : Il existe des exceptions à cette interdiction =  les cartes commerciales d’une entreprise et les système american express (3 coins) ne sont pas soumises au règlement SAUF quand ces systèmes utilisent des agents pour distribuer ces cartes et qu’elles représentent 4% des flux des instruments de paiement dans le pays concerné. Ainsi, ces cartes ne remplissent pas ces critères en Angleterre où elles ne peuvent pas être surtaxées. En revanche, en France elles ne remplissent pas ces critères et peuvent être surtaxées.

 

B) Une responsabilité accrue du prestataire en cas d’opérations de paiement non autorisées

 

Qu’est ce qu’une opération de paiement non autorisée ? Une opération réalisée sans le consentement du porteur légitime de l’instrument de paiement.

 

L’article 74 de la DSP2  :

D’une part, décharge le payeur qui ne peut être tenu de supporter que jusqu’à concurrence  de 50 euros (DSP 1 = 150euros ) « les pertes lies à toute opération de paiement non autorisée consécutive à l’utilisation d’un instrument de paiement perdu ou volé ou au détournement d’un instrument de paiement ».

D’autre part, incite les prestataires à avoir des systèmes d’authentification forte puisque « le payeur ne supporte aucune perte financière éventuelle à moins qu’il ait agi frauduleusement  en l’absence de cette authentification forte».

 

 

C) Le droit au remboursement inconditionnel 
 

L’article 76 à ce sujet était déjà présent à l’article 44 de la DSP (1), mais des nouveautés sont apportées par la DSP 2 notamment en ce qui concerne les virements.

 

 

Conclusion

 

La DPS 2 poursuit l’objectif d’harmonisation des règles en matière de paiements électroniques au sein de l’EEE tout en s’adaptant aux nouvelles pratiques émergentes et aux nouveaux acteurs qui ont déjà développé (ou souhaite le faire) des services de paiement, comme par exemple les opérateurs télécoms.

En outre, la DSP 2 répond à l’une des problématiques majeures liées au développement des nouveaux moyens de paiement : la sécurité. En effet, la DSP2, prévoit en son sein, un nouveau chapitre renforçant les mesures de sécurité qui pèsent sur les acteurs du marché.

Enfin, ces divers apports ne se font pas au détriment de la protection du consommateur qui est elle renforcée par cette directive.

Share on Facebook
Share on Twitter
Please reload

Featured Posts

Pratiques professionnelles : Examen de plaidoirie en PI

May 5, 2019

1/8
Please reload

Recent Posts
Please reload

Archive