La nouvelle Directive sur les services de paiement (dites DSP2), publiée au journal officiel de l’Union européenne le 23 décembre 2015, est désormais transposée en droit national depuis la publication de l’ordonnance n°2017-1252 le 9 août dernier.

Cette DSP2 définit largement le nouveau cadre des services de paiement et induit une certaine recomposition de l’écosystème.

DSP2 : la « DSP1 en mieux »

La DSP 2007/64/CE avait lancé une dynamique forte en Europe mais qui était restée très inégale dans ses modalités de déploiement, selon les pays. Le bilan dressé par la Commission, en 2013, avait démontré que plusieurs de ces dispositions se sont révélées trop ambiguës ou trop générales ou tout simplement obsolètes au regard de l’évolution du marché, dans son champ d’application et, plus particulièrement, dans les exclusions qu’elle prévoit, telles que l’exclusion de certaines activités liées au paiement : par exemple les services d’initiation de paiement et les services d’information sur les comptes (TPPs). Il en est résulté une forme d’insécurité juridique, des risques possibles pour la sécurité de la chaîne des paiements et surtout une protection insuffisante des consommateurs dans certains domaines.

Il est aussi apparu nécessaire de porter remède aux difficultés rencontrées par certains prestataires de services de paiement pour réussir à lancer des services de paiement numériques novateurs, sûrs et conviviaux et d’offrir aux consommateurs et aux détaillants de l’Union des moyens de paiement efficaces, pratiques et sûrs.

Initiation des paiements et agrégation d’information sur les comptes

Depuis l’adoption, en 2007, de la directive initiale sur les services de paiement, les méthodes d’initiation des paiements dans le domaine du commerce électronique ont évolué. Ces services forment généralement une passerelle logicielle entre le site web du commerçant et la plateforme de la banque en ligne du payeur en vue d’initier des paiements par internet sur la base d’un virement. Ces services relèvent désormais de la DSP 2. Ils permettent au prestataire de services d’initiation de paiement (qui ne détient jamais les fonds de l’utilisateur) d’assurer au bénéficiaire que les fonds nécessaires à une opération de paiement donnée sont disponibles sur le compte du client et que le paiement a été initié.

Un régime réglementaire couvrant les activités de services d’information sur les comptes est également créé. Ces services offrent par exemple aux consommateurs et utilisateurs de services de paiement des informations agrégées en ligne concernant les comptes de paiement qu’il détient auprès d’autres prestataires de services de paiement. Cela permet au consommateur d’avoir une vue d’ensemble de sa situation financière à un moment donné, dans un environnement sûr.

Extension du champ

Conformément aux résultats de l’évaluation de la DSP, la nouvelle directive soumet à ses règles différents secteurs qui étaient hors champs, dans les domaines des télécoms, des places de marché, de la billettique, etc.

Passage à une jambe

Mais le changement le plus important, de façon symbolique et pratique, c’est l’extension du champ d’application aux services de paiement dans lesquels soit le payeur, soit le bénéficiaire sont dans l’UE. Dans la DSP seuls les paiements « à deux jambes » étaient concernés. C’est une évolution majeure en particulier pour les services de transferts de fonds et pour étendre la portée des règles encadrant le paiement dans l’UE bien au-delà de ses frontières. Parallèlement à cette extension de la protection des consommateurs, le contrôle anti-blanchiment sur les agents est resserré. L’Agence Bancaire Européenne précisera, à horizon de janvier 2017 et 2018, les modalités de contrôle de ces agents en transfrontières dans l’UE par les autorités de l’Etat d’accueil.

L’enjeu de la sécurité au centre des débats

Parallèlement, la DSP 2 favorise le renforcement des mesures de sécurité pour les paiements par internet et pour l’utilisation de services fournis par les nouveaux acteurs du marché.

Par un mécanisme de renvoi sur un règlement de l’autorité bancaire européenne, elle imposera une authentification forte du client, permettant d’identifier celui-ci à chaque transaction (des exemptions restent possibles). Le nouveau régime de surveillance renforcé augmentera encore le niveau de sécurité et la protection des consommateurs dans ce domaine.

De plus, le système d’ »API« , Interface de Programmation Applicative, plus sécurisé, s’imposera désormais aux acteurs (TPPs notamment) pour récupérer les données des comptes de paiement et pour initier les paiements.  Les comptes d’épargne et les comptes-titres, quant à eux, n’ont pas encore été adressés.

API, késako ?

La DSP2 a indirectement mis la lumière sur le terme d’Applications Programming Interface (API), une interface de programmation qui permet de se « brancher » sur une application pour échanger des données. Cette notion est largement reprise et souvent de façon inexacte ou incomplète.

En ce qui concerne le use case médiatisé entre les établissements de crédit et prestataires de services de paiement gestionnaires de comptes (ASPSP) et les PSP tiers, les API seront un moyen de sécuriser l’échanges de données sensibles de paiement et de permettre à des acteurs innovants d’exercer et de continuer à proposer des services à forte valeur ajoutée.

Mais cela va bien au-delà et les API deviennent centrales dans la façon dont fonctionnent et opèrent les acteurs du paiement.  Elles « ringardisent » notamment le contrat VAD et les solutions traditionnelles reposant sur l’addition de plusieurs acteurs (établissement de crédit, prestataire technique, prestataire de services de paiement).

Les sociétés, dans le secteur des paiements ou non, investissent de plus en plus dans des API et affichent des résultats impressionnants.  Selon un rapport du BCG, Salesforces.com génère 50 % de ses revenus via ses API, eBay, 60 % et Expedia, 90 % !

Incontestablement, l’usage généralisé d’API dans les relations entre acteurs économiques est une étape de plus vers un monde ouvert et interconnecté et les enjeux induits par cette technologie sont réels.

Nous en discuterons en détail le 5 décembre prochain avec des acteurs majeurs tels que Revolut, Braintree, Budget Insight, Intech et Axway mais aussi le Banque de France et la Bourse du Luxembourg. Inscrivez- vous dès à présent !