Qu'est-ce que la PSD2 ?

La directive sur les services de paiement (DSP), initialement adoptée en 2007, constitue le fondement juridique de l'espace unique de paiement en euros (Single Euro Payments Area, SEPA). PSD2 est la directive révisée sur les services de paiement. Le « 2 » fait référence à la directive révisée, car elle a remplacé la directive initiale sur les services de paiement (DSP). Les réglementations décrites dans la PSD2 sont destinées à protéger les consommateurs et leurs données. Elles comprennent des options de paiement plus sûres et plus sécurisées, des délais de paiement plus rapides et elles définissent les droits de remboursement.

Schéma de la PSD2

La PSD a été conçue pour faciliter les paiements entre les 74 membres du Conseil européen des paiements et pour améliorer la protection des consommateurs dans les États membres de l'UE. L'objectif principal de la PSD était d'accroître la participation et la concurrence dans le secteur européen des paiements en rassemblant les prestataires de services de paiement sous un même ensemble de règlements et de normes. Elle s'applique aux banques, aux institutions financières, ainsi qu'aux entreprises non financières.

Il existe des exemptions à la directive PSD2, qui s'appliquent principalement aux petites transactions ou à celles jugées à faible risque. Il s'agit notamment des petits paiements sans contact, des paiements effectués par des entreprises figurant sur une liste blanche, des transactions récurrentes et d'autres transactions considérées comme des possibilités de fraude à « faible risque ».

La directive visait à introduire des pratiques et des règles équitables dans le secteur européen des paiements, ce qui a été accompli principalement par le biais du concept d'« harmonisation maximale ». L'harmonisation maximale vise à prendre en compte les droits et obligations des prestataires de services de paiement tout en tenant compte de la nécessité de protéger les consommateurs. L'objectif était de trouver un équilibre entre les deux grâce à une réglementation qui augmenterait la concurrence, protégerait les utilisateurs, accélérerait le processus de paiement et définirait clairement les droits et les procédures appropriées pour toutes les parties concernées.

Créez votre nouvel écosystème Open Banking !
Créez votre nouvel écosystème Open Banking !
Découvrez les cinq technologies nécessaires pour créer un avantage déloyal.

Les éléments de la PSD2

La directive se compose de deux éléments principaux : les règles de conduite commerciale et les règles du marché. Les règles de conduite définissent les informations que les prestataires de services de paiement sont tenus de fournir lorsqu'une demande de données est formulée. Elles détaillent également les droits et obligations supplémentaires des prestataires de services de paiement et des clients, y compris les lignes directrices relatives à l'autorisation et à l'exécution des transactions, et décrivent les responsabilités et les processus à suivre lors de l'émission de remboursements ou de révocations. En outre, la directive établit une « autorité compétente » pour chaque membre participant afin de superviser tous les établissements prestataires de services de paiement dans son pays.

Les règles de marché ont introduit l'expression « établissements de paiement » au sein de l'espace unique de paiement en euros (SEPA). Ces règles précisent quels établissements sont habilités à gérer des services de paiement et fournissent des orientations pour que ces établissements puissent demander à être agréés comme établissements de paiement.

Des révisions de la PSD2 ont depuis été apportées afin de résoudre plusieurs problèmes qui avaient été négligés auparavant. Par exemple, la portée de la directive était à l'origine assez limitée ; seules les transactions entre nations de l'Espace économique européen étaient couvertes.

La technologie requise pour la PSD2

La PSD2 encourage la participation et la concurrence en donnant aux consommateurs comme aux institutions les moyens d'utiliser des prestataires de services de paiement tiers pour effectuer des transactions et gérer leurs finances. Les prestataires tiers comprennent des entreprises financières, des fintechs qui fournissent des services via des applications numériques, ou des prestataires de paiement autonomes distincts.

La directive exige que les prestataires de services de paiement exposent des API ouvertes qui permettent aux consommateurs d'accéder en toute sécurité à leurs comptes et informations bancaires par l'intermédiaire de prestataires tiers. Ces prestataires de services de paiement se répartissent en trois grandes catégories :

  • Les fournisseurs de services d'information sur les comptes (AISP) peuvent accéder à des données sensibles afin d'analyser les schémas de dépenses pour obtenir plus debusiness intelligence.
  • Les prestataires de services d'initiation de paiement (PISP) sont les prestataires de services qui initient les transactions pour les consommateurs et les organisations.
  • Les prestataires de services de paiement et de gestion de compte (ASPSP) sont les institutions financières qui offrent des comptes de paiement avec accès en ligne, notamment les banques, les sociétés de crédit immobilier, les sociétés de gestion de patrimoine et les sociétés d'investissement.

Ces institutions traitent les données personnelles sensibles des consommateurs individuels et des organisations, y compris les données de cartes, les informations sur les comptes bancaires, les noms complets, les numéros d'identification délivrés par le gouvernement et plus encore. Pour cette raison, les institutions qui adhèrent à la PSD2 doivent également se conformer aux règles de conformité du RGPD.

Compte tenu de la nature sensible des informations relatives aux clients auxquelles on accède par le biais d'API ouvertes, la PSD2 prévoit des règles strictes pour la protection des données, notamment la vérification de l'identité des utilisateurs par une authentification forte du client et la possibilité pour les clients d'accorder leur consentement et de spécifier leurs préférences en matière d'utilisation des données. La directive exige une authentification forte du client pour les paiements électroniques. Elle stipule également que les entreprises doivent adhérer à des pratiques de communication communes et sécurisées. En adoptant ces pratiques, les données peuvent être partagées plus rapidement et de manière plus sûre entre les prestataires de services de paiement et leurs clients.

L'impact de la PSD2 sur les entreprises numériques

La PSD2 contribue à faire évoluer le secteur financier européen dans la bonne direction en intégrant le marché des paiements à travers l'Europe. La motivation principale des modifications apportées était la possibilité d'adopter des normes bancaires ouvertes au sein de l'Espace économique européen. Open banking est fondé sur l'idée de moderniser la banque en combinant la banque traditionnelle, les startups fintech et d'autres nouvelles technologies.

La banque ouverte utilise des API pour permettre l'intégration avec des applications et des serveurs tiers. Elle oblige également les institutions à adopter une technologie open-source, ce qui signifie adopter les dernières normes en matière de confidentialité des données. Que votre établissement soit basé dans l'Espace économique européen ou qu'il accepte des paiements électroniques provenant d'organisations de l'Union européenne, il est soumis à la réglementation PSD2.

Réprimez la criminalité financière avec TIBCO
Réprimez la criminalité financière avec TIBCO
Et si vous pouviez n'utiliser qu'une seule plateforme pour détecter tous les types de crimes financiers majeurs ?

Révisions en matière de sécurité et de confidentialité

La directive révisée protège mieux les consommateurs en appliquant des règles de sécurité plus strictes et en modernisant le processus de paiement. Avec les innovations des paiements en ligne et mobiles et le développement de l'open banking, les transactions internationales nécessitaient un processus plus sûr afin de protéger les informations des consommateurs.

D'autres révisions comprennent la mise en œuvre de normes de « communication commune et sécurisée » grâce à une « authentification forte du client ». Ces deux mesures sont essentielles pour prévenir les opérations frauduleuses et garantir la sécurité des données des titulaires de cartes.

Les normes d'authentification forte du consommateur stipulent comment les prestataires de services de paiement doivent vérifier la légitimité de ses transactions électroniques. Ces normes doivent être appliquées à chaque paiement effectué ainsi qu'à chaque fois qu'un consommateur accède à son compte de paiement.

Une règle clé des normes d'authentification forte des consommateurs est qu'au moins deux mesures de sécurité doivent être utilisées pour la vérification. Il peut s'agir d'un mot de passe, d'un code PIN, d'un scan d'empreinte digitale, d'une authentification par carte ou d'un code d'authentification généré de manière unique. L'un des protocoles de sécurité les plus couramment utilisés pour satisfaire aux normes de communication sécurisée et commune est le 3DS2, ou le 3-D Secure.

Les normes de communication communes et sécurisées imposent l'authentification de toute communication entre les parties impliquées dans le processus de transaction. Les normes exigent que les institutions établissent des canaux sécurisés par lesquels elles peuvent communiquer avec des fournisseurs tiers afin de fournir un accès sécurisé aux données sensibles des consommateurs et des paiements. Un fournisseur tiers est toute organisation qui exploite les API d'open banking pour offrir un service, une option de paiement, un outil ou un aperçu novateur aux clients de services financiers.

Adhérer à la PSD2

La conformité à la PSD2 est satisfaite par le respect de toutes les obligations décrites dans la directive, spécifiques à chaque participant au processus de transaction. Les normes de communication communes et sécurisées nécessitent une certification pour être conformes, mais les normes d'authentification forte des consommateurs sont respectées simplement en utilisant une méthode d'authentification légitime.