Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Ce que prépare l'Europe pour encadrer la révolution digitale du paiement

Le numérique ne bouleverse pas que les business models. Pour le prendre en compte, les règles et les lois sont elles aussi en pleine mutation. Chaque vendredi, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour nous fournir des clés pour déchiffrer les évolutions juridiques et judiciaires nées de la digitalisation : informatique, cybersécurité, protection des données, respect de la vie privée... Aujourd’hui, regard sur la version 2.0 de la Directive européenne sur les Services de Paiement (DSP), en préparation à Bruxelles.
Twitter Facebook Linkedin Flipboard Email
×

Ce que prépare l'Europe pour encadrer la révolution digitale du paiement
Ce que prépare l'Europe pour encadrer la révolution digitale du paiement © LoopPay

Le secteur du paiement électronique est en plein bouleversement. En effet, face à la multiplication et à la mutation rapide des fraudes (ex : cybercriminalité, phishing, fraude au président ...) et à une réelle inflation technologique (ex : paiement sans contact, via les réseaux sociaux, SMS, Blockchain - technologie sous jacente de toute crypto-monnaie et notamment du Bitcoin) dans toute l’Europe, le législateur européen a lancé un grand chantier de modernisation de la Directive sur les Services de Paiement (DSP). Celle-ci devrait être profondément modifiée dans sa version 2.0 adoptée au Parlement européen en octobre 2015.

 

La donnée, le nouveau Graal bancaire

De nouveaux acteurs ont fait leur apparition :

-          Les agrégateurs de paiement (comme Fiduceo) qui centralisent les données de différents comptes de paiement (domiciliés dans des banques ou des établissements de paiement différents) sur une plate-forme unique ;

-          Les initiateurs de paiement, beaucoup moins développés en France (ex : Sofort), interviennent dans le domaine du commerce électronique en établissant une passerelle logicielle entre le site internet d’un commerçant et une plate-forme de banque en ligne du prestataire de services de paiement (PSP) gestionnaire de compte du payeur (comme un établissement bancaire traditionnel) en vue d'initier des paiements par internet sur la base d'un virement ou d’un prélèvement.

 

La gestion de la donnée bancaire est donc au cœur de ces nouveaux modèles commerciaux, constituant de réelles opportunités pour les Fintech qui devraient accélérer une désintermédiation bancaire déjà entamée. A l’inverse des Prestataires de Services de Paiement traditionnels (ceux dont le statut a été défini dans la première mouture de la PSP), ces nouveaux acteurs peuvent fournir leurs services sans conclure un contrat avec les PSP gestionnaires de comptes, c’est-à-dire sans que les établissements bancaires traditionnels puissent conditionner le recours aux données de leurs clients à des exigences parfois considérées comme discrétionnaires.

 

Toujours est-il que ces deux catégories d’acteurs devront justifier d’un agrément et d’un enregistrement auprès des autorités compétentes pour exercer leurs activités (en France, l’Autorité de Contrôle Prudentiel et de Résolution).

 

La sécurité et l’authentification forte

L’un des principaux axes de cette Directive sera de renforcer la sécurité technique des paiements sur Internet. Pour ce faire, l’ABE (Autorité Bancaire Européenne) a d’ores et déjà rédigé des orientations finales sur la sécurité des paiements sur Internet. Ces orientations, loin d’être de simples recommandations, doivent être mises en œuvre par les autorités compétentes. On notera à ce titre le rôle central de la gouvernance de la sécurité et de l’évaluation des risques pour les établissements bancaires ou encore le suivi et la déclaration des incidents. Toutefois, d’autres standards techniques devraient compléter le paysage sécuritaire.

 

L’authentification du client est considérée à juste titre comme un élément essentiel de la sécurité des systèmes d’information. La DSP 2 introduit une définition précise de l’authentification forte entendue comme : "une authentification reposant sur l'utilisation de deux éléments ou plus appartenant aux catégories connaissance (quelque chose que seul l'utilisateur connaît), possession (quelque chose que seul l'utilisateur possède) et inhérence (quelque chose que l'utilisateur est) et indépendants en ce sens que la compromission de l'un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification.".

 

Mais cette définition doit être complétée avec celle figurant dans les Orientations qui introduit une autre caractéristique, à savoir le caractère non réutilisable et non reproductible (par exemple, un One Time Password envoyé par SMS) d’au moins un des éléments. A défaut de recourir à une authentification forte, la responsabilité du PSP (ex : établissement bancaire) sera présumée engagée.

 

Il ne reste qu’une étape législative à franchir pour la DSP 2 : son adoption formelle par le Conseil des ministres de l’Union européenne. Elle sera ensuite publiée au Journal officiel de l’Union européenne. À compter de cette date, les États membres auront deux ans pour procéder aux modifications nécessaires dans leurs législations afin de se conformer aux nouvelles règles.

 

Ce délai sera sans doute mis à profit par le secteur bancaire pour se réformer et par les Fintech pour conquérir de nouvelles parts de marché. Il faudra veiller, dans ce contexte, que Le consommateur ne soit pas lésé, la concurrence générée par ces nouveaux services ne devant pas se faire au détriment de la sécurité des paiements... Un équilibre fragile et à construire.

Pascal AGOSTI, Avocat associé, Docteur en droit

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale