Dans le cadre de sa communication sur une stratégie en matière de paiements de détail pour l’UE, la Commission proclamait sa volonté d’exploiter "pleinement le potentiel" de la DSP2 tout en garantissant un "haut niveau de sécurité pour les paiements de détail en Europe".

Rien d’étonnant en ce que l’on retrouve le mouvement qui anima la rédaction de la DSP2 :

Promotion de l’Open Banking mais aussi désormais de l’Open Finance ;

Sécurisation renforcée (lutte contre la fraude, communication sécurisée, authentification forte) ;

Mais aussi redéfinition du champ d’application des services de paiement avec une fusion entre les objets des DSP 2 et DME 2, possibilité de réglementer certains services exclus jusqu’à présent.

Modifications du périmètre de la DSP 2

La proposition de fusion de la DSP 2 et de la DME 2 apparaît emblématique. Elle voit principalement les services de monnaie électronique intégrer les services de paiement existants, la réunion sous un même statut avec des exigences de forme identiques (exigences de capital initial et de fonds propres, etc.) des établissements de paiement et des établissements de monnaie électronique (projet d’articles 3 et suivants de la directive), ainsi que l’alignement du régime de distributeur de monnaie électronique sur celui d’agent de services de paiement (projet d’articles 19 et suivants de la directive).



L’Annexe I du Projet de directive prévoit également une nouvelle nomenclature des services de paiement avec des scissions et des fusions. Les expressions suivantes ont été clarifiées : payment account, payment instrument, payment transaction, initiation of a payment transaction, sensitive payment data et d’autres encore.

L’ouverture de l’accès aux comptes

L’Open Banking cède la place à l’Open Finance. La Commission européenne n’hésitant pas à réaffirmer qu’elle croit fermement au potentiel de la banque ouverte. Cette ouverture n’est absolument pas du ressort de la DSP2 et se retrouve dans un projet de Règlement.



Ce projet devra établir des droits et des obligations clairs afin de gérer le partage des données des clients dans le secteur financier au-delà des comptes de paiement, à savoir :

la possibilité, mais pas l'obligation, pour les clients de partager leurs données avec des utilisateurs de données dans un format sécurisé lisible par machine ;

dans un format sécurisé lisible par machine ; l'obligation pour les détenteurs de données clients de mettre ces données à la disposition des utilisateurs de données ;

; le contrôle total, par les clients, des personnes qui accèdent à leurs données et de la finalité ;

; la normalisation des données clients et des interfaces techniques requises dans le cadre des systèmes de partage de données financières ;

dans le cadre des systèmes de partage de données financières ; des régimes de responsabilité clairs en cas de violations de données et des mécanismes de règlement des litiges prévus dans les systèmes de partage des données financières ;

prévus dans les systèmes de partage des données financières ; des incitations supplémentaires pour les détenteurs de données à mettre en place des interfaces de haute qualité pour les utilisateurs de données grâce à une compensation raisonnable de la part des utilisateurs de données, conformément aux principes généraux de partage des données entre entreprises.

Renforcer la sécurité du paiement et de l’accès aux données

Parmi les objectifs de la DSP2, les exigences de sécurité, particulièrement l’authentification forte, ont eu les effets attendus de réduction de la fraude en prévoyant notamment un renforcement des règles d'authentification des clients, extension des droits au remboursement des consommateurs victimes de fraude et généralisation obligatoire pour tous les virements, d’un système de vérification de la correspondance entre le numéro IBAN du bénéficiaire et le nom du compte. Ces différentes questions sont traitées dans un projet de Règlement et ne figurent donc plus dans le corps de la Directive.



La question de l’authentification forte du client devait être éclaircie sur certains points : outsourcing/délégation de l’authentification forte ; le traitement réglementaire des transactions exclues du champ de l’authentification forte ; le besoin de clarification concernant les éléments d’authentification "biométriques" et leur interaction avec le RGPD ; l’indépendance des éléments d’authentification ; la nature des exemptions de l’authentification forte, la clarification de l’application du régime de responsabilité pour les cas où une exemption d’authentification est appliquée.



Le cadre juridique des paiements électroniques est en pleine évolution. Les textes sont particulièrement denses et les articulations entre eux doivent être étudiées pour en préciser les contours et le contenu. En outre, les interconnexions avec les nouvelles directives et règlements du domaine (DORA, MiCA, Data Act, RGPD…) sont à établir. Un grand chantier s’ouvre.



Pascal Agosti, avocat associé, docteur en droit

Caprioli & Associés, Membre du réseau JurisDéfi