Avènement de l’open banking, développement des TPPs, diminution de moitié du volume des fraudes, établissement d’un cadre de confiance pour les utilisateurs de services de paiement… les succès de la DSP2 sont aussi nombreux qu’indéniables. Pour autant, au cours de ces dernières années, ses insuffisances sont apparues avec une acuité croissante. Qu’il s’agisse des limites de l’open banking, de la concurrence déséquilibrée entre établissements de crédit et de paiement ou encore de l’essor de nouvelles fraudes, plusieurs imperfections devaient être corrigées. Si l’on ajoute à cela les difficultés liées aux textes d’application et la croissance spectaculaire du volume des paiements électroniques, passé de 184 à 240 trilliards d’euros entre 2017 et 2021, il était temps que le cadre du paiement en Europe soit refondu.
C’est à cette fin et dans la continuité de ses stratégies en matière de paiement de détail et de finance numérique, que la Commission européenne a publié, le 28 juin dernier, outre une proposition de règlement FiDAR sur le partage de données financières ouvrant la voie à l’open finance (c’est à dire à l’usage de données financières afin de proposer de nouveaux services ou d’améliorer les services financiers fournis par des tiers au client), une proposition de directive et une proposition de règlement, destinés à remplacer tout à la fois, d’ici une quinzaine de mois, le cadre actuel des services de paiement et celui de la monnaie électronique. Sans prétendre réaliser une analyse exhaustive et détaillée de cette réforme majeure, intéressons-nous ici à ses aspects les plus saillants et aux avancées qui, bien qu’attendues, n’y figurent pas.
Passons rapidement sur les amendements essentiellement formels – mêmes s’ils ne sont pas dépourvus de portée pratique – qui visent à améliorer la rédaction actuelle du texte. Parmi ces changements les plus visibles, relevons la rationalisation de la liste des services de paiement, l’intégration dans la définition des comptes de paiement de l’exigence d’accès direct par le client dégagée par la CJUE, la réforme de la notion d’instrument de paiement pour appréhender les dispositifs non personnalisés tels que certaines cartes physiques, ou encore les précisions sur l’exception applicable aux agents commerciaux. Nous ne nous attarderons pas davantage sur le renforcement des informations à fournir aux clients ou encore sur la faculté offerte aux commerçants de proposer sans agrément un service de retrait plafonné à 50 euros. Pour le reste, reprenons rapidement les principaux objectifs affichés par la Commission.
Corriger le fonctionnement de l’open banking
Reposant sur un partage des données de paiement des clients entre les prestataires de services de paiement (ou « PSP ») gestionnaires de compte et les prestataires tiers, l’open banking se heurte à une coopération parfois insuffisante des premiers et aux réticences de certains clients. Bien que le principe de ce partage ait été consacré par la DSP2, il restait donc à aplanir quelques obstacles. C’est à cette tâche que s’est attelée la Commission qui a donc non seulement publié le projet de règlement FiDAR précité, mais encore a proposé de donner un nouvel élan à l’open banking.
Parmi les mesures proposées, citons par exemple une liste de fonctionnalités que les APIs devront proposer (passer et révoquer des ordres, initier un paiement isolé, initier et révoquer des paiements décalés…), l’obligation pour le gestionnaire de compte de fournir certaines confirmations (sur le solde du compte ou encore l’exécution des opérations), la prohibition d’exigences inutiles ou abusives (exigence d’une saisie manuelle par l’utilisateur, demande de vérifications supplémentaires, nouvelle authentification forte en moins de 180 jours…) ou encore la mise en place d’un tableau de bord devant permettre à chaque client de gérer les autorisations d’accès à ses données et dont il faut espérer qu’il ne soit pas détourné de sa finalité.
Lutter contre les nouvelles formes de fraude
Répondant au développement des modes opératoires reposant sur la manipulation des clients, le projet de règlement sur les services de paiement multiplie les mesures destinées à répondre à ces schémas frauduleux.
Il impose notamment au PSP du bénéficiaire de fournir gratuitement un service de matching consistant à comparer l’identité supposée dudit bénéficiaire à l’identifiant utilisé pour l’opération en question.
Il revoit par ailleurs les règles sur l’authentification forte : la possibilité semble consacrée d’avoir recours à des facteurs d’authentification de même nature s’ils sont indépendants (ce qui revient sur les Q&A de l’EBA), l’accessibilité à cette authentification aux personnes handicapées ou sans smartphone est imposée, et sa mise en œuvre en cas de recours à la technologie NFC est officialisée.
Outre le renforcement de l’arsenal existant de lutte contre la fraude et contre ses effets sur la confiance des clients (en ce compris un nouveau cadre du remboursement par le PSP du payeur et une obligation de coopération des prestataires de services de communications électroniques), cette proposition de règlement entend imposer une innovation majeure par la mise en place d’un dispositif qui tend à ressembler à celui exigé en matière de LCB-FT. Une politique de lutte anti-fraude devrait ainsi être rédigée et appliquée par chaque PSP, la formation des membres du personnel sur ce sujet étant également prévue, de même qu’une faculté bienvenue d’échanger des informations entre prestataires à cette fin, même si cette faculté est assortie de contraintes spécifiques à la lutte anti-fraude (étude d’impact, convention de partage, notification à l’ACPR).
Améliorer les conditions de concurrence entre établissements bancaires et non bancaires
Dépendants des établissements de crédit pour les besoins du cantonnement des fonds de leurs clients, comme pour ceux de leur fonctionnement quotidien, les établissements de paiement rencontrent usuellement des difficultés pour trouver un partenaire bancaire. La politique de derisking mise en place par la plupart des groupes financiers n’a évidemment fait qu’aggraver ce problème.
Afin de répondre à cette situation, la Commission propose plusieurs avancées. Elle commence par appeler de ses vœux une diversification des mesures de protection des fonds des clients par les établissements de paiement, ce qui, dans un tel contexte, peut sembler difficile, mais correspond déjà à une exigence pratique de certaines autorités. Elle propose en sens inverse certaines mesures supposées alléger le fardeau des entreprises du paiement.
En premier lieu, elle prévoit que le refus d’ouverture d’un compte à leur bénéfice par un établissement bancaire devra être justifié par l’un des motifs énumérés par le texte. La formulation large de certains d’entre eux (telle que « profil de risque excessif ») laisse toutefois craindre que la portée de cette exigence soit limitée.
Elle envisage en deuxième lieu de permettre aux banques centrales de l’Union de proposer elles-mêmes un service de cantonnement, brisant ainsi le lien de dépendance des établissements de paiement à leurs cousins de crédit. Il n’est toutefois pas certain, face à la réticence de certaines des institutions intéressées, que cette proposition survive à la procédure législative en cours.
Enfin, elle prévoit d’offrir aux établissements de paiement un accès direct aux systèmes de paiement européens, via une révision de la directive 98/26.
Les changements espérées… mais manquants
Les propositions de la Commission marquent indéniablement un progrès majeur pour les établissements de paiement européens. L’on peut toutefois regretter que certaines dispositions en soient absentes, du moins à ce stade.
Ainsi, la nouvelle directive, qui revoit le contenu du dossier de demande d’agrément des établissements de paiement, ne contient pas de clause de grand-père et obligera les établissements européens déjà agréés à faire confirmer leur autorisation, créant par là-même une incertitude fâcheuse pour les intéressés et leurs partenaires. Sur le même sujet, l’on peut déplorer que les fournisseurs de e-wallet demeurent exemptés d’obligation d’agrément, malgré le caractère sensible de leurs activités.
En matière de sécurité, l’usage de l’authentification forte n’est toujours pas prévu en cas d’accès au compte via des acteurs non régulés utilisant un protocole internet de type EBICS.
En outre, et malgré l’attention que l’ACPR avait annoncée, dans sa publication du 15 mars 2022 sur les nouveaux acteurs du paiement, porter à ce sujet majeur, dont elle a pu souligner qu’il pouvait « nuire à l’égalité de traitement entre acteurs agissant sur un même marché mais supervisés par différentes autorités », aucune précision n’est apportée sur le mode de calcul des exigences de fonds propres fondé sur le volume des opérations de paiement. Il est donc probable que l’approche retenue par l’ACPR, particulièrement défavorable aux entreprises françaises, et sur laquelle l’EBA avait fourni une réponse spectaculairement inutile, survive à la réforme en cours.
Article paru dans Option Finance le 10/11/2023
En savoir plus sur notre cabinet d’avocats :
Notre cabinet d'avocats est l'un des principaux cabinets d'avocats d'affaires internationaux. Nous sommes membre du réseau international CMS, implanté dans plus de 40 pays. Notre enracinement local, notre positionnement unique et notre expertise reconnue nous permettent de fournir des solutions innovantes et à haute valeur ajoutée en droit fiscal, en droit des affaires et en droit du travail.
Les cookies de réseaux sociaux collectent des données sur les informations que vous partagez à partir de notre site Internet par l’intermédiaire des outils des réseaux sociaux ou des données analytiques afin de comprendre votre parcours de navigation entre les outils des réseaux sociaux ou nos campagnes sur ceux-ci ou nos propres sites Internet. Nous les utilisons pour optimiser les différents canaux de communication afin de vous proposer notre contenu. Des informations détaillées concernant les outils que nous utilisons sont disponibles dans notre Politique de confidentialité.