L’impact de la Directive DSP II

La directive 2007/64/CE du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, dite « DSP 1 », était venue modifier l’état du droit applicable en la matière. Cependant, cette dernière s’est, par la suite, révélée insuffisante pour régir efficacement l’apparition de nouveaux types de services de paiement ainsi que la croissance rapide des paiements électroniques et mobiles.  

Est alors intervenue la directive 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, dite « DSP 2 ». Elle a été adoptée afin d’établir de nouvelles règles, qui comblent les lacunes réglementaires « tout en garantissant une plus grande clarté juridique et une application cohérente du cadre législatif dans l’ensemble de l’Union » (DSP 2, cons. 6).  

Il s’agit d’assurer aux acteurs du marché des conditions équivalentes d’exercice de leur activité afin de permettre aux nouveaux moyens de paiement d’atteindre plus facilement un plus large public, tout en veillant à offrir aux consommateurs un niveau élevé de protection dans l’utilisation des services de paiement dans l’ensemble de l’Union. 

Récemment, l’ordonnance n° 2017-1252 du 9 août 2017 est venue transposer ce texte en droit interne. 

La Commission européenne a adopté, le 27 novembre 2017, de nouvelles règles afin de renforcer le niveau de sécurité et de fiabilité des paiements électroniques. Ces règles mettent en œuvre la DSP 2 récemment révisée. 

L’introduction de nouvelles règles venant renforcer le niveau de sécurité

Ces règles permettront aux consommateurs d’utiliser les services innovants proposés par les « Fintech » (c’est-à-dire les entreprises, généralement des start-up, qui évoluent dans le secteur de l’innovation technologique applicable aux services financiers et bancaires), tout en conservant des mesures strictes de protection et de sécurité des données pour les particuliers et les entreprises de l’UE.

L’authentification forte

La DSP 2 impose notamment aux prestataires de services de paiement d’appliquer une « authentification forte du client » dans l’optique de réduire de manière significative les niveaux de la fraude en matière et de protéger la confidentialité des données financières des utilisateurs. Une combinaison d’au moins deux éléments indépendants avant de pouvoir effectuer un paiement sera requise : 

• un objet physique (une carte ou un téléphone mobile) ; 
• un mot de passe ou un élément biométrique, comme les empreintes digitales. 

En effet, cette méthode d’authentification repose sur l’utilisation d’au moins deux facteurs d’authentification appartenant chacun à l’une des catégories suivantes : « connaissance », « possession » et « inhérence », et donne lieu à la génération d’un code d’authentification. 

La catégorie connaissance est composée d’élément(s) que l’utilisateur connaît, par exemple un mot de passe, la catégorie possession a quelque chose que l’utilisateur possède comme son téléphone ou sa carte bancaire et la catégorie inhérence a quelque chose que l’utilisateur est comme une empreinte biométrique. La DSP 2 rend obligatoire l’authentification forte pour les paiements de plus de 30 euros. 

L’article L. 133-44, I du Code monétaire et financier indique que le prestataire de services de paiement applique l’authentification forte du client lorsque le payeur accède à son compte de paiement en ligne ou initie une opération de paiement électronique ou enfin exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.  

Cette authentification, indique le texte, comporte des éléments qui établissent un lien dynamique entre l’opération, le montant et le bénéficiaire donnés. Ce qui suppose la mise en place des mesures de sécurité adéquates afin de protéger la confidentialité et l’intégrité des données de sécurité personnalisées des utilisateurs de services de paiement.

Les règles relatives aux consommateurs

La directive comprend plusieurs volets et instaure de nouvelles règles intéressant directement les consommateurs dont : 

• L’interdiction de la surfacturation, autrement dit l’application de suppléments en cas de paiement par carte de débit ou de crédit, aussi bien dans un magasin qu’en ligne. 
• Le renforcement des droits de consommateurs, avec par exemple l’abaissement de la franchise restant à la charge du client en cas de paiement frauduleux par carte avant opposition de 150 à 50 euros, des délais plus courts de remboursement et l’introduction d’un droit au remboursement inconditionnel pour les prélèvements en euros. 
• L’obligation de l’authentification forte (c’est-à-dire à deux facteurs au moins entre un code ou mot de passe que l’on sait, un appareil que l’on possède, une donnée biométrique telle que l’empreinte digitale, la voix ou l’iris) pour les paiements en ligne de plus de 30 euros, afin de réduire la fraude dans l’e-commerce. 

• L’ouverture du marché à de nouveaux acteurs en donnant accès aux informations sur les comptes par un canal de communication sécurisé. 

Concernant ces deux dernières dispositions, elles n’entrent pas en vigueur immédiatement. En effet, un délai d’adaptation est prévu pour les normes techniques, de 18 mois après la publication des textes au Journal officiel de l’UE (intervenue le 13 mars), ce qui reporte leur application au 14 septembre 2019. 

Les entités pouvant intervenir

1/La CNIL 

L’une des innovations de l’ordonnance du 9 août 2017 tient à la mise en avant de la CNIL qui semble être l’interlocuteur privilégié en matière de protection des données personnelles. Ainsi, il est prévu par l’article L. 512-7 du Code monétaire et financier que la CNIL veille au respect des articles L. 521-5 et L. 521-6 du Code monétaire et financier, en utilisant les compétences qui lui sont reconnues par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.  

2/La Banque de France  

La Banque de France est aussi susceptible d’intervenir. En effet, aux termes du nouvel article L. 521-8 du Code monétaire et financier, « la Banque de France s’assure de la sécurité de l’accès aux comptes de paiement et à leurs informations dans le cadre de la fourniture des services de paiement » que sont l’initiation de paiement et l’information sur les comptes. C’est donc en duo qu’interviendront les deux instances, en ce domaine, voire en trio avec l’ACPR pour ce qui concerne plus généralement le contrôle de ces établissements. 

En transposant la DSP 2, l’ordonnance du 9 août 2017 consacre, en droit français, de la transformation que connaît le secteur bancaire depuis une dizaine d’années sous l’impulsion des nouvelles technologies et de l’intelligence artificielle.  

Mais la reconfiguration du domaine s’accompagne inévitablement d’une montée en puissance des données personnelles dans le monde numérique ce qui nécessite une accentuation des mesures de protection.

L’établissement d’un cadre pour les nouveaux services liés aux comptes de paiement

Parmi ces services figurent des solutions de paiement et des outils permettant aux particuliers de gérer leurs finances personnelles grâce à des applications de globalisation des données liées à différents comptes.  

Mais il s’agit également de répondre à la question de sécurisation des données qui est au cœur de la directive.

Les services d’initiation de paiement et d’information sur les comptes

La DSP 2 établit également un cadre pour les nouveaux services liés aux comptes de paiement des consommateurs, tels que les services dits « d’initiation de paiement » et les services « d’information sur les comptes ».  

Le premier fait référence à un paiement par virement sur internet tandis que le second permet à l’utilisateur de bénéficier d’une vue globale et actualisée de ses comptes. La directive vise alors à les rendre disponibles pour les consommateurs dans toute l’UE, moyennant des critères de sécurité très stricts.  

Les règles adoptées aujourd’hui définissent les exigences pour assurer une communication sécurisée et standardisée entre les banques et les « Fintech ». 

L’objectif, selon la Commission, est de « favoriser l’innovation, la concurrence et l’efficience » du marché et plus précisément de « moderniser les services de paiement en Europe au profit tant des consommateurs que des entreprises, de manière à rester en phase avec ce marché en évolution rapide ». 

L’encadrement d’une nouvelle pratique : le cash-back

Enfin, l’entrée en vigueur de la DSP2 va aussi légaliser en France une pratique répandue en Europe, celle du cash-back : la possibilité de retirer des espèces chez un commerçant au moment d’un paiement. Aucune disposition spécifique ne l’autorise mais l’article 3 (alinéa e) du texte précise justement qu’il ne s’agit pas d’un service de paiement en tant que tel.  

Le projet de loi ratifiant l’ordonnance de transposition en droit français de la directive, en discussion au Parlement, prévoit d’encadrer cette pratique du cash-back, notamment en fixant un montant maximum. 

La question problématique de la sécurisation des données

1/Le point d’accès aux données 

C’est sur le point de l’accès aux données et les moyens d’y parvenir, que les débats ont été les plus virulents entre les banques criant aux risques de piratage et les nouveaux acteurs (agrégateurs de comptes comme Bankin’ et Linxo) s’insurgeant du risque de nouvelles barrières à l’entrée. 

La DSP2 oblige les banques à fournir l’accès aux données de leurs clients, avec l’accord de ces derniers, à des acteurs tiers que sont les initiateurs de services de paiement (appelés PSP en anglais, tels que SoFort, Adyen, HiPay ou PayPal) ou les prestataires de services d’informations sur les comptes (les agrégateurs présentant des tableaux de bord et outils de gestion des finances personnelles). Ce sont souvent des Fintech mais parfois aussi d’autres banques (elles sont nombreuses à proposer un agrégateur) ou des assureurs (la Maif et son agrégateur appelé Nestor par exemple). 

Les banques devront pour cela « assurer une communication sécurisée et standardisée » en adaptant leur interface bancaire en ligne ou bien en créant une interface spécifique (une API, une interface de programmation interopérable). Faute de quoi les agrégateurs et prestataires de paiement pourront continuer à accéder aux données en pratiquant le « screen-scraping » (capture de données d’écran) en utilisant les codes d’accès du client. Ce qui peut poser problème du point de vue de la sécurité informatique.  

C’est pourquoi, cette pratique sera à la fois limitée dans le temps (tolérance jusqu’en septembre 2019) et encadrée : « La DSP2 interdit aux PSP d’accéder à toute autre donnée du compte de paiement du client que celles pour lesquelles le client a donné son autorisation explicite. Les clients devront consentir à l’accès, à l’utilisation et au traitement de ces données ». 

2/Les données de sécurité personnalisées de l’utilisateur 

En ce qui concerne les données de sécurité personnalisées de l’utilisateur (nécessaires à son authentification), elles ne peuvent être accessibles à d’autres parties que l’utilisateur et l’émetteur de ces données.  

Par ailleurs, toute autre information liée à l’utilisateur ne doit être communiquée qu’au destinataire des fonds et avec le consentement explicite de l’utilisateur.  

Aussi et surtout, les opérateurs (les prestataires de services d’initiation de paiement (PSIP) et les prestataires de services d’information sur les comptes (PSIC) ) ne peuvent utiliser, consulter ou stocker des données à des fins autres que la fourniture du service d’initiation de paiement ou du service d’information sur les comptes.  

En outre, le partage d’accès aux comptes pose la question délicate de la protection des « données de paiement sensibles ».  

Elles s’entendent des données, y compris les données de sécurité personnalisées, qui sont susceptibles d’être utilisées pour commettre une fraude étant précisée qu’en ce qui concerne les activités des prestataires de services de paiement fournissant le service d’initiation de paiement et des prestataires de services de paiement fournissant le service d’information sur les comptes, le nom du titulaire du compte et le numéro de compte ne constituent pas des données de paiement sensibles (C. mon. fin., art. L. 133-4).  

D’une part, les PSIP ne pourront pas stocker ce type de données (C. mon. fin., art. L. 133-40, II, 5°).  

D’autre part, les PSIC ne pourront pas les demander aux utilisateurs (C. mon. fin., art. L. 133-41, II, 5°).  

Le périmètre d’action des nouveaux intermédiaires est a priori sécurisé, il en va de la confiance de la clientèle en ces nouveaux instruments.  

Sur ce point, dans l’objectif d’accentuer la protection des données financières des consommateurs, les traditionnels pouvoirs de supervision des autorités bancaires ont été étendus à de pareilles hypothèses.  

Un dernier point essentiel reste alors à envisager du point de vue de la directive DSP 2 et il s’agit de son rayonnement.

La question du rayonnement

La DSP 2 apporte, par ailleurs,  une modification substantielle quant à la zone de rayonnement de ce nouveau marché. En effet, plusieurs articles du Code monétaire et financier, dont les articles L. 133-1 et L. 314-1, ont été modifiés pour étendre le champ d’application des nouvelles règles mises en place, qui sont entrées en vigueur le 13 janvier 2018. 

L’extension du champ d’application des règles sur les services de paiement est double. D’une part, les règles du marché des services de paiement ont en effet vocation à s’appliquer non plus seulement à l’intérieur des frontières de l’Union européenne et de l’Espace économique européen, mais concernent aussi désormais des paiements dépassant les frontières de ces deux territoires.  

D’autre part, des services de paiement fournis dans une autre monnaie que celle d’un État membre de l’Union européenne ou d’un État partie à l’Espace économique européen sont également visés, alors qu’auparavant, seuls les paiements réalisés dans l’unité monétaire d’un État appartenant à l’un de ces deux territoires étaient concernés par ces mesures.