DSP3 – De la DSP2 au Règlement sur les services de paiement (RSP) : analyse comparative (Partie 1)

1. Contexte

La Commission Européenne a présenté le 28 juin sa proposition de Règlement sur les services de paiement (RSP). Le processus législatif est en cours et une adoption pour mi-2024 est envisagée.

 

2. Pourquoi le choix d’un Règlement ?

A ce jour, le cadre réglementaire des paiements repose sur la deuxième directive sur les services de paiement (DSP2), qui s’applique depuis 2018 dans l’UE.

Des limites ont toutefois été relevées par l’Autorité Bancaire Européenne (ABE) dans une Opinion de juin 2022 sur la DSP2 et dans son Peer Review (janvier 2023), la principale étant une divergence d’application de ce texte par les Etats Membres de l’UE. C’est pourquoi la Commission Européenne propose que les modifications proposées dans la DSP2 soient contenues dans deux projets de textes distincts : 

• La DSP3 (déjà analysé par nos soins) qui prévoit des règles relatives à l’agrément et la surveillance des prestataires de services de paiement (PSP) ;

 

• Le RSP (objet de la présente analyse), qui édicte des règles pour les PSP et en matière de protection des utilisateurs de services de paiement.

 

Le choix d’un Règlement se justifie en vue d’apporter une harmonisation du cadre réglementaire applicable aux paiements électroniques sur le territoire européen. 

 

3. De nouvelles définitions introduites et des définitions existantes précisées

De nouvelles définitions ont été introduites par le RSP qui en comporte 55 (contre 39 dans la DSP3 et 48 dans la DSP2) et d’autres ont été précisées, les plus importantes étant : 

• L’initiation à distance d’une opération de paiement (art.3.7 RSP). La définition d’une opération de paiement à distance est rationalisée par le RSP pour assurer une délimitation entre l’initiation d’une opération de paiement et l’initiation à distance d’une opération de paiement. Cette dernière requiert un “lien dynamique”. Cette nouvelle définition confirme l’interprétation de l’ABE. Ainsi, lorsque l’opération de paiement nécessite le device l du payeur, alors il s’agit d’une transaction à distance ;

 

• Le virement (art. 3.28) inclut désormais le virement instantané (absent de la DSP2), qui fait lui-même l’objet d’une définition à part : “virement qui est immédiatement exécuté, quel que soit le jour ou l’heure” (art. 3.29) ;

 

• L’art. 44 du RSP prend le soin de préciser qu’un agent de paiement (art. 44) agit au nom d’un établissement de paiement (EP) dans la fourniture de services de paiement, “à l’exclusion de la monnaie électronique”. Ainsi, nonobstant la fusion des régimes des services de paiement et de la monnaie électronique, le statut de distributeur de monnaie électronique subsistera (art. 51), à ceci près que celui-ci agira au nom d’un EP fournissant de la ME (et pas un établissement de ME) ;

 

• Les exploitants de distributeurs automatiques de billets (DAB), lesquels ne fournissent pas des services de paiement (art. 54 RSP et art. 38 DSP3) ;

 

• Les opérations de paiement allant du payeur au bénéficiaire, par l’intermédiaire d’un agent commercial (art. 2.2.b) : le RSP précise la définition donnée par la DSP2 (art. 3.b) : l’agent commercial ne peut pas agir à la fois pour le compte du payeur et du bénéficiaire (qu’il entre ou non en possession des fonds), et l’accord doit donner au payeur ou au bénéficiaire une marge réelle pour négocier avec l’agent commercial ou conclure la vente ou l’achat de biens ou de services. Des lignes directrices de l’ABE sont attendues au sujet de l’exclusion relative à l’agent commercial ;

 

• Le cashback (art. 2.2.e) : alors que la DSP2 faisait référence à la fourniture d’espèces dans le cadre d’une opération de paiement pour l’achat de biens ou de services (art. 3.e), le RSP semble admettre le cashback sans achat indépendamment de l’exécution d’une opération de paiement dans des magasins de détail. 

 

4. Contrat-cadre de services de paiement

Les EP devront anticiper une actualisation de leurs contrats-cadre de services de paiement puisque de nouvelles mentions devront y figurer : 

• Informations devant accompagner certaines opérations de paiement : le contrat-cadre devra mentionner le délai estimé pour que les fonds des virements soient reçus par le PSP du bénéficiaire situé hors UE (art. 20.b.vi) ;

 

• Nouveauté sur les frais : le contrat-cadre devra mentionner tous les frais pour les retraits dans les DAB (i) du PSP de l’utilisateur, (ii) un PSP appartenant au même réseau de DAB que le PSP de l’utilisateur, (iii) un PSP  appartenant à un réseau de DAB avec lequel le PSP a une relation contractuelle, (iv) un exploitant de DAB qui ne gère pas les comptes de paiement lorsqu’il propose des services de retrait d’espèces (art. 20.c.ii). De plus, les exploitants de DAB devront fournir ou mettre à la disposition de leurs clients des informations sur les frais éventuels avant que le client n’effectue le retrait ainsi qu’à la réception de l’argent une fois la transaction terminée (art. 7). Enfin, devront y figurer les frais estimés pour les services de conversion monétaire liés à un virement exprimé en pourcentage de majoration par rapport au dernier taux de change de référence applicable disponible émis par la banque centrale concernée (art. 20.c.v).

 

• Responsabilité du PSP : le contrat-cadre devra mentionner (art. 20) la responsabilité du PSP pour les opérations de paiement non autorisées, pour l’application incorrecte du service de vérification (matching) du nom et de l’identifiant unique et pour fraude par usurpation d’identité (spoofing), ainsi que la responsabilité du PSP pour l’initiation ou l’exécution d’opérations de paiement pour identifiants uniques incorrects. 

 

• Résiliation du contrat-cadre (art. 23.2 et considérant 49) : 

– Pour faciliter la mobilité des utilisateurs de services de paiement, ces derniers peuvent résilier un contrat-cadre sans encourir de frais, sauf pour les contrats-cadre résiliés moins de 6 mois après leur entrée en vigueur. Dans ce cas, les PSP peuvent appliquer des frais correspondant aux coûts encourus du fait de la résiliation. Les frais de résiliation du contrat-cadre doivent être mentionnés et être appropriés ; 

– Cette exigence s’applique également lorsque des services de paiement sont proposés conjointement avec des services techniques (ex : location de terminaux) fournis par le PSP ou un tiers. Cette disposition s’explique par la volonté de ne pas enfermer l’utilisateur avec son PSP via des conditions contractuelles plus onéreuses fixées dans les clauses régissant les contrats techniques.  Pour les consommateurs, le délai de préavis convenu est fixé à 1 mois (et 2 mois pour les PSP).

• Contrat de monnaie électronique : les dispositions de la deuxième directive sur la monnaie électronique (DME2) sont retranscrites dans le RSP (art. 30), à ceci près que ce n’est plus un EME qui émet de la ME mais un EP fournissant de la ME. Ainsi, un contrat de ME doit être conclu entre l’émetteur de ME et le détenteur de la ME (ce n’est pas nouveauté). Par conséquent, il est attendu des actuels EME qu’ils actualisent leurs contrats avec les détenteurs de ME une fois que le RSP entrera en application. 

 

• Dérogation aux obligations d’information pour les instruments de paiement de faible valeur et la ME (art. 10) : les seuils de tels instruments ont été rehaussés comme suit : 

DSP2 (art. 42)	RSP (art. 10)
Opérations de paiement dont le montant unitaire n’excède pas 30 €	Opérations de paiement dont le montant unitaire n’excède pas 50 €
Opérations de paiement qui ont une limite de dépenses de 150 €	Opérations de paiement qui ont une limite de dépenses de 200 €
Opérations de paiement qui stockent des fonds dont le montant n’excède à aucun moment 150 €	Opérations de paiement qui stockent des fonds dont le montant n’excède à aucun moment 200 €

 

5. Extension de la prohibition de la surfacturation  (art. 28 et considérants 52 et 53) 

Sous l’empire de la DSP2, l’interdiction de la surfacturation se limitait aux virements et prélèvements libellés en euros, et non dans d’autres devises de l’UE. Toutefois, au titre de son réexamen de la DSP2, la Commission a relevé différentes interprétations concernant les instruments de paiement couverts par ladite interdiction.  Des modifications sont donc introduites dans le RSP pour étendre l’interdiction de surfacturation aux virements (y compris les virements instantanés) et aux prélèvements dans toutes les devises de l’UE.

6. Accès aux systèmes de paiement (art. 31) 

L’obligation pour les systèmes de paiement de disposer de règles et de procédures d’accès objectives, non discriminatoires, transparentes et proportionnées est étendue aux systèmes de paiement désignés en vertu de directive Finalité (directive 98/26/CE). Les règles et procédures d’admission, ainsi que les critères et la méthodologie d’évaluation des risques, devront être rendus publics. Les systèmes de paiement seront tenus d’informer par écrit les PSP de l’acceptation ou du refus de leur demande d’accès et, en cas de refus, d’en fournir tous les motifs.

 

7. Ouverture de comptes de paiements auprès d’un établissement de crédit (EC) (considérant 36 et art. 32)

• Nouveautés : Les règles d’accès (ouverture et fermeture) d’un EP à un compte auprès d’un EC sont renforcées. Alors que la DSP2 ne prévoyait que 4 lignes à ce sujet (art.36), le RSP prévoit 5 paragraphes. La nouveauté réside dans la possibilité pour les agents d’EP, les distributeurs de ME et les demandeurs à l’agrément, d’avoir des comptes de paiement ouverts chez un EC (art. 32.2). Cela était toutefois accepté dans la doctrine de l’ACPR mais très rare en pratique.

 

• Précisions des critères d’ouverture d’un compte de paiement par un EC pour un EP ou ses agents/distributeurs :  

– Un EC peut refuser d’ouvrir des comptes de paiement dans les cas suivants : (i) si  l’EC a des motifs sérieux de soupçonner des contrôles défectueux en matière de BC-FT, (ii) en cas de rupture de contrat par par le demandeur d’un compte, (iii) des informations et des documents insuffisants ont été reçus du demandeur d’un compte, (iv) le demandeur d’un compte ou son modèle commercial présente un profil de risque excessif, (v) si l’ouverture d’un tel compte entraîne un coût de mise en conformité disproportionné pour l’EC ;

– Dans ce cas, l’EC doit notifier et motiver sa décision. Cette motivation doit être spécifique aux risques posés par l’activité ou l’activité envisagée du demandeur, telle qu’évaluée par l’EC et ne doit pas être de nature générique.

 

8. Open-Banking

• Mise en place d’une interface dédiée (art. 35 RSP)

 

• Contexte : sous l’empire de la DSP2 les PSP gestionnaires de comptes (PSPGC), c’est-à-dire les prestataires teneurs de comptes, avaient le choix entre offrir l’accès aux TPP via une interface dédiée et permettre aux TPP d’utiliser l’interface utilisée par leurs clients pour accéder à leurs comptes de paiement en ligne (incluant l’interface mobile du PSPGC). Avec le RSP, les PSPGC proposant des comptes de paiement accessibles en ligne sont désormais tenus de fournir au moins une interface dédiée aux TPP pour accéder aux comptes de paiement (le choix n’existe plus). Toutefois, à titre exceptionnel, une autorité nationale peut permettre à un PSPGC d’offrir comme interface l’une des interfaces qu’il utilise pour l’authentification et la communication avec ses utilisateurs de services de paiement ou de ne fournir aucune interface lorsque cela se justifie (art. 39).  L’interface devra obéir aux normes CEN/ISO. 

 

• Sanctions : en cas de non-conformité de l’interface dédiée, ou si des obstacles sont constatés, y compris sur la base des informations transmises par les PSIP (prestataires de services d’initiation de paiement) et les PSIC (prestataires de services d’information sur le comptes, ou agrégateurs), les autorités peuvent prononcer des sanctions (cf. voir la partie III de notre analyse qui sera publiée prochainement). 

 

• Interface & PSIP : l’interface du PSPGC devra permettre aux PSIP d’initier un paiement avec une seule authentification forte du client, à condition que le PSIP ait fourni au PSPGC tous les éléments suivants : l’identifiant unique du payeur, le nom légal et commercial du bénéficiaire et son « identifiant unique », une référence de transaction, le montant du paiement et la devise du paiement, en fonction desquels l’authentification unique forte du client est déclenchée (art. 36.4). L’interface doit également permettre au PSIP d’obtenir la confirmation immédiate sous forme d’un “oui” ou “non” de la disponibilité du montant sur le compte de paiement du payeur ainsi que la confirmation que le paiement sera exécuté  (art. 36.5) ; 

 

• Interface & PSIC : L’interface du PSPGC devra permettre aux PSIC de communiquer en toute sécurité pour demander et recevoir des informations relatives aux comptes de paiement (art. 36.3) ; 

 

• Mesures de contingence en cas d’indisponibilité de l’interface (art.38) : 

– Le RSP rappelle une disposition prévue à l’art. 33 des RTS SCAselon laquelle l’indisponibilité de l’interface du PSPGC est présumée lorsque 5 demandes consécutives d’accès à des informations pour la fourniture des services AIS/PIS ne reçoivent aucune réponse de l’interface dédiée dans les 30 secondes ; 

– Pendant la période d’indisponibilité, il incombe aux PSPGC de proposer sans délai une solution alternative efficace (ex: l’utilisation de l’interface que le PSPGC utilise pour l’authentification et la communication avec ses utilisateurs) ; 

– Lorsque l’interface dédiée n’est pas disponible et que le PSPGC n’a pas proposé de solution alternative rapide et efficace, alors les PSIP/PSIC peuvent demander à leur autorité compétente de leur permettre d’utiliser l’interface que le PSPGC utilise pour l’authentification et la communication avec ses utilisateurs pour l’accès aux données du compte de paiement (art. 38.3 du RSP) ; 

– Néanmoins, à la demande d’un PSPGC, l’autorité compétente peut exempter le PSPGC de l’obligation de mettre en place une interface dédiée et permettre au PSPGC soit de proposer, en tant qu’interface pour l’échange sécurisé de données, l’une des interfaces que le PSPGC utilise pour l’authentification et la communication avec ses utilisateurs de services de paiement ou, le cas échéant, de ne proposer aucune interface pour l’échange sécurisé de données. Des RTS de l’ABE sont attendues à ce sujet.

 

• Suppression de l’exigence du mécanisme du fall-back (art. 35.2) : les PSPGC qui proposent à un payeur un compte de paiement accessible en ligne et qui ont mis en place une interface dédiée ne sont pas tenus de maintenir également en permanence une autre interface de secours (fall-back) aux fins d’échange de données avec les PSIP / PSIC. 

 

• Obligation de transparence pour le PSPGC : les PSPGC ont l’obligation de mettre à disposition des TPP toute modification des spécifications techniques de leur interface dédiée à l’avance, dès que possible, et au moins 3 mois avant ladite modification (art. 35.5). Les PSPGC doivent également publier sur leur site internet des statistiques trimestrielles sur la disponibilité et les performances de leur interface dédiée (art. 35.5).

 

• Tableau de bord (dashboard) (art. 43): une importante nouveauté du RSP réside dans l’obligation, pour les PSPGC, de fournir à l’utilisateur de services de paiement un tableau de bord, intégré à leur interface utilisateur, pour surveiller et gérer les autorisations que l’utilisateur de services de paiement a accordées pour les services AIS ou PIS couvrant des paiements multiples ou récurrents.

– Contenu du tableau de bord: le dashboard doit (i) fournir à l’utilisateur de services de paiement un aperçu de chaque autorisation en cours accordée pour les services AIS/PIS (le nom du PSIP/PSIC auquel l’accès a été accordé, le compte client, l’objet de l’autorisation, la durée de validité de l’autorisation, les catégories de données partagées), (ii) permettre à l’utilisateur de retirer l’accès aux données pour un service AIS/PIS donné, (iii) l’objet de l’autorisation, (iii) permettre à l’utilisateur de rétablir tout accès aux données retiré, (iv) inclure un enregistrement des autorisations d’accès aux données qui ont été retirées ou qui ont expiré, pour une durée de 2 ans.

– Collaboration entre le PSPGC et les TPP (art. 43.4) : le PSPGC doit informer en temps réel le PSIP/PSIC des modifications apportées par un utilisateur à une autorisation sur le dashboard (objet de l’autorisation, durée de validité de l’autorisation, catégories de données concernées). Les TPP doivent également informer le PSPGC d’une nouvelle autorisation accordée par un utilisateur de services de paiement. 

– Impacts opérationnels du dashboard : l’implémentation d’un tel tableau de bord devrait être une source de développements et de coûts supplémentaires pour les banques. Il reste à espérer qu’il n’y aura pas de retard dans l’implémentation de ces dashboards (comme ce fut le cas pour les API DSP2), compte tenu du legacy des banques traditionnelles. On se félicitera toutefois de la prise en compte des sujets RGPD par le législateur européen dans un texte dédié au paiement. Les utilisateurs de services d’Open-Banking pourront mieux gérer leurs données personnelles. 

 

• Nouvelles obligations pour les PSIC (art. 86-3)  : le RSP introduit un important changement comparativement à la DSP2 au sujet de l’application du SCA par les PSIC. En effet, alors que sous la DSP2 le PSPGC était chargé d’effectuer le SCA sur l’utilisateur lorsque ce dernier accédait aux informations du compte de paiement via un PSIC, désormais avec le RSP le PSIC devra effectuer son propre SCA sur l’utilisateur tous les 180 jours (sauf si le PSPGC a des motifs raisonnables de soupçonner une fraude). Ce n’est que lors du premier accès aux données du compte de paiement par un PSIC que le PSPGC effectuera une SCA (art. 86.3).

 

• Nouveaux droits pour les PSIP (art. 36.2.d) : préalablement à l’initiation d’une opération de paiement, le PSPGC doit mettre à la disposition des PSIP l’identifiant unique du compte, les noms associés du titulaire du compte et les devises disponibles à l’utilisateur de services de paiement.

 

• Suppression du service de confirmation de la disponibilité des fonds : la Commission Européenne relève qu’il n’y a pas eu de demande significative du marché pour le service spécifique de confirmation de la disponibilité des fonds (art. 65 DSP2) en tant que service d’Open-Banking, comparativement aux services AIS/PIS. En effet, très peu de modèles commerciaux, voire aucun, n’ont été développés sur la base de ce service, car le marché s’appuie sur l’utilisation de l’AIS comme alternative pour vérifier la disponibilité des fonds. Cette disposition a donc été supprimée. 

 

• Consentement (considérant 69): alors que la DSP2 employait le terme de “consentement explicite”, le RSP fait le choix de le remplacer par le terme d’autorisation (permission). Ce choix s’explique sans doute par la volonté d’éviter des interprétations divergentes de la notion de “consentement” au sens de la DSP2 et au sens du RGPD. Et ce, quand bien même le Comité Européen de la Protection des données (CEPD) avait, dans ses Lignes Directrices sur l’articulation entre la DSP2 et le RGPD de 2020, apporté des précisions à ce sujet : le consentement au sens de la DSP2 fait référence au consentement du client en vue de contractualiser avec son PSP ou à l’autoriser à traiter les données pour fournir les services contractuellement prévus. Il ne s’agit pas du consentement en tant que base légale de traitement de données personnelles au sens du RGPD. On notera également qu’en droit français, l’article L.521-5 du Code monétaire et financier (CMF) prévoit que les PSP ne traitent des données personnelles nécessaires à l’exécution de leurs services de paiement qu’avec le “consentement exprès” de l’utilisateur de services de paiement. L’intégration de la notion d’“autorisation” aura le mérite d’harmoniser la terminologie employée.