La Directive sur les services de paiement (DSP ) est une directive européenne concernant les services de paiement dans le marché intérieur européen.
La première version (2007/64/CE) a été adoptée le 13 novembre 2007.
La seconde version a été adoptée le 25 novembre 2015 et abroge la première version. Elle va sans nul doute profondément changer le marché bancaire français et européen. Voir ici + de détails sur la directive DSP2 .
Voyons les principaux impacts de cette directive sur les services de paiement.
La directive DSP2 facilite l’utilisation des services de paiement électronique sur internet en les rendant moins chers et plus sûrs via la prise en compte des services dits d’initiation de paiement, entre le commerçant et la banque de l’acheteur.
Les prestataires de services de paiement sans carte de crédit seront donc désormais soumis aux mêmes normes de réglementation et de surveillance que tous les autres établissements de paiement.
DSP2 oblige au remboursement inconditionnel des prélèvements automatiques, sauf dans le cas où le bien ou service payé a été consommé ou si les pertes sont dues à une négligence de la part de l’utilisateur.
De plus, DSP2 baisse le plafond auquel les utilisateurs sont tenus de payer quand même en cas de paiement non autorisé. cette sorte de franchise passe de 150 euros à 50 euros. Voir ici + de détails sur la directive DSP2 .
Cette directive oblige les agrégateurs de données bancaires, dont beaucoup de « fintechs » comme Bankin’, Linxo ou Budget Insight à respecter les mêmes règles que les banques.
Ces sociétés, qui proposent un « service en ligne consistant à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l’utilisateur de services de paiement soit auprès d’un autre prestataire de services de paiement, soit auprès de plus d’un prestataire de services de paiement » vont devoir se professionnaliser et avoir les mêmes contrôles que les banques qui proposent aussi ce type de services.
L’Autorité de contrôle prudentiel et de résolution vérifiera que ces intermédiaires:
- veillent à la confidentialité des « données de sécurité personnalisées » des utilisateurs (et on attend de savoir comment se fera l’arbitrage avec le RGPD)
- respectent les normes techniques d’identification et de communication sécurisées définies par l’Autorité bancaire européenne
- accèdent uniquement aux données des comptes de paiement indiqués par les utilisateurs et n’utilisent et de conservent ces données que pour la fourniture du service vendu
L’ACPR et la Banque de France vérifieront que la transmission d’informations entre les banques, les établissements de paiement, les établissements de monnaie électronique et ces intermédiaires sont sécurisées.
S’ils respectent toutes ces conditions, ces intermédiaires pourront s’enregistrer auprès de l’Autorité de Contrôle Prudentiel et de résolution. Ils auront alors la possibilité d’accéder aux comptes de leurs « clients » (les particuliers ou sociétés qui décident d’utiliser leurs services) sans que les banques dans lesquelles sont les comptes des utilisateurs puissent s’y opposer (un peu comme Orange dans son rôle d’opérateur de téléphone historique ne peut s’opposer à ce qu’un autre opérateur prenne le relai, y compris quand il n’est qu’une parasite du même réseau Orange comme Free).
Avec cet accès, les intermédiaires pourront optimiser les comptes des utilisateurs mais pour l’instant, nul ne sait quand la directive entrera en vigueur. Techniquement, les banques réclament que les échanges se fassent par API tandis que les intermédiaires qui ont peur d’un verrouillage de ces API par les banques plaident pour des solutions plus simples.
Bonjour,ma banque pousse (fort) à installer son application (crédit mutuel) sur mon téléphone pour continuer mes achats sur internet. Sinon il existe un boîtier (payant) à se procurer chez eux. La DSP2 requiert une double identification, or quand je vais sur mon espace client j’entre mon identifiant et mon mot de passe, je reçois un code à 6 chiffres sur mon tél.à inscrire avant toute utilisation de mon compte. Lors d’un achat je demande un paiement au moyen de ma « payweb card » avec ma carte de clés personnelle, CM de demande d’entrer les chiffres correspondants par ex à H2 (4 chiffres) de cette carte, je reçois à nouveau un code à 6 chiffres sur mon tél, et ensuite seulement je peux inscrire le montant de la payweb card, numéro valide 15 mn seulement. Je pense que j’ai les 2 authentifications demandées par DSP2. Ai-je raison ? Que répondre au CM, existe-t-il une lettre type ? Merci de votre réponse.
PS : j’ai essayé de joindre l’AFUB à Nantes (02.40.93.33.93)… numéro non attribué.
Cordialement.
Vous avez raison et n’êtes pas la seule/le seul à avoir ce problème. C’est la nouvelle loi d’authentification et certaines banques comme le Crédit Mutuel ou HSBC font tout un foin avec ça. Le mieux est de prendre une carte Nickel pour éviter ça ou de changer de banque 😉
Merci, dans ce cas quelles banques valident les 2 authentifications ? Le compte nickel est donc payant (ce qui revient au même que le boîtier (29€/an) et nécessite un autre compte ou puis-je me servir de mon compte CM ? Selon 60 M de conso les banques proposent une solution alternative : « utilisation d’un sms à usage unique couplé à un mot de passe connu du client (dixit FBF). Mais cette option est bien peu mise en avant ». Ce qui ressemble fort à ce que je fais actuellement… Donc il n’y a pas de lettre type a leur transmettre ? Si je ne fais rien, que risque-t-il de se passer ??? Merci de votre réponse.
Les banques sont obligées de mettre en place la double authentification. Certaines banques ne proposent pas de solution par sms (par exemple hsbc) donc c’est soit l’appli, soit le token spécial (qui est gratuit, pour l’instant, chez hsbc mais payant dans d’autres).
Le compte Nickel est juste une carte bancaire (20 euros par an) qu’on peut approvisionner facilement et qui fonctionne facilement donc c’est un pis-aller pour éviter le diktat de votre banque. Sinon, passez dans une autre banque, comme Boursorama, qui est sans doute moins chère en frais et propose la double authentification par sms.