DSP 3 : Plus qu’une mise en conformité, une évolution majeure des paiements en Europe

Rappel du contexte 

La Directive sur les Services de Paiement 3, actuellement en projet, est une mise à jour de la DSP 2. 

Mais alors qu’est-ce que la DSP 2 ? 

Elle-même issue de la DSP 1 et applicable depuis le 13 janvier 2018, cette directive est une réglementation européenne visant à encadrer et sécuriser les services de paiement dans l’Union Européenne. Elle affiche deux principales ambitions :

• Favoriser l’innovation afin de renforcer la compétitivité du marché européen des paiements.
• Consolider le niveau de sécurité des paiements et la protection des clients.

Plus largement, elle vise à s’adapter aux évolutions technologiques et à permettre l’émergence de nouveaux services de paiement. Cependant face à des défis tels que la fragmentation des normes* ou la nécessité d’une ouverture accrue des données financières**, la DSP 3 a été proposée pour se mettre à jour et aller encore plus loin.

En parallèle, la Payment Services Regulation (PSR) – ou, Règlement sur les services de Paiement (RSP) - a été introduite pour assurer l’application directe et uniforme des nouvelles règles dans toute l’UE. Contrairement à la DSP 3, qui fixe à la fois des objectifs et des cadres généraux, la PSR, établit des règles plus précises et directement applicables aux acteurs.

Ces deux textes législatifs devraient façonner la prochaine phase de l’Open Banking, dont l’UE est motrice.

La directive DSP 3 : de quoi s’agit-il ?

DSP 3 vs DSP 2 : quels nouveaux objectifs ?

Comme évoqué en introduction, la DSP 3 est une évolution de la DSP2. Elle se focalise sur quatre axes majeurs :

• Améliorer la sécurité et la protection des consommateurs (à travers des exigences plus strictes et une meilleure transparence).
• Soutenir l’innovation et encourager la concurrence.
• Harmoniser les différentes règles à travers l’Europe afin de tendre vers une uniformisation et un cadre juridique commun à tous les services de paiement.
• Prendre en compte les nouvelles technologies et exigences du marché.

Quels sont les acteurs concernés ?

• PSP – Payment Service Provider : Prestataires de services de paiement (Paylib, Stripe, PayPal) 
  • Gère et facilite les paiements électroniques entre commerçants et clients.

• PISP – Payment Initiation Service Provider : Prestataire de services d’initiation de paiement (Lydia, PayFit)
  • Initie les paiements directement depuis le compte bancaire de l’utilisateur avec son consentement.

• AISP – Account Information Service Provider : Prestataire de service d’information sur les comptes (Bankin’, Linxo, Yolt)
  • Agrège les données de plusieurs comptes bancaires pour donner une vue d’ensemble des finances de l’utilisateur.

• CISP – Card Issuer Service Provider : Prestataire de services d’émission de cartes (Société Générale, BNP Paribas)
  • Fournit et gère les cartes de paiement pour les utilisateurs.

• TPP – Third-Party Provider : Prestataire tiers (notamment PISP, AISP)
  • Regroupe les acteurs tiers qui accèdent aux comptes bancaires avec le consentement des clients.

• EBA – European Banking Authority : Autorité bancaire européenne 
  • Régule, supervise et harmonise les pratiques bancaires en Europe, pour garantir la sécurité et la transparence.

Contenu de cette nouvelle directive

Concrètement, quoi de nouveau pour les acteurs ?

Banques et prestataires de services de paiement (PSP) :

• La nouvelle directive prévoit le renforcement de l’authentification forte du client (SCA). Jusqu’à présent, la sécurité était garantie par la combinaison de 2 facteurs parmi les 3 (possession, connaissance, inhérence), désormais il sera possible d’utiliser 2 facteurs d’authentification issus de la même catégorie. Par ailleurs, l’externalisation de l’authentification à des tiers sera soumise à une régulation plus stricte.
• Face à la fragmentation des normes, elle prévoit également une large harmonisation des règles au niveau européen, notamment avec l’intégration des établissements de monnaie électronique et des PSP sous un cadre juridique unifié afin d’éviter les incohérences pour les services financiers. Dans cette même logique de simplification, elle propose une standardisation des API pour assurer une bonne interopérabilité.
• Dorénavant, ces acteurs auront l’obligation de rembourser leurs clients même si la fraude est commise via un tiers. Parallèlement, la DSP3 entreprend la mise en place de mécanismes de contrôle renforcés pour la détection de la fraude.
• Les exigences en matière de transparence des frais deviendront accrues et le reporting des incidents de fraude aux autorités compétentes deviendra obligatoire (dans la continuité d’une nouvelle gestion des fraudes).

Prestataires tiers (PISP, AISP, et autres TPP) :

• Alors que l’Open Banking se concentre sur l’accès aux données des comptes de paiement des utilisateurs (permettant aux tiers d’initier des paiements ou d’agréger des informations bancaires avec leur consentement), la DSP3 vise à aller plus loin, en créant un cadre propice au développement de l’Open Finance. Autrement dit, en favorisant le partage des données au-delà des seuls comptes de paiement, la DSP3 ouvre la voie à une véritable finance ouverte, où divers secteurs financiers sont interconnectés.
• Mesure commune à tous les acteurs : l’amélioration de l’interopérabilité et de l’accès aux données avec des règles uniformisées pour faciliter l’innovation et l’intégration de nouveaux acteurs.
• Si l’innovation ou l’intégration de nouveaux entrants ou prestataire tiers s’en trouveront facilités, tout nouveaux services ou acteurs devront néanmoins se conformer à des régulations et règles nouvelles, et plus exigeantes en matière de sécurité (notamment pour les opérateurs de distributeurs automatiques de billets (DAB)).

Autorité de régulation (EBA) :

• L’EBA va bénéficier d’une augmentation de ses pouvoirs pour superviser les services de paiement et ajuster les normes techniques, les rendant plus rigoureuses et mieux adaptées aux nouveaux services de paiement. Comme pour les autres acteurs, l’accent est particulièrement mis sur le devoir de surveillance, mais cette fois du côté des régulateurs.
• Pour améliorer la sécurité collective, la DSP 3 envisage l’obligation de partager les données de fraude avec d’autres acteurs du marché et les autorités. L’objectif est d’identifier les fraudeurs et de parer les risques pour l’ensemble des acteurs et instances.

Et pour les consommateurs et les clients ?

• La création et le renforcement des mesures pour les différents acteurs, profitent aux consommateurs et clients : cela engendre un net renforcement de la sécurité et de la protection ; avec, entre autres, une meilleure détection des fraudes, des obligations de remboursements adaptées et plus globalement, une transparence accrue. 
• Les consommateurs pourront aussi bénéficier de nouveaux services. Pour exemple, celui de retrait d’espèce : les commerçants pourront désormais offrir ce service sans qu’un achat soit nécessaire afin de faciliter l’accès aux liquidités. Cela s’inscrit dans l’effort d’inclusion bancaire, visant à améliorer l’accès aux services financiers pour les populations non ou sans-bancarisées.

Et la PSR dans tout ça ?

La PSR, élaborée en parallèle de la DSP 3, joue un rôle essentiel dans l’application uniforme des nouvelles normes à travers l’Union Européenne. Tandis que la DSP 3 définit les grands objectifs à atteindre, la PSR détaille les exigences concrètes et opérationnelles pour les différents acteurs et prestataires de services de paiement. 
On peut noter ces 3 axes majeurs, qui font échos à ceux de la DSP 3 : 

• L’harmonisation des pratiques : la PSR impose des standards unifiés pour tous les acteurs, en réduisant les disparités entre les États membres.
• La sécurisation des transactions : en renforçant les règles de protection des consommateurs, elle complète les mesures de la DSP 3 pour lutter contre la fraude. 
• L’accès direct aux infrastructures de paiement : elle facilite l’inclusion des prestataires non bancaires, en leur garantissant un accès plus équitable aux systèmes de paiement essentiels.

En d’autres termes, la PSR assure une cohérence dans l’application des nouvelles régulations, renforçant ainsi l’efficacité de la DSP 3 sur le terrain.
 

Les étapes clés du déploiement 

Après avoir passé la phase de réflexion, la DSP 3 est désormais en phase « législative ». Elle est soumise à des discussions, des ajustements, éventuellement des amendements et fait, plus largement, l’objet de négociations tripartites entre le Parlement européen, le Conseil de l’Union européenne et la Commission européenne.

La version finale de la directive est attendue courant 2025. Une fois qu’elle sera adoptée, les États membres disposeront d’un délai de 18 à 24 mois, ce qui correspond à la période de transition, pendant laquelle ils devront transposer la directive dans leur législation nationale. 

En d’autres termes, la directive DSP 3 devrait entrer pleinement en vigueur autour de 2026. 

Conclusion

La concrétisation de ces nouvelles normes approche à grands pas. Comme mentionné, elles représentent des avancées majeures pour renforcer la sécurité, harmoniser les règles, et stimuler l’innovation dans le marché des paiements en Europe. 

Pour les acteurs du secteur, se préparer à ces changements est essentiel afin de rester compétitifs et conformes dans ce futur nouvel environnement réglementaire.
 

* Fragmentation des normes : désigne le manque d’uniformité dans les réglementations à travers les différents pays ou différentes institutions, ce qui engendre des incohérences et des obstacles pour les services financiers transfrontaliers.

** Ouverture des données financières : fait référence à l’accessibilité (gratuite) des données des comptes de paiement des clients.