Les dessous de la DSP 2 : Directive sur les services de paiement

Quelle est la meilleure stratégie pour gagner une partie de Monopoly ? Tapez cette recherche dans Google et vous tomberez sans doute sur des conseils tels que : acheter de manière agressive, tout acheter, exercer un pouvoir, etc. Un article (en anglais) parle même d’infliger de la douleur !

Dans le contexte d’un jeu de société, ces techniques ne posent pas vraiment problème (même si elles retirent au jeu son potentiel ludique), mais dans le monde des affaires, une concurrence trop faible et une attitude agressive pour conquérir les marchés seraient non seulement injustes, mais peuvent également nuire aux autres.

Heureusement, avec les progrès technologiques et sociaux, de nouvelles lois et réglementations entrent en vigueur pour aider les différents secteurs à fonctionner selon une approche plus équitable et équilibrée et protègent aussi les personnes et les entreprises contre des pratiques néfastes.

En Europe, l’une des réglementations qui propose une telle protection est la Directive amendée sur les services de paiement (DSP 2).

Les objectifs de la DSP 2 incluent :

• La sécurisation des paiements en ligne
• Une meilleure protection des consommateurs
• Un terrain de jeu plus équitable pour les entreprises de Fintech modernes, dont les prestataires de services de paiement (PSP)

Cet article entend explorer la DSP 2 et la manière dont elle s’applique à votre activité. Pour cela, nous en présentons ses origines, ses critères de conformité et ses conditions d’application.

Qu’est-ce que la DSP 2 ?

La DSP 2 est une version mise à jour de la directive européenne initiale sur les services de paiement (DSP).

La Commission européenne a mis en œuvre la directive initiale dans le but de créer un marché unique simplifié pour les paiements au sein de l’Union européenne, d’augmenter l’efficacité et de promouvoir l’innovation et la concurrence dans le secteur du paiement et des services de paiement.

La DSP 2 constitue une version actualisée de la DSP en ce qu’elle s’attarde davantage sur les objectifs principaux de la directive originale, qui s’étendent sur trois domaines majeurs, à savoir :

• Les droits des consommateurs : avec des règles plus nombreuses concernant les réclamations, la surfacturation et les conversions monétaires ;
• Une sécurité renforcée : avec l’authentification forte des clients (Strong Customer Authentication, ou SCA) ;
• Une innovation accrue : avec un accès plus étendu pour les parties tierces aux informations bancaires.

Quand la DSP 2 a-t-elle été introduite ?

Pour commencer, revenons au début des années 2000, lorsque les services et les sociétés de paiement n'étaient pas strictement réglementés. Cette situation a changé avec l’introduction en 2000 de la stratégie de Lisbonne, un plan d’action et de développement à l’échelle européenne, et la mise en place de l’Espace unique de paiement en euros (SEPA). Ces nouvelles politiques ont contribué à créer une infrastructure et une vision des paiements plus intégrées en Europe.

Suite à ces évolutions, en 2007, la première Directive sur les services de paiement (DSP 1) a été adoptée, introduisant une réglementation et un contrôle considérablement accrus des paiements au sein de l’Union européenne. Parmi les changements majeurs : la création de nouvelles entités financières sous la forme d’établissements de monnaie électronique (EMI) et d’établissements de paiement qui, sur agrément, ont été autorisés à fournir des services de paiement aux consommateurs.

En 2013, la Commission européenne a proposé un amendement à la DSP, désormais connue comme étant la deuxième Directive sur les services de paiement (DSP 2).

La DSP 2 était censée entrer en vigueur en septembre 2019, mais l’échéance a été reportée au 31 décembre 2020 en raison de difficultés liées à sa mise en œuvre dans l’Espace économique européen (EEE) et dans d’autres pays.

Quels changements suite à l’adoption de la DSP 2 ?

Services de paiement tiers

Parmi les changements majeurs, la DSP 2 a engendré des règles concernant l’accès par des parties tierces à des informations bancaires. La DSP 2 précise par ailleurs que les consommateurs ont le droit d’utiliser tout prestataire tiers pour répondre à leurs besoins en services bancaires en ligne.

En vertu de la DSP 2, les établissements bancaires doivent désormais fournir des API ouvertes qui donnent à d’autres entreprises de Fintech un accès aux comptes et aux informations de paiement de leurs clients à condition d’obtenir le consentement de ces derniers.

Cela permet aux prestataires tiers d’initier des paiements à partir du compte bancaire d’un client, accélérant ainsi l’innovation dans le secteur des paiements et favorisant (généralement) une expérience de paiement plus rapide et plus facile pour les consommateurs.

Authentification forte des clients (SCA)

Autre aspect clé de la DSP 2 : des mesures de sécurité renforcées, notamment avec des exigences d’authentification forte des clients (Strong Customer Authentication ou SCA, en anglais) pour les paiements en ligne.

La SCA renforce le niveau de sécurité en exigeant de la part des clients qu’ils se soumettent à des étapes de vérification supplémentaires lors de paiements en ligne pour minimiser les risques de fraude.

Toutes les entreprises amenées à traiter des paiements en ligne au sein de l’Europe doivent se conformer à la DSP 2 et mettre en œuvre des mesures de SCA.

La DSP 2 et l’authentification forte des clients s’appliquent lorsque le prestataire de services de paiement de l’entreprise et la banque ou le fournisseur de cartes bancaires sont situés :

• Le Royaume-Uni
• Dans l’Espace économique européen (EEE) ; ou
• Monaco

Dès lors que l’une des parties se trouve en dehors de l’Europe, il est recommandé au prestataire de services de paiement d’investir ses meilleurs efforts pour se conformer aux dispositions liées à l’authentification forte des clients.

Pour en savoir plus sur la SCA et connaître les implications pour votre activité, consultez notre guide complet sur l’authentification forte des clients.

3-D Secure et 3-D Secure 2

La façon la plus courante d’authentifier un paiement par carte en ligne et de respecter les consignes en matière de SCA consiste à utiliser un protocole 3-D Secure ou 3-D Secure 2, compatible avec la plupart des cartes européennes.

3-D Secure (3DS) représente une étape supplémentaire dans le processus de paiement en ligne via lequel le client fournit de plus amples informations afin de compléter sa transaction. La personne peut être amenée à saisir un code à usage unique envoyé sur son appareil ou à se connecter à son compte bancaire en ligne pour confirmer le paiement.

3-D Secure 2 est une version plus récente de 3DS et offre une expérience utilisateur enrichie, qui contribue à l’amélioration de la prévention de la fraude et minimise les points de friction au moment du paiement.

La mise en place d’un protocole 3DS constitue pour votre entreprise une protection supplémentaire contre la fraude puisqu’il garantit que seuls les paiements par carte provenant de clients légitimes sont acceptés. L’authentification d’un paiement via le protocole 3-D Secure implique par ailleurs que la banque de votre client (et non votre entreprise) sera responsable en cas de rejet de débit pour des raisons frauduleuses.

La DSP 2 s’applique-t-elle à votre activité ?

Si votre entreprise accepte les paiements dans certains pays européens, vous devez vous conformer aux dispositions de la directive.

Les pays concernés par la DSP 2 incluent :

• L’Espace économique européen (EEE)
• Monaco
• Le Royaume-Uni

DSP 2 : critères de conformité

La DSP 2 s’applique essentiellement aux établissements bancaires, ce qui signifie que la banque émettrice, ou la banque agissant au nom d’un consommateur dans le cadre d’une transaction en ligne, devra refuser les transactions non conformes afin d’être en conformité avec les dispositions de la DSP 2.

Afin de réduire le risque de refus de la part de la banque émettrice de transactions liées à votre activité, vous devez respecter les règles en vigueur en matière d’authentification forte des clients (SCA).

La SCA concerne les paiements en ligne et sans contact initiés par les clients, ce qui veut dire que les paiements par carte et les virements bancaires doivent respecter les dispositions en matière de SCA et la DSP 2.

Les prélèvements automatiques récurrents par lesquels un consommateur paie de manière périodique une somme fixe sont généralement considérés comme des paiements initiés par le marchand et ne sont pas soumis à la réglementation en matière de SCA.

Comment se conformer à la DSP 2 ?

De nombreuses entreprises travaillent avec un prestataire de service de paiements pour les aider à se conformer aux exigences de la DSP 2 et à proposer l’authentification forte des clients via, par exemple, le protocole 3-D Secure 2.

Un PSP doit toujours aider votre entreprise à se conformer aux dispositions en vigueur. Il doit vous aider à adopter la DSP 2 et proposer d’autres services de sécurité, dont des systèmes de traitement des cartes de paiement qui respectent les normes du secteur de l’industrie des cartes de paiement (PCI), des pages de paiement hébergées et un stockage des données sécurisé.

Chez Mollie, nous proposons une solution de paiement sans effort qui vous aide à prendre en charge plusieurs méthodes de paiement et à offrir à vos clients une expérience de paiement fluide qui génère des conversions. Notre produit comporte des fonctionnalités de sécurité avancées pour vous protéger ainsi que vos clients. Parmi ces fonctionnalités :

• Paiements 3D Secure Dynamique
• Certification PCI-DSS niveau 1
• Surveillance des fraudes

Apprenez en plus sur les paiements avec Mollie.