Établissements bancaires : de la nécessité de maîtriser et de s’adapter aux apports de la DSP2

L’encadrement juridique des services de paiement a connu, ces dernières années, une importante évolution sous l’impulsion du législateur européen, à l’origine de la directive (UE) 2015/2366 du Parlement et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (dite DSP 2). Ce cadre législatif renouvelé était nécessaire pour prendre en compte les évolutions technologiques et les nouveaux usages apparus sur le marché des paiements depuis l'adoption en 2007 de la précédente directive adoptée en la matière (croissance continue du e-commerce, développement du m-commerce, etc.).

Établissements bancaires : de la nécessité de maîtriser et de s’adapter aux apports de la DSP 2
La directive dite "DSP 2" renforce les exigences en matière d'authentification forte de la part des établissements financiers

Ce cadre législatif renouvelé était nécessaire pour prendre en compte les évolutions technologiques et les nouveaux usages apparus sur le marché des paiements depuis l’adoption en 2007 de la précédente directive adoptée en la matière (croissance continue du e-commerce, développement du m-commerce, etc.).

Ce texte a alors été logiquement transposé en droit interne par l’ordonnance n° 2017-1252 du 9 août 2017, elle-même ratifiée par la loi n° 2018-700 du 3 août 2018.

Quelles en sont les incidences juridiques ? La lecture de l’ordonnance permet de constater qu’elles sont multiples.

On pourrait mentionner :

  • la reconnaissance de nouveaux services de paiement (les services d’initiation de paiement et les services d’information sur les comptes),
  • de nouveaux prestataires de service pour les exercer (les PSIP et les PSIC, pour beaucoup des FinTechs),
  • un renforcement des procédures de contestation des paiements,
  • une amélioration de la protection des données,
  • etc.

Or, parmi ces « nouveautés », certaines ne sont pas encore entrées en application : il s’agit de l’exigence d’authentification forte et la mise en place de certaines interfaces (API). Ces deux hypothèses ont, en effet, pour point commun d’avoir été précisées par un règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 qui ne s’appliquera qu’à partir du 14 septembre 2019.

L’exigence d’authentification forte

Qu’est-ce que l’authentification forte ? Selon l’article L. 133-4, f, du Code monétaire et financier, il s’agit d’ « une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ». L’authentification forte reposera donc, selon les prestataires concernés, sur l’utilisation de deux de ces éléments, voire plus. Le 3D Secure ne sera plus suffisant.

Il découle de l’article L. 133-44, I, que cette authentification forte devra être obligatoirement appliquée dans trois cas. Il en ira ainsi, tout d’abord, lorsque le payeur accédera à son compte de paiement en ligne. La même solution s’imposera, ensuite, lorsque le payeur initiera une opération de paiement électronique. Enfin, cette authentification sera exigée lorsque ce même payeur exécutera une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

Mais qu’adviendra-t ’il en cas de manquement à une telle exigence par les professionnels assujettis ? Notre droit l’indique tant en présence d’opérations non autorisées que d’opérations mal exécutées. Ces dispositions sont particulièrement importantes. Par exemple, concernant les opérations non autorisées, l’article L. 133-19, V, du Code monétaire et financier prévoit que, sauf agissement frauduleux de sa part, le payeur ne supportera aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement de ce même payeur n’ait exigé l’authentification forte. Le prestataire de services de paiement (PSP) du payeur assumera, par conséquent, l’entière dépense de l’opération en question du fait l’absence de cette dernière. Des conséquences sont également prévues par le VI du même article L. 133-19 lorsque l’absence d’authentification forte concerne le bénéficiaire (notamment le e-commerçant) ou son PSP.

Cette authentification forte ne sera cependant pas obligatoire dans tous les cas. Le règlement délégué (UE) n° 2018/389 du 27 novembre 2017 prévoit, par ses articles 10 et suivants, des dérogations à l’application des exigences de sécurité relatives à l’authentification forte du client, sous réserve de conditions bien définies et limitées fondées sur le niveau de risque, le montant et le caractère récurrent de l’opération de paiement et le moyen utilisé pour l’exécuter. Le droit applicable est particulièrement technique sur ce point. 

La mise en place des API

L’ordonnance n° 2017-1252 du 9 août 2017 est donc à l’origine de nouveaux services de paiement : les services d’initiation de paiement et les services d’information sur les comptes.

Or, ceux-ci ne peuvent être correctement assurés que si le prestataire de services d’initiation de paiement (PSIP) ou le prestataire de services d’information sur les comptes (PSIC) dispose d’informations sur les comptes des clients de banque. La législation prévoit alors, sous l’impulsion de la DSP 2, l’obligation pour les prestataires de services de paiement gestionnaires de comptes (PSPGC), principalement les banques, de partager les données qu’elles ont à leur disposition sur leurs clients avec ces PSP « tiers » (Third Party Providers), même sans être liées contractuellement à ces derniers. Nous sommes entrés dans l’ère de l’Open Banking.

Ce partage devra être réalisé à l’aide d’interfaces de programmation spécifiques (API), chargées de sécuriser et de développer l’échange de données avec les nouveaux acteurs précités. Les règles relatives à ces API, s’imposant aux prestataires de services de paiement gestionnaires de comptes (PSPGC), ont été établies par les articles 30 et suivants du règlement délégué n° 2018/389 du 27 novembre 2017. Il s’agit des standards techniques réglementaires (RTS).

Les PSPGC auront alors l’obligation, dans quelques mois, de proposer au moins une interface d’accès permettant une communication sécurisée avec les PSIP et les PSIC, mais aussi les émetteurs d’instruments de paiement liés à une carte. Les PSPGC demeurent libres de faire le choix entre proposer une interface dédiée à cette communication (on parle d’« interface dédiée ») ou recourir à l’interface servant à l’identification des utilisateurs des services de paiement (on parle ici d’« interface utilisateurs »).

On notera la présence, dans le règlement délégué (UE) 2018/389, d’un grand nombre d’exigences à propos de l’interface dédiée. Par exemple, les PSPGC sont dans l’obligation de contrôler la disponibilité et les performances de cette dernière, mais aussi de publier sur leur site internet des statistiques trimestrielles concernant la disponibilité et les performances de cette interface dédiée.

Mais les travaux étant vastes et importants, les professionnels seront-ils prêts le 14 septembre 2019 ?


L’auteur

Lionel Andreu Jérôme LASSERRE CAPDEVILLE
Jérôme LASSERRE CAPDEVILLE est formateur consultant spécialisé en droit bancaire et Maître de conférences habilité à diriger des recherches. Ses domaines de compétences : Actualité du droit bancaire 2018/2019, évolutions légales, réglementaires et jurisprudentielles. Jérôme occupe le poste de Maître de conférences à l’Université : Strasbourg, Toulouse, Pau, Tours et le Caire. Il est également auteur de travaux en droit bancaire. Il occupe la fonction de conseil aux cabinets d’avocats en droit bancaire. Il dispense aux avocats et aux magistrats des formations destinées aux banquiers (conseillers, directeurs d’agences, services juridiques, services conformité).

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *