PSR et PSD3 – Un aperçu des conséquences

Auteur

Romano Ramanti

Publié

5 septembre 2024

Temps de lecture

minutes

Connaissances requises

  • Compréhension de base du trafic des paiements 
  • Connaissance de la directive PSD2 et de ses objectifs

En 2015, la Commission européenne a adopté et introduit la deuxième directive sur les services de paiement UE 2015/2366 (PSD2). L’objectif était de réglementer les innovations techniques sur le marché des paiements de détail, l’augmentation du nombre de paiements électroniques et mobiles ainsi que les nouveaux services de paiement.

Révision

Dans le cadre de son programme de travail 2020, la Commission a présenté un ensemble de mesures intitulé «Une économie au service des personnes» comme sa troisième priorité.

Il comprend, entre autres, la révision de la réglementation PSD2 existante. Dans son analyse, la Commission a identifié quatre problèmes fondamentaux du marché:

  • Les clients courent un risque de fraude et ne font pas confiance aux transactions de paiement.
  • Le secteur de l’open banking n’est que partiellement fonctionnel.
  • Les autorités de contrôle des États membres de l’UE n’ont pas de pouvoirs et de devoirs uniformes.
  • Les règles du jeu entre les banques et les prestataires de services de paiement non bancaires sont inégales.

Les mesures suivantes, entre autres, peuvent contribuer à résoudre les problèmes identifiés:

  • Améliorer l’application de l’authentification forte des clients
  • Créer une base juridique pour l’échange d’informations sur la fraude
  • Obligation d’informer les clients en cas de fraude
  • Inversion conditionnelle de la responsabilité en cas de fraude dans les paiements push autorisés
  • Obligation pour les prestataires de services de paiement d’améliorer l’authentification forte des clients pour les personnes handicapées
  • Obligation pour les prestataires de services de paiement gérant des comptes de mettre en place des interfaces spécifiques pour accéder aux données
  • Introduire un «tableau de bord des autorisations» permettant aux utilisateurs de gérer les autorisations d’accès à l’open banking qui leur ont été accordées
  • Transformer la majeure partie de la PSD2 en un règlement directement applicable afin de clarifier les aspects peu clairs de la PSD2
  • Intégrer les systèmes d’octroi de licences pour les établissements de paiement et de monnaie électronique
  • Renforcer les droits des établissements de paiement et de monnaie électronique sur les comptes bancaires
  • Permettre la participation directe des établissements de paiement et des établissements de monnaie électronique à tous les systèmes de paiement, y compris ceux établis par les États membres conformément à la directive sur le caractère définitif du règlement (SFD).

Cela a abouti à deux propositions visant à modifier la directive PSD2, publiées par la Commission le 28 juin 2023: la directive sur les services de paiement (PSD3) et le règlement sur les services de paiement (PSR). Le Conseil européen définit dans sa directive les résultats concrets à atteindre. Les États membres sont libres de décider comment traduire cette directive dans leur législation nationale, en fonction des résultats obtenus. Par contre, le règlement s’applique directement aux États membres de l’UE. Les États de l’EEE comme le Liechtenstein doivent intégrer des directives et des règlements dans l’accord EEE. Cela se fait dans le cadre de la procédure dite d’adoption par l’EEE. Dans ce cadre, le Comité mixte de l’EEE, composé de représentants de l’UE et des États membres de l’EEE/AELE que sont la Norvège, l’Islande et le Liechtenstein, examinera les actes juridiques dont l’adoption est prévue. L’adoption formelle s’effectue par l’inclusion d’actes juridiques dans la liste des protocoles et des annexes de l’accord EEE. Une fois cette adoption effectuée, les États membres de l’EEE/AELE concernés doivent la transposer dans leur droit national conformément à leurs dispositions nationales. Il s’agit d’une procédure formelle qui ne peut faire l’objet que d’ajustements techniques. Au Liechtenstein, c’est l’état-major de l’EEE qui en est responsable. En coopération avec des experts de l’administration nationale et des ministères du Liechtenstein, il élabore tous les deux ans la liste de travail de l’EEE, qui est adoptée par le gouvernement dans une décision précisant les mesures et les plans de mise en œuvre.

Le PSR et la PSD3 sont des textes liés à l’EEE. Cela signifie qu’ils sont contraignants pour le Liechtenstein et doivent être transposés dans le droit national. Pour la Suisse, les textes ne sont pas juridiquement contraignants.

L'évolution de la directive PSD

Les principales nouveautés

Même avant la PSD2 révisée, des réglementations nationales concernant les établissements de paiement et de monnaie électronique existaient au niveau national dans divers États membres de l’UE. Toutefois, celles-ci n’étaient pas toujours cohérentes, ce qui a conduit à une fragmentation et à des exigences différentes. L’objectif de la PSD3 est donc de créer un cadre juridique unifié.

La PSD3 permettra à l’avenir aux établissements de monnaie électronique d’obtenir une autorisation à l’échelle de l’UE en tant que prestataires de services de paiement (PSP), ce qui rendra inutile la directive sur la monnaie électronique (EMD2). De plus, les prestataires tiers devront surmonter les obstacles actuels pour accéder aux comptes bancaires des clients.

Une nouveauté importante est la vérification de l’IBAN et du nom du bénéficiaire pour les virements qui ne sont pas exécutés de manière instantanée: le PSP du payeur doit fournir au client un service qui vérifie si l’IBAN correspond au nom du bénéficiaire spécifié par le payeur. Le PSP peut demander cette vérification gratuitement au PSP du bénéficiaire. Si l’IBAN et le nom ne correspondent pas, le PSP doit informer le payeur de cette anomalie. Dans la PDS3, les paiements instantanés sont explicitement exclus de la vérification du payeur, car celle-ci est déjà incluse dans le nouveau règlement sur les paiements instantanés (IPR).

Pour accroître la confiance des clients, la Commission a renforcé les dispositions en matière de responsabilité. Si un PSP nie avoir autorisé une opération de paiement effectuée, l’utilisation d’un instrument de paiement enregistré par le PSP (comme une banque) ne prouve pas à elle seule que le payeur a autorisé l’opération ou qu’il a agi de manière frauduleuse ou qu’il a commis une ou plusieurs négligences graves. Le PSP doit prouver que l’utilisateur de services de paiement a agi de manière frauduleuse ou avec une négligence grave. S’il n’est pas en mesure de le faire, il doit rembourser au payeur le montant de l’opération de paiement non autorisée au plus tard 14 jours après la notification de la transaction. En outre, la Commission a élargi les droits des payeurs au remboursement en cas de fraude. Supposons qu’une personne usurpe l’identité d’un employé du PSP en utilisant son nom, son adresse e-mail ou son numéro de téléphone pour inciter un payeur à autoriser une transaction de paiement frauduleuse. Dans ce cas, si le payeur signale immédiatement la fraude à la police et en informe le PSP, celui-ci doit indemniser intégralement le dommage.

Un fournisseur de services de communication électronique est tenu de coopérer étroitement avec les PSP. Il doit immédiatement prendre des mesures organisationnelles et techniques appropriées pour garantir la sécurité et la confidentialité des communications. Cela s’applique également à la transmission des numéros de téléphone et des adresses e-mail. Si le prestataire ne supprime pas un contenu frauduleux ou illégal après en avoir eu connaissance, il rembourse au PSP le montant total de l’opération de paiement frauduleusement autorisée, mais uniquement si le payeur signale immédiatement la fraude à la police.

Les PSP peuvent s’échanger les IBAN de leurs bénéficiaires s’ils ont suffisamment d’indices pour conclure que des opérations de paiement frauduleuses ont eu lieu.

Calendrier

Le 23 avril 2024, le Parlement européen a adopté en première lecture les propositions de la Commission pour la PSD3 et le règlement PSR qui l’accompagne.

Après la décision du Conseil, attendue pour cet été, les versions finales pourraient être disponibles fin 2024. Les États membres bénéficieront d’une période de transition de 18 mois et la réglementation pourrait entrer en vigueur en 2026.

 

Romano Ramanti
Certified Ethical Hacker, Banque cantonale de Zurich

Découvrez-en plus

Intelligence artificielle: les données de paiement qui font la différence

Focus

Intelligence artificielle: les données de paiement qui font la différence

L’IA est essentielle dans le quotidien des banques. Des données de paiement de haute qualité permettent des expériences personnalisées et des applications IA efficaces. L’enrichissement des paiements améliore la qualité des données et optimise les processus importants.

8 juillet 2026

5 minutes
Sécurité dynamique pour protéger les données des cartes

Experts

Sécurité dynamique pour protéger les données des cartes

La norme PCI DSS 4.0 protège les données des cartes de crédit grâce à des mesures de sécurité renforcées telles que l’authentification multifactorielle et des approches basées sur les risques. Ces mesures renforcent la sécurité et la transparence dans le trafic des paiements.

8 juillet 2026

4 minutes
Bureaux de service: des acteurs clés peu connus du trafic des paiements en Suisse

Experts

Bureaux de service: des acteurs clés peu connus du trafic des paiements en Suisse

Depuis les années 1990, les bureaux de service sont des acteurs centraux du trafic des paiements en Suisse. Ils transmettent les ordres de paiement et assurent l'intégrité des données. La BNS a publié des exigences formelles afin de garantir la sécurité et l'efficacité.

8 juillet 2026

6 minutes
MNBC et paiements instantanés: une combinaison semée d’embûches

Panorama

MNBC et paiements instantanés: une combinaison semée d’embûches

Un seul pays exploite à la fois une MNBC et un système de paiement instantané afin d’accroître l’inclusion financière et l’efficacité. Cependant, les différences de normes et de technologies rendent l’interopérabilité difficile. Certains pays envisagent plutôt des MNBC de gros.

8 juillet 2026

4 minutes
«La machine bat l’homme» – C’est vrai non seulement aux échecs, mais aussi dans le domaine des paiements

Talk

«La machine bat l’homme» – C’est vrai non seulement aux échecs, mais aussi dans le domaine des paiements

Helge Kraas, PPI, parle de l'IA dans le trafic des paiements. Il met l'accent sur la détection des fraudes, les paiements instantanés, les factures électroniques, le Request-to-Pay, les services personnalisés, la réglementation, la criminalité et les décisions compréhensibles.

8 juillet 2026

9 minutes
«La sécurité avant tout»

Talk

«La sécurité avant tout»

Le professeur Thomas Ankenbrand souligne l'importance de la sécurité dans les solutions de paiement. Dans une étude, son équipe montre qu'eBill obtient de bons résultats pour les onze critères examinés. Le système fermé évite les ruptures de média et rend ainsi la fraude plus difficile.

5 décembre 2024

4 minutes