Nouveaux PSD3 et PSR : évolution ou révolution?

Contexte

La directive révisée sur les services de paiement (DSP2), adoptée par le Parlement européen le 8 octobre 2015 et entrée en vigueur le 14 septembre 2019, visait principalement à renforcer la sécurité des paiements en ligne, à encourager le développement et l’utilisation de l’open banking, et à rendre le marché européen des paiements plus intégré et plus efficace.

Bien que l’authentification forte du client (SCA) introduite par la DSP2 ait nettement amélioré la sécurité globale des transactions de paiement en Europe, il n’est pas exagéré de dire que la directive n’a pas pleinement réalisé son ambition initiale de créer un espace open banking paneuropéen sans friction, malgré ses 4,5 années d’existence.
Pour être juste, les responsabilités sont partagées et chaque acteur du secteur a matière à réflexion.

Limites de la PSD2

Nous voyons trois principaux obstacles qui ont entravé le développement de la PSD2 et, plus généralement, du système bancaire ouvert.

• Manque de clarté quant à la réglementation elle-même, ce qui entraîne des règles du jeu inégales et des mises en œuvre incohérentes d'un pays à l'autre.
• Manque de volonté de la part de certains fournisseurs de services de paiement chargés de la gestion des comptes (ASPSP) d'ouvrir pleinement l'accès aux données de leurs clients.
• Le manque de préparation du marché lors de l'entrée en vigueur de la réglementation a généré des incertitudes et un risque accru de fraude.

Tout d'abord, le règlement PSD2 lui-même n'était pas assez clair et laissait place à l'interprétation.

• Définition non cohérente de ce qu'est un fournisseur de services d'ouverture de compte (AISP) ou un fournisseur de services d'initiation de paiement (PISP), qui pourrait être considéré différemment selon les pays (en tant qu'institution financière impliquant de nombreuses règles à respecter (par exemple, AML) ou en tant que facilitateur technologique nécessitant beaucoup moins de surveillance de la part des régulateurs).
• Le manque de clarté concernant la définition de ce qui est considéré comme un compte de paiement et les informations auxquelles un fournisseur tiers (TPP) peut accéder (par exemple, les soldes des cartes de crédit et les transactions sont disponibles dans certains pays mais pas dans d'autres).
• Aucune interface API normalisée définie dans les normes techniques réglementaires (RTS) de la PSD2.
• Manque de clarté sur les conditions définissant quand une plateforme peut agir pour le compte du payeur.
• Des incertitudes concernant l'applicabilité de certaines exemptions relatives à l'authentification forte des clients.

Deuxièmement, de nombreux ASPSP n'ont pas pleinement joué le jeu et ont adopté une approche de « produit légal minimum »

• Efforts insuffisants de la part des ASPSP pour que leurs API fonctionnent à un niveau standard de haute qualité.
• Limitations imposées par certains ASPSP aux services de paiement disponibles pour un TPP.
• Difficultés à obtenir un SCA délégué de la part des ASPSP sur une base générale.
• Aucun parcours client PSD2 totalement intégré dans les processus de l'application bancaire de l'ASPSP.

Troisièmement, les acteurs du marché n'étaient pas toujours prêts lorsque la DSP2 a été lancée, ce qui a entraîné des retards et des reports, ce qui a dilué la dynamique globale et ajouté certaines incertitudes opérationnelles

• De nombreux TPP n'étaient pas prêts assez tôt pour tester les interfaces avec les ASPSP et ont sous-estimé le temps et les efforts nécessaires pour obtenir une licence.
• La plupart des grands commerçants en ligne n'étaient pas prêts pour la mise en œuvre de la SCA et ont demandé plus de temps.

Améliorations apportées au PSD3/PSR

Les organismes de régulation financière de l'UE sont bien conscients de ces difficultés et ont proposé deux instruments législatifs distincts pour y remédier : une nouvelle directive (PSD3) axée sur les règles relatives à l'agrément et à la supervision des établissements de paiement, qui devra être transposée par chaque État membre dans sa législation, et un nouveau règlement (PSR) qui se concentre davantage sur l'utilisation des services de paiement et qui entrera directement en vigueur dans chaque pays sans qu'il soit nécessaire de le transposer.

PSD3 et PSR sont les deux faces d'une même médaille, avec pour objectif commun d'améliorer le marché des paiements en Europe en apportant les changements attendus depuis longtemps :

Clarifications, harmonisations et simplifications supplémentaires

• Définition claire d'un compte de paiement et clarification de l'étendue des données qui devraient être mises à la disposition des TPP.
• Règles harmonisées entre les licences des établissements de paiement et des établissements de monnaie électronique et clarification des questions relatives aux passeports triangulaires.
• Règles harmonisées entre les TPP bancaires et non bancaires.
• Clarification concernant l'accès aux systèmes de paiement pour les établissements de paiement.
• Clarification concernant la possibilité d'ouvrir ou de fermer un compte de paiement par un établissement de paiement, ses agents ou ses distributeurs via des établissements de crédit.
• Simplification du mécanisme SCA : les deux facteurs pourraient faire partie de la même famille, les AIPSP ayant moins fréquemment besoin de déclencher un SCA (180 jours contre 90 jours auparavant).

Obligations supplémentaires pour les ASPSP d'autoriser l'accès aux données de leurs clients

• Obligation pour les ASPSP de fournir au moins une interface dédiée aux TPP pour un accès bancaire ouvert, et de partager plus d'informations concernant les mises à jour et les performances des API via des statistiques trimestrielles.
• Obligation pour les ASPSP de proposer un tableau de bord aux utilisateurs des services de paiement leur permettant de gérer les droits d'accès à leurs données.

Exigences de gouvernance plus strictes pour les TPP et renforcement des mesures de lutte contre la fraude

• Transfert de responsabilité vers les TPP lorsqu'un consommateur est manipulé par un tiers se faisant passer pour un employé du PSP.
• Des capitaux supplémentaires sont nécessaires pour les PISP et les AISP.
• Pouvoirs de sanction élargis pour les autorités nationales compétentes, y compris les droits d'enquête.

Perspectives

Cela sera-t-il suffisant ? Le PSD3 et le PSR semblent être davantage une évolution qu'une révolution. Bien qu'ils puissent surmonter les trois principaux obstacles d'une certaine manière, ils ne peuvent pas obliger les ASPSP à aller au-delà de la réglementation, ni garantir que tous les acteurs du marché favoriseront son adoption.

C'est toutefois une bonne chose : l'adoption de nouveaux produits, services ou technologies ne peut pas résulter de la réglementation elle-même. L'expérience de la version initiale du règlement européen sur les identités numériques (eIDAS 1.0), par exemple, a clairement montré que la réglementation à elle seule n'est jamais suffisante pour faire bouger un marché, en particulier lorsque le secteur privé n'est pas pleinement impliqué. Le règlement pourrait bien entendu aider à empêcher, par exemple, certains ASPSP de tirer parti du manque de clarté et des définitions larges de la DSP2 pour limiter ou compliquer l'accès aux données des clients, mais ne peut pas être le catalyseur principal ou unique.

Le grand changement ne pouvait venir que du marché lui-même, des banques, des acteurs du paiement et des commerçants pour mettre en valeur la valeur qu'ils peuvent tirer de ces réglementations et du système bancaire ouvert en général, et des clients pour qu'ils adoptent le changement. Au final, seuls les services apportant de la valeur, simplifiant les parcours clients et donnant aux clients le contrôle de leurs propres données prévaudront. Il ne faut pas oublier que l'évolution initiale du marché permise par la PSD2, à savoir le transfert de la propriété des données des banques aux clients, est là pour durer et ne devrait être que renforcée par les évolutions à venir du marché. À cet égard, les services à valeur ajoutée apportés par le biais du système de compte à compte (A2A) et des paiements instantanés pourraient contribuer de manière significative à cette dynamique de marché et permettre à la PSD3 d'accélérer la pleine réalisation du potentiel du système bancaire ouvert.

Implications pour les commerçants

Alors que les commerçants ont dû faire face à des coûts de paiement par carte plus élevés ces dernières années, les paiements A2A apparaissent comme une alternative intéressante et viable aux coûteux systèmes de cartes et solutions de portefeuille internationaux. Malheureusement, les paiements directs A2A via les TPP sont restés relativement limités pour les raisons mentionnées ci-dessus. À cet égard, la PSD3 et le PSR peuvent constituer un pas dans la bonne direction, en simplifiant les règles, en apportant de la clarté et en incitant les ASPSP à faciliter davantage l'accès aux comptes de paiement. Les commerçants bénéficieront également d'une plus grande sécurité des transactions, ainsi que d'une transparence et d'une harmonisation accrues.

Outre les PSD3 et PSR, le nouveau règlement sur l'accès aux données d'information financière (FIDA) qui pourrait être adopté par le Parlement européen à la fin de l'année ou au début de 2025 facilitera l'accès aux données relatives aux non-paiements par l'intermédiaire des fournisseurs de services d'information financière (FISP). Ce règlement englobera les comptes non payants tels que les investissements, les prêts, les pensions et pourrait modifier encore plus radicalement le paysage des paiements en ouvrant la voie au développement de la finance ouverte. Les commerçants devraient travailler conjointement avec des TPP innovants pour définir les meilleurs parcours et expériences clients, en tirant parti du formidable potentiel du système bancaire ouvert et de la finance ouverte, qui vient d'être découvert jusqu'à présent.

‍