COM(2023) 366 FINAL
du 28/06/2023
Examen dans le cadre de l'article 88-4 de la Constitution
Texte déposé au Sénat le 07/09/2023Marché intérieur, économie, finances et fiscalité
Proposition de directive du Parlement européen et du Conseil concernant les services de paiement et les services de monnaie électronique dans le marché intérieur, modifiant la directive 98/26/CE et abrogeant les directives (UE) 2015/2366 et 2009/110/CE
COM(2023) 366 final - Texte E18086
Proposition de règlement du Parlement européen et du Conseil concernant les services de paiement dans le marché intérieur et modifiant le règlement (UE) n 1093/2010
COM(2023) 367 final - Texte E18087
(Procédure écrite du 11 décembre 2023)
Le 28 juin 2023, la Commission européenne a présenté son projet de refonte de la deuxième directive sur les services de paiement (DSP2)1(*), qui était entrée en vigueur en 2019. Cette révision prévoit deux propositions de texte :
- Une proposition de directive sur l'agrément et la supervision des établissements de paiement, qui constituera la troisième directive sur les services de paiement la (DSP3) ;
- Une proposition de règlement sur l'encadrement de la fourniture des services de paiement à l'échelle de l'UE.
A. Cadre juridique actuel
La deuxième directive sur les services de paiement (DSP2) avait pour objectif de rendre les paiements électroniques et les services bancaires en ligne plus sûrs et plus simples pour les consommateurs et les entreprises.
Elle comportait trois mesures principales :
- La directive a rendu obligatoire l'authentification forte pour les paiements de plus de 30 euros. Au-delà de ce seuil, l'authentification doit être réalisée avec deux facteurs (code ou mot de passe, utilisation de son appareil, données biométriques). L'objectif est de réduire les risques de fraude et de protéger la confidentialité des données financières ;
- Elle a également interdit la surfacturation, c'est-à-dire l'application de suppléments en cas de paiement par carte de débit ou de crédit, que ce soit dans les magasins physiques ou en ligne ;
- Par ailleurs, la directive a facilité l'ouverture des systèmes d'information des banques et de leurs données clients à des tiers (Open Banking). Des acteurs de la Fintech peuvent désormais proposer des services de paiement.
L'application de la DSP 2 devait faire l'objet d'une évaluation d'ici à fin 2021. L'évaluation, réalisée en 2022, a mis au jour plusieurs déficiences :
- Si la directive a permis le développement de l'open banking, son succès reste mitigé : des Fintechs se sont développées mais celles-ci restent dépendantes des acteurs traditionnels du secteur bancaire et de leurs API (interface de programmation d'application) peu performantes ;
- Les techniques de fraudes ont évolué, avec par exemple le développement du spoofing, consistant à usurper l'identité d'un conseiller pour obtenir la validation d'une opération.
B. Des propositions de la Commission pour sécuriser encore davantage les paiements en ligne et pour développer l'Open Banking
S'agissant de la protection des consommateurs, les principales dispositions des propositions sont les suivantes :
- Donner aux victimes de fraude le droit à un remboursement - dans certaines circonstances - de la part de leur banque ou d'un autre prestataire de services ;
- La proposition de règlement consacre un article à l'authentification forte : les prestataires de services d'information sur les comptes doivent exiger l'authentification forte du client au moins tous les 180 jours ;
- Obliger à une fiabilisation de l'IBAN pour tous les types de virement : le paiement sera soumis à une vérification de concordance entre le nom du compte et le numéro d'IBAN du bénéficiaire ;
- La proposition de règlement impose aux banques la mise en place d'un tableau de suivi et de gestion des autorisations d'accès aux données de paiement.
S'agissant du soutien à l'open banking, les principales dispositions sont les suivantes :
- Renforcer la qualité des API : les banques devraient fournir une API dédiée avec des fonctionnalités de communication normalisées ; elles doivent s'engager à publier régulièrement sur leur site les statistiques de disponibilité et de performance, et à notifier les changements techniques 3 mois à l'avance ;
- Dans le cadre de l'uniformisation des conditions de la concurrence, le régulateur impose également aux banques de fournir une explication aux prestataires de services de paiement pour chaque refus d'accès aux comptes ;
Pour garantir le respect des nouvelles conditions du règlement, les autorités nationales comme l'ACPR devraient bénéficier d'un pouvoir de supervision et de sanctions élargi.
Compte tenu de ces éléments, la commission a décidé de ne pas intervenir plus avant sur ces textes.
* (1) 1 Directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement dans l'ensemble de l'UE.