Services de paiement: des paiements électroniques plus sûrs et innovants pour les consommateurs

Les règles adoptées aujourd'hui mettent en œuvre la deuxième directive de l'UE sur les services de paiement (DSP 2) récemment révisée, qui vise à moderniser les services de paiement en Europe de manière à ce qu'ils tiennent compte de l'évolution rapide du marché concerné et à stimuler l'essor du marché européen du commerce en ligne. Elles permettront aux consommateurs d'utiliser les services innovants proposés par des prestataires tiers, également appelés les «Fintech» (entreprises de technologie financière), tout en conservant des mesures strictes de protection et de sécurité des données pour les particuliers et les entreprises de l'UE. Parmi ces services figurent des solutions de paiement et des outils permettant aux particuliers de gérer leurs finances personnelles grâce à des applications de globalisation des données liées à différents comptes.

M. Valdis Dombrovskis, vice-président de la Commission chargé de la stabilité financière, des services financiers et de l'union des marchés des capitaux, a déclaré à ce propos: «Les nouvelles règles guideront tous les acteurs du marché, les anciens comme les nouveaux, et leur permettront de proposer de meilleurs services aux consommateurs tout en garantissant leur sécurité.»

Le principal objectif de la DSP 2 est de renforcer le niveau de sécurité et de fiabilité des paiements électroniques. Elle impose notamment aux prestataires de services de paiement d'appliquer l'«authentification forte du client». Les règles adoptées aujourd'hui intègrent donc des dispositions strictes en matière de sécurité pour réduire de manière significative les niveaux de la fraude en matière de paiement et protéger la confidentialité des données financières des utilisateurs, particulièrement importante pour les paiements en ligne. Elles requièrent une combinaison d'au moins deux éléments indépendants avant de pouvoir effectuer un paiement: il peut s'agir d'un objet physique (une carte ou un téléphone mobile) combiné avec un mot de passe ou un élément biométrique, comme les empreintes digitales.

La DSP 2 établit également un cadre pour les nouveaux services liés aux comptes de paiement des consommateurs, tels que les services dits «d'initiation de paiement» et les services d'«information sur les comptes». Ces services innovants sont déjà disponibles dans de nombreux pays de l'UE mais la DSP 2 vise à les rendre disponibles pour les consommateurs dans toute l'UE, moyennant des critères de sécurité très stricts. Les règles adoptées aujourd'hui définissent les exigences pour assurer une communication sécurisée et standardisée entre les banques et les «Fintech».

Maintenant que les normes techniques de réglementation ont été adoptées par la Commission, le Parlement européen et le Conseil disposent de trois mois pour les examiner. Après la période d'examen, les nouvelles règles seront publiées au Journal officiel de l'Union européenne. Les banques et les autres prestataires de services de paiement disposeront alors de 18 mois pour mettre en place les mesures de sécurité et les outils de communication concernés.

Historique du dossier

Les normes techniques de réglementation adoptées aujourd'hui ont été élaborées par l'Autorité bancaire européenne en étroite coopération avec la Banque centrale européenne. Elles précisent la manière dont l'authentification forte du client doit être appliquée.

Dans la plupart des cas, le simple fait d'introduire un mot de passe ou de communiquer les données indiquées sur une carte de crédit ne suffira plus pour effectuer un paiement. Dans d'autres cas, outre la combinaison de deux éléments indépendants, il sera également nécessaire d'introduire un code unique valable pour une transaction donnée. L'objectif est de réduire de manière significative les niveaux actuels de la fraude pour tous les moyens de paiement, en particulier les paiements en ligne, et de protéger la confidentialité des données financières des utilisateurs.

Les règles reconnaissent cependant que des niveaux acceptables de sécurité des paiements peuvent, dans certains cas, être atteints par d'autres moyens que par la combinaison de deux éléments indépendants requise pour l'authentification forte du client. Ainsi, les prestataires de services de paiement peuvent être exemptés s'ils ont mis au point des moyens d'évaluer les risques pour les transactions et s'ils sont en mesure de détecter les transactions frauduleuses. Des exemptions sont également prévues pour les paiements sans contact et les transactions de petits montants, ainsi que pour certains types de paiements tels que les frais de transport ou de stationnement. Grâce à ces exemptions, les prestataires de services de paiement pourront continuer à offrir des solutions pratiques et toujours aussi sûres.

Les règles précisent également les obligations imposées aux banques et aux fournisseurs de solutions de paiement innovantes et d'outils d'information sur les comptes. Les banques ne peuvent pas empêcher les consommateurs qui le souhaitent d'avoir recours à ces nouveaux services, et celles qui proposent un service de banque en ligne à leurs clients doivent également coopérer avec les «Fintech» ou avec d'autres banques fournissant ce type de nouveaux services. À cet effet, les banques doivent mettre en place des canaux de communication sécurisés pour transmettre les données et initier les paiements.

Les consommateurs bénéficieront d'un plus large choix et d'une concurrence accrue lorsqu'ils paieront pour des biens et des services achetés en ligne. Ils seront également en mesure de gérer plus efficacement leurs finances personnelles grâce à des applications qui leur permettront de globaliser les données liées aux comptes qu'ils détiennent auprès de différentes banques.

Pour en savoir plus

MEMO

Site web de la DG FISMA sur les services de paiement

Normes techniques de réglementation de la DSP 2 sur l'authentification du client