PSD2 et maintenant ?

DSP2
Adoptée le 25 novembre 2015, applicable en France depuis le 13 janvier 2018 suite à sa transposition par voie d’ordonnance[1] modifiant le Code monétaire et financier, la Directive sur les services de paiement 2 est venue bouleversée le paysage réglementaire des services de paiement. Création de nouveaux services comme les services d’information sur les comptes et d’initiation de paiement donnant lieu à un agrément ou enregistrement des prestataires les proposant, cette directive consacre les principes de l’open banking dans un souci de régulation des nouveaux acteurs des paiements comme les Fintechs et d’ouverture à la concurrence.

Tout en prônant l’ouverture des données bancaires, elle pose un haut standard de sécurité pour l’accès aux comptes de paiement, matérialisé dans une norme technique de sécurité (RTS) publiée au Journal officiel de l’Union européenne le 13 mars 2018 les modalités d’accès à ces données. Un système d’API devrait à terme et au plus tard en septembre 2019 remplacé la technique actuelle du « web scraping » reposant sur la révélation par l’utilisateur de son login et mot de passe permettant d’accéder à ces comptes en ligne et présentant des risques en termes de sécurité.

Le sujet n’est cependant pas clos. Un projet de loi de ratification de l’ordonnance[2] est actuellement en débat au Parlement et a donné lieu à un échec de la commission paritaire le 19 avril dernier. Il faudra donc une nouvelle lecture.

En outre, le texte (de la Directive comme de sa transposition) suscite encore de nombreuses interrogations dans le cadre de sa mise en œuvre opérationnelle. Sur les API d’abord. Le RTS ne tranche pas tous les points techniques clairement, ce qui a nécessité la mise en place d’un groupe de travail placé sous la responsabilité de la Banque de France. Un second groupe de travail a été créé dans le cadre de European Payment Council (EPC). Ces discussions traduisent les enjeux d’interopérabilité générée par cette question pour éviter la re-fragmentation du marché des paiements. Ces API devront, en outre, être testées pendant 6 mois par l’autorité compétente, l’Autorité de Contrôle Prudentiel (ACPR) et validée par elle.

La question du périmètre des comptes à agréger suscite toujours des débats. Pour mémoire, la Directive ne prévoit que l’agrégation des comptes de paiement et non d’épargne ou de crédit. Or, certains acteurs du paiement, s’appuyant notamment sur le considérant n° 28 du texte, soutiennent que ce texte visait à permettre à l’utilisateur d’avoir une vue d’ensemble sur sa situation financière. Une ouverture de l’ensemble des comptes devrait donc à ce titre être permise. Le Sénat a, d’ailleurs, introduit un amendement au projet de loi ratifiant l’ordonnance pour permettre l’agrégation de ces autres comptes. Toutefois, aux vues de l’échec de la Commission mixte paritaire, ce point n’est pas définitivement tranché. Il pourrait, si ces dispositions étaient maintenues élargir considérablement le périmètre des comptes et des acteurs concernés et inversement multiplier les opportunités pour les nouveaux entrants.

Enfin, l’accès aux données en particulier aux données sensibles de paiement pose des questions de sécurité et de respect du Règlement général relatif à la protection des données personnelles [3]. Il convient, en effet, d’assurer la cohérence des dispositions de la DSP2 avec ce nouveau règlement applicable à compter du 25 mai 2018, notamment en ce qui concerne le recueil du consentement au traitement des données et l’information des utilisateurs de services de paiement ou la notification des violations de données.

Ensemble des sujets dont nous serons amenés à débattre lors de la conférence du 28 juin prochain.

¤¤¤

[1] Ordonnance n°2017-1252 du 9 aout 2017

[2] Projet de loi ratifiant l’ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur , n° 368, http://www.assemblee-nationale.fr/15/dossiers/ratification_ordonnance_2017-1252.asp

[3] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

Pour en savoir plus : 

Assistez à la conférence « DSP2: et maintenant? » qui aura lieu le 28 juin prochain avec des experts renommés, dans un grand hôtel au cœur de Paris.

(Article achevé de rédiger le 29 avril 2018)

Aurélie BANCK
Directeur de département
Lexing Alain Bensoussan Avocats 
Intervenant à la conférence EFE « DSP2: et maintenant? » le 28 juin 2018 à Paris.