Avec l’entrée en vigueur de la directive européenne sur les services de paiement 2 (PSD2) le 13 janvier 2018, l’Allemagne a transposé cette nouvelle réglementation en droit national. La loi de transposition de la deuxième directive sur les services de paiement (Zahlungsdiensteumsetzungsgesetz – ZDUG) a pris en compte les dispositions de surveillance dans la loi sur la surveillance des services de paiement (ZAG) et les dispositions civiles dans le code civil (BGB). De plus, des modifications ont été apportées à d’autres lois (par exemple, la loi sur les établissements de crédit) étaient nécessaires. La PSD2 est une directive européenne visant à réglementer les services de paiement et les prestataires de services de paiement, dont les objectifs sont de:
- renforcer la sécurité des paiements,
- renforcer la protection des consommateurs,
- promouvoir l’innovation,
- stimuler la concurrence sur le marché.
La PSD2 s’applique aux paiements en devises de l’UE/EEE effectués entre des prestataires de services de paiement établis dans l’UE/EEE. De plus, elle s’applique partiellement aux paiements en devises autres que l’UE/EEE (par exemple, le dollar américain ou la livre britannique) ainsi qu’aux paiements effectués par un prestataire de services de paiement établi en dehors de l’UE/EEE (par exemple, la Suisse ou les États-Unis).
La mise en œuvre de la PSD2 se fait en deux étapes. La première étape est entrée en vigueur le 13 janvier 2018 et comprenait, entre autres, la réduction du plafond de responsabilité sans faute en cas d’utilisation abusive de cartes, l’interdiction des surcharges et l’extension du champ d’application aux devises autres que l’UE/EEE. L’obligation d’authentification forte du client et l’ouverture des comptes de paiement aux “tiers” ont été spécifiées plus en détail dans des normes techniques réglementaires de la Commission européenne (RTS, Regulatory Technical Standards). Elles entreront en vigueur avec la deuxième étape le 14 septembre 2019.
PSD2 et les consommateurs
Avec la PSD2, des règles claires ont été établies pour l’utilisation des services d’initiation de paiement afin d’initier des virements bancaires en ligne ou pour les services d’information sur les comptes pour consulter et évaluer les données du compte. Cela signifie que, par exemple, lors d’un achat en ligne, vous n’avez pas besoin de vous connecter spécifiquement à votre banque en ligne, mais vous pouvez demander le virement via un service d’initiation de paiement proposé sur le site du commerçant. En utilisant un service d’information sur les comptes, vous avez la possibilité de consulter les soldes et les transactions de tous les comptes de paiement que vous avez dans différentes banques, sous une forme consolidée.
Cependant, pour que les prestataires de services d’initiation de paiement et d’information sur les comptes puissent fournir ces services, ils ont besoin de votre autorisation et de l’accès à votre compte. La PSD2 réglemente l’accès de ces “tiers prestataires de services de paiement” aux comptes de paiement auprès des prestataires de services de paiement tenanciers de compte. Cet accès n’est accordé à ces fournisseurs que si vous, en tant que titulaire du compte, y consentez explicitement.
Sans votre consentement explicite, rien ne change : aucun paiement n’est effectué et aucun tiers n’est autorisé à accéder à vos données de compte !
Un service d’initiation de paiement est chargé par le payeur d’effectuer un virement à partir de son compte de paiement détenu auprès d’un autre prestataire de services de paiement (par exemple, une institution de crédit). En règle générale, le service d’initiation de paiement est proposé sur le site du commerçant comme une option de paiement. Il confirme également l’exécution du virement au commerçant, afin que celui-ci puisse, par exemple, envoyer la marchandise.
Un service d’information sur les comptes fournit au titulaire du compte des informations consolidées sur ses comptes de paiement détenus auprès d’un ou plusieurs prestataires de services de paiement. De plus, un service d’information sur les comptes peut également être utilisé pour obtenir des informations sur la disponibilité suffisante des fonds afin de proposer d’autres services (par exemple, l’octroi de crédit).
En outre, à partir du 14 septembre 2019, la PSD2 introduit l’obligation dite “d’authentification forte du client”. Cela signifie pour vous une sécurité accrue dans les paiements. Les paiements en ligne et par carte doivent désormais être confirmés par deux caractéristiques indépendantes appartenant aux catégories Connaissance, Possession et Inhérence.
- Connaissance (par exemple, code PIN, mot de passe…)
- Possession (par exemple, téléphone portable, carte, générateur de TAN…)
- Inhérence (par exemple, empreinte digitale…)
Cela signifie que lors du paiement en ligne ou de la connexion à la banque en ligne, vous devrez également saisir un TAN en plus de votre identifiant utilisateur et de votre code PIN. Seules les méthodes de TAN permettant la génération d’un nouveau TAN pour chaque transaction seront autorisées (« méthode dynamique de TAN »).
Les exigences spécifiques en matière d’authentification forte du client sont définies dans le règlement délégué 2018/389 de la Commission européenne.
La PSD2 améliore également la protection des consommateurs contre les abus ou les fraudes liés aux paiements par carte. La participation financière aux dommages causés par une utilisation abusive, un vol ou une utilisation frauduleuse d’une carte de paiement a été limitée à 50 euros, contre 150 euros auparavant. De plus, en cas de paiements non autorisés par le payeur (par exemple, en cas de fraude), le montant doit être remboursé sur le compte du payeur dans un délai d’un jour ouvrable bancaire.
Pour les paiements par carte préautorisés, où le montant exact du paiement n’est déterminé que plus tard, la PSD2 améliore la transparence. Par exemple, lors de la réservation d’une chambre d’hôtel ou de la location d’une voiture, le montant correspondant peut être bloqué sur le compte de carte. Ce “blocage” doit désormais être soumis à votre approbation explicite. De plus, le blocage doit être annulé dès que le montant exact du paiement est fixé.
PSD2 et les commerçants
La PSD2 a également des implications pour vous en tant que commerçant. En raison de l’ouverture des interfaces de compte aux fournisseurs de services tiers, de nouveaux prestataires proposeront des méthodes de paiement (en ligne) innovantes pour vos produits. Vous pourrez ainsi offrir à vos clients une plus grande variété de méthodes de paiement lors de leurs achats en ligne. L’obligation faite aux prestataires de services de paiement d’effectuer une “authentification forte du client” pour les paiements en ligne renforce la sécurité contre les tentatives de fraude. En raison de l’interdiction des surcharges, aucun frais supplémentaire ne pourra être facturé aux consommateurs pour les paiements par carte, virement ou prélèvement.
PSD2 et les prestataires de services de paiement
Avec la PSD2, les fournisseurs tiers non réglementés sont désormais considérés comme des prestataires de services de paiement et sont donc inclus dans le champ d’application de la directive. Les fournisseurs tiers peuvent proposer des services d’initiation de paiement, des services d’information sur les comptes et des cartes de paiement dont les montants sont prélevés sur un compte de paiement détenu auprès d’un autre prestataire de services de paiement. Les fournisseurs tiers sont désormais soumis à la surveillance et au contrôle de l’Autorité fédérale de surveillance des services financiers (BaFin) ou de l’autorité de surveillance nationale respective dans les autres pays de l’UE. Les établissements de crédit sont également autorisés à agir en tant que prestataires d’initiation de paiement, de services d’information sur les comptes ou de tiers.
La PSD2 confère aux payeurs le droit d’utiliser un fournisseur de services tiers et oblige les prestataires de services de paiement tenanciers de compte à fournir aux fournisseurs de services tiers une interface (propre) permettant d’initier des virements (par exemple, vers le commerçant en ligne), de télécharger des informations de compte ou de consulter la couverture des disposions de carte.
Une liste des fournisseurs de services tiers agréés par l’Autorité fédérale de surveillance des services financiers (BaFin) est disponible sur leur site Internet.
Les prestataires de services de paiement étrangers sont enregistrés auprès des autorités de surveillance de ces pays. Vous trouverez ces registres en ligne sur le site de l’EBA.
