La directive européenne concernant les services de paiement dans le marché intérieur version 2 (DSP2), entrée en vigueur dans l’Union Européenne en janvier 2018, est une réglementation visant à « moderniser les services de paiement en Europe au profit tant des consommateurs que des entreprises » selon les mots de la Commission Européenne. Elle a depuis évolué pour s’adapter aux nouvelles problématiques du numérique : la seconde partie de la directive est ainsi entrée en vigueur le 15 mai 2021.
Quels sont les impacts de cette directive sur les entreprises et les Directions financières en matière de paiement des tiers ? C’est ce que nous allons voir dans cet article.
Qu’est-ce que la DSP2 ?
La directive révisée sur les services de paiement, dite DSP2, intègre et abroge la première directive DSP1 dont l’adoption en 2007 avait permis de créer le marché unique des paiements.
Adoptée en 2015 par le Parlement européen, la DSP2 est entrée en vigueur en 2018 avant d’être transposée en droit français par ordonnance, avec pour dessein l’harmonisation de la réglementation sur les paiements au sein de l’Union Européenne. Les règles liées à l’authentification forte, issues de la DSP2, sont ensuite entrées en application en septembre 2019.
De manière générale, la directive DSP2 vise à faciliter l’utilisation des moyens de paiement en les rendant plus sûrs et plus flexibles, tout en intégrant les innovations technologiques. Elle renforce ainsi la sécurité des opérations de paiement en créant l’obligation de l’authentification forte du client et la mise en place par les banques de mesures de sécurité accrues, notamment en matière de protection des données des utilisateurs. Mais elle crée aussi un cadre juridique pour les Third Party Providers (TPP), ces acteurs tiers dont font partie les agrégateurs de comptes bancaires. Son champ d’application s’étend en effet aux services de paiement et aux Fintechs, créant ainsi de nouveaux enjeux réglementaires qui bousculent l’écosystème financier.
Si la DSP2 s’applique depuis 2018, l’obligation d’authentification forte (voir ci-dessous) a été introduite progressivement. Ainsi, cette obligation est passée d’un seuil de 2 000 euros en octobre 2020 à un seuil de 30 euros en mai 2021.
Quels sont les enjeux de la DSP2 pour les Directions administratives et financières ?
Comme rappelé plus haut, la nouvelle directive DSP2 ne vise pas seulement les consommateurs : elle impacte également les acteurs financiers que sont les banques, les entreprises et les fintechs.
La volonté de protéger les usagers prescrite par cette directive européenne exige en effet des banques qu’elles mettent en place de nouvelles normes, parmi lesquelles une authentification “forte” du client. L’authentification forte est un système de sécurité visant à certifier que la personne qui souhaite effectuer une opération en ligne (paiement, accès à ses comptes…) est bien la titulaire de la carte bancaire ou du compte de paiement. La DSP2 impose l’utilisation de l’authentification forte pour les opérations suivantes :
- l’accès à un compte de paiement en ligne,
- les opérations de paiement électronique (virement, paiement par carte…),
- les actions réalisées par un mode de communication à distance qui présente un risque de fraude.
Une exemption d’authentification est possible dans certains cas (opération à distance d’un montant de moins de 30 euros, virement à un bénéficiaire de confiance, etc).
Les banques sont également dans l’obligation de fournir l’accès aux données de leurs clients (avec le consentement de ces derniers) à des tiers comme les prestataires de services d’informations sur les comptes.
Pour cela, elles devront assurer une communication sécurisée en réagençant leur interface virtuelle, ou bien en mettant en place une interface spécifique dite API. Ces interfaces devront servir à mettre à disposition des TPP les données de paiement de leurs clients.
Le déploiement progressif de la DSP2 suppose donc une mise en conformité des entreprises, ce qui ne va pas sans contraintes. La mise en œuvre des dispositifs d’authentification forte et des moyens de communication sécurisée à destination des TTP, ainsi que les problématiques évidentes de conduite du changement sont en effet autant de lourds chantiers pour les Directions financières.
Focus sur les données des tiers
Depuis le 14 septembre 2019, la DSP2 impose aux acteurs du secteur financier deux mesures phares :
- L’authentification forte pour les transactions en ligne de plus de 30 euros, au moyen de deux de ces trois facteurs : un mot de passe, un appareil que l’on a en sa possession, et une donnée biométrique personnelle.
- L’accès aux données des comptes clients des banques aux prestataires de services de paiement, via un canal de communication sécurisé.
Ces nouvelles mesures imposent aux entreprises d’adapter leurs interfaces informatiques. Le but : créer de nouveaux canaux de communication sécurisés, accessibles aux prestataires de services de paiement pour l’agrégation des données des comptes bancaires.
Découvrez nos conseils pour être conformes en matière de contrôle et gestion des tiers dans cet article.
Des règles de sécurité et d’authentification renforcées pour de nouvelles opportunités
Au-delà de la contrainte réglementaire, la DSP2 génère une réelle valeur ajoutée en renforçant le niveau de sécurité des opérations de paiement. Les nouvelles normes qu’elle édicte permettent en effet aux entreprises de :
- capitaliser sur les données des tiers et des fournisseurs,
- simplifier au maximum le processus d’authentification multi-facteur pour les usagers, tout en conservant un niveau de sécurité optimal,
- intégrer des capacités tierces aux offres de base.
Soit autant de nouvelles opportunités qu’il convient de prendre en compte.
Vers l’Open Banking
A n’en pas douter, la DSP2 engendrera à terme une modification profonde de l’écosystème financier et une révolution de l’Open Banking, soit l’ouverture des systèmes d’information des banques et de leurs données clients à des tiers. L’utilisation des Open APIs permettra ainsi de créer des applications et des services autour des institutions financières, et d’aller vers une plus grande transparence financière des options pour les détenteurs de comptes (Open Data), sans rien sacrifier à la sécurité.
C’est grâce à cette révolution de l’Open Banking et de l’accès aux données que Trustpair vous propose des solutions innovantes afin de sécuriser vos processus de paiements. Intégrée à de nombreuses bases de données de référence, notre solution SaaS permet aux Directions financières de contrôler les coordonnées bancaires de leurs fournisseurs afin d’être en conformité avec les lois en vigueur, dont la DSP2 et sa mesure d’authentification forte des clients. Si vous souhaitez en savoir plus sur le fonctionnement de la solution Trustpair, notre équipe d’experts est à votre disposition pour en discuter.
Pour conclure,
- La directive européenne concernant les services de paiement dans le marché intérieur version 2 (DSP2) vise à “moderniser les services de paiement en Europe au profit tant des consommateurs que des entreprises”, à faciliter les moyens de paiement en les rendant plus flexibles et à renforcer la sécurité des opérations de paiements des entreprises. La seconde partie de la directive DSP2 est entrée en vigueur le 15 mai 2021.
- Parmi ses actions de sécurisation, on note l’obligation d’une authentification “forte” du client en entreprise et dans les structures bancaires, en assurant des moyens de communication sécurisées entre les tiers et mettant en place des dispositif de gestion des données tiers et fournisseurs. Depuis le 15 mai 2021, l’authentification forte s’applique à toutes les opérations en ligne, sauf exceptions.
- La DSP2 génère une réelle valeur ajoutée en renforçant le niveau de sécurité des opérations de paiement, et est fortement liée à l’Open Banking, c’est-à dire l’ouverture des systèmes d’information des banques et de leurs données clients à des tiers.
- C’est d’ailleurs grâce à cette révolution et à l’accès à ces données que Trustpair, la solution de lutte contre la fraude et de sécurisation des paiements fournisseurs, vous propose des solutions innovantes afin de sécuriser vos processus.