Aurélie Banck fait le point sur la directive sur les services de paiement 2 (PSD2) lors d’une conférence organisée par ELE.
La directive PSD2 bouleverse le paysage réglementaire des services de paiement
Adoptée le 25 novembre 2015, applicable en France depuis le 13 janvier 2018 suite à sa transposition par voie d’ordonnance modifiant le Code monétaire et financier, la Directive sur les services de paiement 2 (PSD2 : Directive on Payment Services 2) est venue bouleversée le paysage réglementaire des services de paiement.
Création de nouveaux services comme les services d’information sur les comptes et d’initiation de paiement donnant lieu à un agrément ou enregistrement des prestataires les proposant, cette directive consacre les principes de l’open banking dans un souci de régulation des nouveaux acteurs des paiements comme les Fintechs et d’ouverture à la concurrence.
Tout en prônant l’ouverture des données bancaires, elle pose un haut standard de sécurité pour l’accès aux comptes de paiement, matérialisé dans une norme technique de sécurité (RTS) publiée au Journal officiel de l’Union européenne le 13 mars 2018 les modalités d’accès à ces données.
Un système d’API devrait à terme et au plus tard en septembre 2019 remplacé la technique actuelle du « web scraping » reposant sur la révélation par l’utilisateur de son login et mot de passe permettant d’accéder à ces comptes en ligne et présentant des risques en termes de sécurité.
Une loi de transposition de la directive PSD2
La loi de ratification de l’ordonnance vient d’être adoptée le 25 juillet 2018. Mais le texte (de la Directive PSD2 comme de sa transposition) suscite encore de nombreuses interrogations dans le cadre de sa mise en œuvre opérationnelle. Sur les API d’abord. Le RTS ne tranche pas tous les points techniques clairement, ce qui a nécessité la mise en place d’un groupe de travail placé sous la responsabilité de la Banque de France. Un second groupe de travail a été créé dans le cadre de European Payment Council (EPC).
Ces discussions traduisent les enjeux d’interopérabilité générée par cette question pour éviter la re-fragmentation du marché des paiements. Ces API devront, en outre, être testées pendant 6 mois par l’autorité compétente, l’Autorité de Contrôle Prudentiel (ACPR) et validée par elle.
La question du périmètre des comptes à agréger suscite toujours des débats. Pour mémoire, la Directive ne prévoit que l’agrégation des comptes de paiement et non d’épargne ou de crédit. Or, certains acteurs du paiement, s’appuyant notamment sur le considérant n° 28 du texte, soutiennent que ce texte visait à permettre à l’utilisateur d’avoir une vue d’ensemble sur sa situation financière. Une ouverture de l’ensemble des comptes devrait donc à ce titre être permise.
La cohérence de la directive PSD2 avec le RGPD
L’accès aux données en particulier aux données sensibles de paiement pose des questions de sécurité et de respect du Règlement général relatif à la protection des données personnelles (RGPD).
Il convient, en effet, d’assurer la cohérence des dispositions de la directive DSP2 avec ce nouveau règlement applicable à compter du 25 mai 2018, notamment en ce qui concerne le recueil du consentement au traitement des données et l’information des utilisateurs de services de paiement ou la notification des violations de données.
Aurélie Banc, « PSD2 et maintenant ? », conférence EFE du 28 juin 2018.