Directive sur les services de paiement (DSP2)

Avec l’apparition de nouveaux types de services de paiement et la croissance rapide des paiements électroniques et mobiles, le marché des paiements de détail a connu d’importantes innovations techniques qui ont rendu nécessaire d’amender le cadre de la directive 2007/64/CE du 13 novembre 2007 (dite DSP1). Ainsi, la Directive 2015/2366 du 25 novembre 2015 (dite DSP2), entrée en application le 13 janvier 2018, adapte le cadre réglementaire des services de paiement aux défis posés par l’apparition de services innovants, par la croissance rapide des paiements électroniques et par le rythme soutenu de l’innovation technique.

Son champ d’application est étendu aux opérations en toutes devises des prestataires de services de paiement (PSP) situés dans l’UE, y compris lorsqu’un seul des PSP engagés dans la transaction est situé au sein de l’UE, pour la partie de la transaction qui se déroule dans l’UE (one-leg transactions).

Deux nouveaux services de paiement sont créés par la DSP2 à savoir (i) le service d’initiation de paiement consistant à initier un ordre de paiement à la demande d’un utilisateur à partir d’un compte de paiement détenu auprès d’un autre PSP et (ii) le service d’information sur les comptes consistant à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l’utilisateur auprès d’un ou de plusieurs autres PSP. Ces nouveaux services peuvent être fournis par l’ensemble des PSP, mais également par les prestataires de services d’initiation de paiement (PSIP) et les prestataires de services d’informations sur les comptes (PSIC). Ces services impliquent un droit, des utilisateurs, d’accès aux comptes de paiement tenus par les PSP gestionnaires de comptes (PSPGC) au profit des PSIP et des PSIC, mais également des PSP émetteurs d’instruments de paiement liés à une carte (PSP tiers). Les PSPGC établissent la ou les interfaces d’accès  soit en mettant en place une interface dédiée (API) soit en permettant l'utilisation par les PSP tiers des interfaces servant à l'authentification et à la communication avec les utilisateurs de services de paiement des PSPGC.

Par ailleurs, outre les dispositions sur la supervision des activités transfrontalières (pouvoirs et coopération entre les superviseurs des pays d’origine et des pays d’accueil des établissements de paiement) et sur la rôle de l’Autorité bancaire européenne (ABE) en matière de services de paiement , la DSP2 comporte des apports importants pour la sécurité en créant des obligations en matière de gestion des risques opérationnels et de sécurité, en mettant en place une procédure de notification des incidents (NB : la notification des incidents majeurs liés aux paiements, régie par la DSP2, fait désormais partie du champ de DORA et doit s’effectuer dans les mêmes conditions) et en systématisant l’authentification forte du client.