Vous en avez sûrement entendu parler, la DSP3, la troisième version de la directive sur les services de paiement se profile à l’horizon depuis le nouveau projet d’orientation de la Banque Centrale Européenne partagé fin juin 2023.
Contrairement à ce que l’on pourrait penser en raison de la signification de son trigramme, la DSP3 n’est pas une simple directive à laquelle les États membres de l’Union européenne doivent se conformer, elle offre en plus de nombreuses perspectives en matière d’open banking et d’open finance.
Comprendre les principaux points de la DSP3 à venir est un enjeu clé pour toutes les entreprises, a fortiori pour les marchands qui proposent des abonnements.
Alors pour commencer, revenons un peu en arrière afin que vous ayez une bonne vision des versions précédentes.
Bien avant la DSP3 : deux premières directives ont vu le jour – terreau de l’uniformisation des paiements en Europe et de leur expansion – et ont eu leurs limites.
DSP1 : quels apports et quelles limites ?
La directive sur les services de paiement dans sa première version, entrée en vigueur en Europe en 2009, a marqué un tournant significatif dans l’homogénéisation des méthodes de paiement en Europe, notamment les virements SEPA et les prélèvements SEPA, en créant un espace unifié plus compétitif entre les différents acteurs.
Avant cette directive, le marché était fragmenté avec des contraintes règlementaires établies à l’échelle nationale selon les États considérés.
Pour cette 1ère directive, trois enjeux majeurs sont à retenir :
→ Développer l’innovation et favoriser la concurrence en proposant de nouveaux accès pour les prestataires de services de paiement (PSP) ;
→ Réduire les frais de transactions en homogénéisant les réseaux permettant de traiter les virements et prélèvements à l’échelle de la zone SEPA ;
→ Renforcer la sécurité dans les paiements avec de nouvelles normes transfrontalières.
La DSP1, genèse des paiements unifiés en Europe, a également dessiné le contour de perspectives d’évolutions fortes avec l’amplification d’acteurs qui innovent toujours plus dans ce domaine et des mises à jour règlementaires.
En effet, avec l’évolution de la technologie, les différentes innovations et nouveaux défis, l’Union européenne, au travers de la Banque centrale européenne (BCE), a reconnu la nécessité d’ajuster sa règlementation afin que ce secteur reste à la pointe de l’innovation.
Pour vous, marchands, c’est cette règlementation qui vous permet aujourd’hui la possibilité de vendre des abonnements au travers des prélèvements à l’échelle de l’Union européenne.
Pour d’autres entreprises, cela leur permet d’effectuer des virements SEPA sans pour autant payer des frais pour les transactions transfrontalières.
DSP2, évolution de la première directive : quels apports et quelles limites ?
C’est dans ce contexte que la deuxième directive a été créée et est entrée en vigueur en 2018, marquant le début d’une nouvelle ère, notamment pour les entreprises du paiement.
Ces sociétés se différencient des banques traditionnelles en acquérant une légitimité accrue avec des rôles et statuts définis par l’Autorité de contrôle prudentiel et de résolution (ACPR) :
👉 Etablissement de paiement,
👉 Etablissement de monnaie électronique,
👉 Etablissement de crédit.
Cela, sans compter l’un des apports majeurs de la DSP2, grâce à la mise en œuvre des esquisses de l’open banking, ou banque ouverte, qui force, entre autres, les établissements traditionnels bancaires à ouvrir et à partager les données des comptes de leurs clients aux prestataires de services de paiement via une authentification forte sur laquelle nous reviendrons dans la suite de cet article afin d’en présenter les contours et évolutions.
Grâce à la DSP2, les PSP ou Prestataires de Services de Paiement, comme SlimPay, sont désormais autorisés à être :
- des prestataires de services d’informations sur les comptes (PSIC ou AISP en anglais),
- ou des prestataires de services d’initiation de paiement (PSIP ou PISP en anglais)
Cependant, la DSP2 a atteint ses limites et bon nombre de cas d’usages les ont fait apparaître :
- Les prospects renoncent bien trop souvent à la souscription car les parcours clients ne sont pas simples, peu intuitifs et jugés peu sécurisés avec des demandes récurrentes de mise à jour d’authentification forte.
- Les API qui permettent l’échange d’informations entre prestataires de paiement et banques traditionnelles (et inversement) ne sont pas jugées relativement performantes.
- Le manque de prise en compte des évolutions est notable, en matière de partage d’informations, par exemple.
Ainsi, alors que la DSP1 a établi des bases règlementaires, la DSP2 représente un vrai bond en avant pour les nouveaux acteurs du domaine des paiements avec un potentiel de croissance fort dans ce secteur qui ne cesse d’évoluer.
Afin de dépasser les limites de cette dernière, plusieurs réflexions ont été engagées depuis plusieurs années, poussées par la crise sanitaire.
Les paiements digitaux se sont alors développés avec une proposition de nouvelle directive lancée par la Commission européenne.
Pour pallier toutes ces limites, le 28 juin 2023, la Commission européenne a présenté un nouveau projet d’orientation portant sur une révision des derniers textes, appelée DSP3.
Vous ne vous en êtes peut-être pas rendu compte mais sans cette directive, vous n’auriez pas autant de choix en matière de prestataires pour la gestion des paiements liés à vos abonnements.
À noter que bien entendu, ces prestataires doivent répondre aux normes règlementaires qui leur sont imposées.
DSP3 : quel périmètre et quels acteurs concernés ?
Comme son nom l’indique, il s’agit d’une suite logique portant sur des évolutions des deux précédentes versions avec pour but de pallier les faiblesses de la DSP2 en réduisant les frictions rencontrées sur les parcours clients tout en renforçant les principes de l’open banking et le développement de l’open finance.
À noter que les impacts de la proposition portée par la DSP3 sont beaucoup plus larges, avec des dispositions prises sur les porteurs de carte et sur les virements SEPA afin que le cadre règlementaire soit homogène concernant les différents moyens de paiement.
La DSP3 s’articule autour de deux textes fondateurs :
→ Une directive (DSP) sur les services de paiement et de monnaie électronique avec différentes propositions ayant une portée et un champ d’action nationaux.
→ Un règlement (RSP) qui vise à harmoniser les règles pour les services de paiement et de monnaie électronique au sein de l’Union européenne (UE).
Ce dernier règlement s’appliquera directement à l’ensemble des pays membres de l’UE, une fois qu’il sera entré en vigueur dans les États membres.
Il ne nécessite pas d’adaptation particulière par les États membres et contribue à l’uniformisation et à la cohérence des moyens de paiements dans la zone.
Avant de détailler les impacts, il faut déjà connaître les entreprises concernées et celles-ci sont de plusieurs ordres :
- Les banques traditionnelles : n’en déplaise à ses deux petites sœurs (la DSP1 et la DSP2), ces établissements financiers auront des obligations fortes notamment en matière de partage d’informations ;
- Les prestataires de services de paiement (PSP) : nouveaux acteurs qui ont été mis en avant avec les précédentes versions dont les fintech font partie ;
- En France, c’est l’Autorité de contrôle prudentiel et de résolution (ACPR) qui sera la principale autorité souveraine de cette application.
En effet, elle aura désormais un rôle de contrôle pouvant aboutir à des sanctions conséquentes pour les acteurs ne respectant pas la nouvelle directive.
DSP3 : genèse de nouveautés dans le monde des paiements ?
Bien sûr, la DSP3 va entraîner de nombreuses nouveautés pour l’ensemble des acteurs de la chaîne de valeur des paiements qui tourne autour des objectifs suivants :
→ une protection accrue des consommateurs finaux,
→ une hausse de l’exploitation de la data en lien avec l’expansion de l’open banking,
→ une réflexion autour des sujets d’open finance et du futur des paiements.
Détaillons chacun de ces objectifs avec des cas d’usage concrets afin que vous puissiez vous projeter dans les futures évolutions.
Protection des consommateurs
👉 La protection des clients finaux
La DSP3 prévoit de renforcer le contrôle et le droit des utilisateurs sur leurs données personnelles et financières.
Elle imposera aux prestataires de services de paiement (PSP) de recueillir le consentement explicite des clients avant de partager leurs informations avec des tiers.
De plus, elle permettra aux clients de révoquer ce consentement à tout moment via un tableau de bord de gestion des autorisations d’accès à leurs données financières.
👉 De nombreuses modifications sur la politique d’authentification client forte
Si vous proposez des abonnements par prélèvements automatiques, cette mise à jour devrait vous intéresser.
En effet, le périmètre des fonctionnalités, ne nécessitant plus de Strong Customer Authentification (SCA), a été revu avec plusieurs exemptions confirmées avec les mises à jour suivantes :
- le délai requis avant de réitérer l’authentification forte passe à 180 jours ;
- l’authentification forte tous les 180 jours n’est pas nécessaire pour les paiements récurrents (prélèvements SEPA) ne requérant pas d’intermédiaire. Seule la première opération pourra nécessiter un SCA.
Pour les prélèvements SEPA, quand le mandat est donné par le payeur au payé au travers d’un PSP, l’authentification forte devra être requise, ce qui reste un gage de sécurité pour vos opérations.
Dans les faits, il est donc primordial pour gérer vos abonnements de choisir une solution sécurisée afin de garantir que cette obligation sur l’authentification forte soit bien respectée.
👉 Des frais qui devront être affichés clairement afin d’être plus transparents
Vous aurez la possibilité de résilier un contrat sans frais, sauf pour les contrats dont la date de démarrage est inférieure à six mois.
Dans ce cas, le prestataire de paiement que vous aurez choisi pourra appliquer des frais, mais ces frais devront être mentionnés au préalable dans le contrat.
L’impact pour vous marchand, c’est que le prestataire de service de paiement devra maintenir un niveau de sécurité élevé pour vous permettre d’avoir des garanties et d’éviter la fraude, avec des tarifs partagés sur les frais de résiliation.
Outre la protection des utilisateurs, l’exploitation de la data est un enjeu clé de cette nouvelle directive.
Hausse de l’exploitation de la data en lien avec l’expansion de l’open banking
La data, enjeu clé depuis de nombreuses années, est bien un élément notable de la DSP3 qui prévoit une hausse de son exploitation via plusieurs axes.
👉 La mise à disposition d’un tableau de bord
Grosse évolution propulsée par la DSP3 via son règlement (RSP), l’obligation pour les établissements de fournir à leur clientèle un tableau de bord clair comportant les éléments suivants :
- le détail de chaque autorisation de prélèvement en cours avec des données comme le nom de l’initiateur, la durée de validité de l’autorisation, le compte client… ;
- une option permettant à l’utilisateur de supprimer les droits pour l’accès aux données ;
- une option permettant de réactiver l’autorisation de droit d’accès aux données si supprimée ;
- l’enregistrement des autorisations d’accès aux données pour une durée de deux ans.
L’objectif de ce tableau de bord est de pouvoir surveiller et gérer les différentes autorisations que le PSP a accordées sur des paiements multiples ou récurrents.
L’actualisation de ces données entre une banque traditionnelle et un PSP entraîne le partage des informations modifiées entre les deux acteurs (dans un sens comme dans l’autre) avec une authentification forte.
👉 L’exploitation de la data pour prévenir la fraude
Les nouvelles entreprises du secteur des paiements, dont Slimpay (PSP) fait partie, seront autorisées à utiliser les données personnelles pour prévenir la fraude grâce à la règlementation sur la protection des données (RGPD) mentionnées.
Ces informations seront partagées dans les deux sens entre institutions financières traditionnelles et nouveaux acteurs des paiements.
Enfin, la DSP2 a fait naître le partage de la data entre banques traditionnelles et les nouvelles entreprises tierces via l’instauration d’interfaces dédiées appelées API (Application Programming Interface) qui, au fil du temps, n’ont pas répondu aux exigences en matière de performance.
👉 L’obligation de performance des API bancaires
Suite à l’adoption de la DSP2, l’open banking a rendu obligatoire pour les institutions financières le fait de partager les données de leurs clients via des interfaces dédiées appelées API.
Ces interfaces nécessitent l’authentification forte des utilisateurs mais permettent aux PSP de bénéficier de données clients en utilisant les API dédiées.
Quid des prochaines étapes après la DSP3 ?
Loin d’être une simple mise à jour règlementaire, la DSP3 prévoit de belles innovations pour les entreprises actrices de la chaîne de valeur des paiements, notamment avec l’exploitation de la data.
Une fois qu’elle sera définitivement votée, les établissements impactés auront autour de 18 mois pour s’y conformer.
Ainsi, la DSP3 devrait remédier aux lacunes des directives précédentes tout en garantissant la sécurité des transactions réalisées, la protection des consommateurs et le développement de l’innovation avec un usage nouveau de la data.
Affaire à suivre donc, car avec le développement de l’open finance, nous sommes certains que la DSP3 aura de beaux jours devant elle.
