Les apports de la Directive relative aux services de paiement 2015/2366 – DSP2


En novembre 2015, le législateur européen a publié la Directive européenne 2015/2366 relative aux services de paiement appelée DSP2, applicable en partie depuis le 13 janvier 2018, qui remplace la Directive européenne 2007/64. 

Par ailleurs, l’Autorité Bancaire Européenne et la Commission Européenne ont publié des textes (orientations, normes techniques réglementaires et règlement délégué) afin de compléter la Directive DSP2 d’un point de vue opérationnel, notamment sur les thèmes suivants :

  • Mesures de sécurité pour les risques opérationnels et de sécurité liés aux services de paiement, applicable depuis le 13 janvier 2018 ;
  • Classification des incidents liés aux services de paiements et reporting des incidents majeurs aux autorités compétentes, applicable depuis le 13 janvier 2018 ;
  • Déclaration de données relatives à la fraude, applicable à partir du 1erjanvier 2019 ;
  • Authentification forte du client et normes ouvertes communes et sécurisées de communication [Application Programming Interface – API], applicable à partir du 14 septembre 2019 ;
  • Conditions à remplir pour bénéficier d’une exemption sur le mécanisme d’urgence en vertu de l’article 33, paragraphe 6, du règlement (UE) n°2018/389 sur les SCA et CSC, applicable à partir du 14 septembre

La directive (UE) 2015/2366 (DSP2) a été transposée en droit national français par l’ordonnance du 9 août 2017 ratifiée par la loi du 3 août 2018, complétée par l’arrêté du 31 août 2017 et par deux décrets du 26 décembre 2018 (n°2018-1224 et n°2018-1228). Ces deux décrets portent sur :

  • Le Cash-back, la fourniture d’espèces dans le cadre d’une opération de paiement
  • Les modalités d’application de l’acte délégué (règlement délégué) 2018/389.

Les principaux apports de la DSP2 :

  • La création de deux nouveaux services de paiement : les services d’initiation de paiement & les services d’information sur les comptes ;
  • La redéfinition des conditions et exigences en matière d’informations régissant les services de paiement (Clauses contractuelles – Arrêté du 31 août 2017 transposant la Directive DSP2) ;
  • La franchise est abaissée dans la limite d’un plafond de 50 € au lieu de 150 €(cette franchise est supportée par le payeur dans certains cas précis, explicités par la DSP2) ;
  • La DSP2 définit et décrit le processus et les délais relatifs aux demandes de remboursement des opérations non autorisées, et fait la distinction entre les demandes de remboursement des opérations non autorisées initiées par le payeur et celles initiées par le bénéficiaire ou par l’intermédiaire d’un bénéficiaire ;
  • La directive DSP2 encadre les délais de réponse aux réclamations des clients relatives aux services de paiement, qui sont de 15 jours ouvrables, portés exceptionnellement à 35 jours en cas de réclamations complexes ;
  • Les 3 orientations EBA complétant les articles 95 « Gestion des risques opérationnels et de sécurité » et 96 « Notification des incidents » & « Déclaration de données relatives à la fraude » de la DSP2 précisent :
    • Les critères retenus pour la classification des incidents opérationnels et/ou de sécurité mineurs et majeurs ;
    • Les modalités de calculs de l’impact des incidents opérationnels et/ou de sécurité sur l’activité du prestataire de services de paiement ;
    • Le processus ainsi que le modèle de notification des incidents aux autorités compétentes ;
    • Le modèle de répartition des données liées aux transactions frauduleuses ;
    • Les modalités et la périodicité de reporting lié aux transactions frauduleuses ;
    • Le cadre de gestion des risques (cartographie des risques, PCA, niveaux de contrôles…).
  • Le règlement délégué 2018/389 complétant l’article 97 et 98 de la DSP2 précise :
    • La définition de l’authentification forte du client ;
    • Les modalités et le champ d’application de l’authentification forte du client ;
    • Les dérogations applicables à l’authentification forte du client ;
    • La communication sécurisée entre les différents prestataires de services de paiement (PSP gestionnaire du compte avec les nouveaux PSP : PSIP & PSIC) ;
    • L’obligation de la mise en place d’un API par les prestataires de services de paiement gestionnaires du compte ;
    • Les conditions à remplir pour bénéficier d’une exemption sur le mécanisme d’urgence en vertu de l’article 33, paragraphe 6 ;
    • L’obligation de la mise en place des mesures d’urgence applicables à une interface dédiée (API) avec des possibilités d’exemption de cette disposition.

Comment Regulation Partners peut vous accompagner ?

La DSP2 apporte de profonds changements dans le secteur bancaire, chez les commerçants et les prestataires de services de paiements. Ces évolutions ont de forts impacts opérationnels, organisationnels, technologiques dans les banques et doivent être anticipées et traitées.

Regulation Partners vous propose :

  • Un diagnostic de l’activité basé sur les apports de la DSP2 ;
  • Un accompagnement dans la mise en place de la DSP2 et des textes connexes publiés par l’EBA et les autres autorités et organismes européens ;
  • Un conseil et une assistance sur des questions réglementaires et opérationnelles liées à la DSP2 ;
  • Un e-learning adapté, et des formations en présentiel.

 

7 janvier 2019

Othmane

Scroll to top