COM(2023) 367 FINAL
du 28/06/2023
Ø Propositions de directive et de règlement concernant les services de paiement et les services de monnaie électronique dans le marché intérieur (COM (2023) 366 et COM (2023) 367)
Le 28 juin 2023, la Commission européenne a présenté son projet de refonte de la deuxième directive sur les services de paiement (DSP2)1(*), qui était entrée en vigueur en 2019. Cette révision prévoit deux propositions de texte :
- Une proposition de directive sur l'agrément et la supervision des établissements de paiement, qui constituera la troisième directive sur les services de paiement la (DSP3) ;
- Une proposition de règlement sur l'encadrement de la fourniture des services de paiement à l'échelle de l'UE.
A. Cadre juridique actuel
La deuxième directive sur les services de paiement (DSP2) avait pour objectif de rendre les paiements électroniques et les services bancaires en ligne plus sûrs et plus simples pour les consommateurs et les entreprises.
Elle comportait trois mesures principales :
- La directive a rendu obligatoire l'authentification forte pour les paiements de plus de 30 euros. Au-delà de ce seuil, l'authentification doit être réalisée avec deux facteurs (code ou mot de passe, utilisation de son appareil, données biométriques). L'objectif est de réduire les risques de fraude et de protéger la confidentialité des données financières ;
- Elle a également interdit la surfacturation, c'est-à-dire l'application de suppléments en cas de paiement par carte de débit ou de crédit, que ce soit dans les magasins physiques ou en ligne ;
- Par ailleurs, la directive a facilité l'ouverture des systèmes d'information des banques et de leurs données clients à des tiers (Open Banking). Des acteurs de la Fintech peuvent désormais proposer des services de paiement.
L'application de la DSP 2 devait faire l'objet d'une évaluation d'ici à fin 2021. L'évaluation, réalisée en 2022, a mis au jour plusieurs déficiences :
- Si la directive a permis le développement de l'open banking, son succès reste mitigé : des Fintechs se sont développées mais celles-ci restent dépendantes des acteurs traditionnels du secteur bancaire et de leurs API (interface de programmation d'application) peu performantes ;
- Les techniques de fraudes ont évolué, avec par exemple le développement du spoofing, consistant à usurper l'identité d'un conseiller pour obtenir la validation d'une opération.
B. Des propositions de la Commission pour sécuriser encore davantage les paiements en ligne et pour développer l'Open Banking
S'agissant de la protection des consommateurs, les principales dispositions des propositions sont les suivantes :
- Donner aux victimes de fraude le droit à un remboursement - dans certaines circonstances - de la part de leur banque ou d'un autre prestataire de services ;
- La proposition de règlement consacre un article à l'authentification forte : les prestataires de services d'information sur les comptes doivent exiger l'authentification forte du client au moins tous les 180 jours ;
- Obliger à une fiabilisation de l'IBAN pour tous les types de virement : le paiement sera soumis à une vérification de concordance entre le nom du compte et le numéro d'IBAN du bénéficiaire ;
- La proposition de règlement impose aux banques la mise en place d'un tableau de suivi et de gestion des autorisations d'accès aux données de paiement.
S'agissant du soutien à l'open banking, les principales dispositions sont les suivantes :
- Renforcer la qualité des API : les banques devraient fournir une API dédiée avec des fonctionnalités de communication normalisées ; elles doivent s'engager à publier régulièrement sur leur site les statistiques de disponibilité et de performance, et à notifier les changements techniques 3 mois à l'avance ;
- Dans le cadre de l'uniformisation des conditions de la concurrence, le régulateur impose également aux banques de fournir une explication aux prestataires de services de paiement pour chaque refus d'accès aux comptes ;
- Pour garantir le respect des nouvelles conditions du règlement, les autorités nationales comme l'ACPR devraient bénéficier d'un pouvoir de supervision et de sanctions élargi.
***
La proposition de directive et la proposition de règlement sont toutes les deux fondées sur l'article 114 du TFUE, qui charge les institutions de l'UE d'arrêter des dispositions en vue d'établir le marché intérieur et d'en assurer le bon fonctionnement.
Ces propositions visent à assurer la libre prestation de services et à garantir des conditions harmonieuses et des conditions de concurrence équitables au sein du marché intérieur des services de paiement. Le fondement de l'article 114 du TFUE apparait donc justifié.
Les modifications proposées pour la DSP2 figurent dans deux actes législatifs distincts : une directive et un règlement. Le recours à une directive pour l'agrément et la supervision des établissements bancaires est approprié étant donné que l'agrément et la surveillance des établissements en général demeurent une compétence nationale des États membres et qu'aucun agrément ou surveillance au niveau de l'UE n'est proposé.
Compte tenu de ces observations, le groupe de travail sur la subsidiarité a décidé de ne pas intervenir plus avant sur ces deux textes au titre de l'article 88-6 de la Constitution.
* 1 Directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement dans l'ensemble de l'UE.