Tout savoir sur le règlement PSD2 et comment vous y conformer

Sur le marché des paiements électroniques, les institutions financières et les prestataires de services de paiement ont de nombreux points communs. Plus particulièrement, ils facilitent tous deux une nouvelle vague de transactions en ligne et sont soumis à des réglementations strictes. Cela est particulièrement vrai en Europe, où la directive sur les services de paiement place la barre plus haut en matière d’authentification forte, de services bancaires ouverts (open banking) et de conformité.

Poursuivez votre lecture pour comprendre les bases de la conformité à la PSD2, pourquoi cette directive est importante et ce que vous pouvez faire pour préparer votre organisation dès aujourd’hui.

La PSD2 est la deuxième version de la directive européenne sur les services de paiement. Bien qu’elle s’applique spécifiquement à l’Union européenne, elle est largement considérée comme une réglementation de référence, susceptible de modifier le mode de fonctionnement des banques, des processeurs de paiements et d’autres entreprises de services de paiements partout dans le monde.

En 2007, la Commission européenne a promulgué la première directive sur les services de paiement pour deux raisons principales :

1. Créer un marché européen des paiements plus intégré, plus compétitif et plus efficace
2. Renforcer la sécurité des paiements à l’ère du numérique

En d’autres termes, la PSD1 visait à mettre tous les acteurs du secteur financier sur un pied d’égalité en encourageant les institutions non traditionnelles à participer. De nouvelles entreprises, telles que les sociétés fintech et les prestataires de paiements tiers, ont pu entrer plus facilement sur le marché. Elle a également réuni les institutions financières sous un même cadre réglementaire en établissant des règles communes pour tous.

La PSD1 a également permis aux consommateurs de bénéficier d’une plus grande transparence et de meilleures informations sur les frais, leurs obligations et leurs droits. D’autre part, en facilitant l’entrée de nouveaux prestataires de services de paiement sur le marché, la directive a multiplié les options offertes aux consommateurs.

Toutefois, au fil du temps, l’Union européenne a reconnu la nécessité de mettre à jour et de réviser la PSD1. En 2013, invoquant les évolutions technologiques et les préoccupations croissantes en matière de sécurité, l’UE a officiellement décidé de modifier la directive. Trois ans plus tard, les États membres de l’UE ont voté l’adoption de la PSD2, qui devait entrer en vigueur en 2018. Néanmoins, certains éléments de la PSD2 ont été introduits progressivement, afin de laisser aux institutions financières le temps de s’adapter.

L’objectif principal de la PSD2 était, une fois de plus, de promouvoir l’innovation, la concurrence et la sécurité dans l’ensemble du secteur européen des paiements.

Personnes concernées par la PSD2

La PSD2 vise à protéger les consommateurs dans tous les États membres de l’Union européenne (UE). À ce titre, elle se concentre principalement sur les institutions financières de l’UE, y compris les processeurs de paiement, les banques, les maisons de courtage, les sociétés fintech, et plus encore.

Cependant, les organisations dont le siège social se trouve en dehors de l’Europe peuvent être soumises aux exigences de conformité de la PSD2 si elles ont des clients ou des utilisateurs dans la région. Dans ce cas, les entreprises n’ont pas d’autre choix que de se conformer à la réglementation PSD2 si elles opèrent actuellement dans l’UE ou prévoient d’y opérer.

Les institutions qui ne respectent pas les exigences de la PSD2 peuvent se voir imposer des sanctions financières pouvant aller jusqu’à 4 % de leur résultat annuel.

Avant de pouvoir répondre aux exigences de la PSD2, vous devez d’abord comprendre comment elle a fondamentalement modifié le secteur bancaire dans toute l’Union européenne, notamment en introduisant l’« open banking ».

Présentation de l’open banking

Ce terme désigne le processus par lequel un prestataire de services financiers tiers utilise des interfaces de programmation d’applications (API) pour accéder librement aux données bancaires, aux transactions et aux autres données des consommateurs détenues par les banques et autres institutions financières. En bref, l’open banking régule l’échange sécurisé d’informations financières entre deux parties. Bien que ce concept existe depuis longtemps, l’application de la PSD2 a conduit à son adoption dans toute l’Europe.

L’introduction de l’open banking a aidé la PSD2 à atteindre son objectif d’accroître la concurrence, la transparence et la sécurité au sein du secteur. Elle a également créé deux types de prestataires de services de paiement réglementés :

1. Les prestataires de services d’initiation de paiement (PSIP) permettent d’effectuer des paiements en ligne grâce à la banque numérique. Au lieu d’utiliser une carte de crédit ou de débit par l’intermédiaire d’un tiers, vous payez directement à partir de votre compte bancaire. Le terme « initiation de paiement » désigne le processus utilisé par les PSIP pour faire le lien entre deux comptes au moyen d’une interface qui facilite la transaction.
2. Les prestataires de services d’information sur les comptes (PSIC) facilitent la collecte et le stockage dans un même emplacement des informations de compte bancaire des clients. Ces derniers disposent ainsi d’une vue d’ensemble de leurs finances et peuvent facilement analyser leurs dépenses. Les applications de budgétisation et les sites Web de comparaison de prix peuvent être considérés comme des prestataires de services d’information sur les comptes, parce qu’ils regroupent ces données au même endroit.

Dans le cadre de la réglementation PSD2, ces deux parties doivent demander le consentement du consommateur et sont régulées par la banque centrale.

Impact de la PSD2 sur les institutions financières traditionnelles

Les banques sont désormais tenues de laisser des prestataires tiers (PSIC et PSIP) accéder aux comptes de leurs clients si ces derniers leur en ont donné l’autorisation. Pour ce faire, conformément aux exigences technologiques de la directive PSD2, elles doivent créer des API ouvertes pour que les prestataires tiers puissent accéder aux informations des comptes.

De plus, les consommateurs ont plus de choix en matière de services de paiement. Ils peuvent désormais choisir l’option qui correspond le mieux à leurs besoins, ce qui signifie que les banques devront se livrer à une concurrence plus rude pour les séduire.

Présentation de l’authentification forte du consommateur

La nouvelle version de la directive européenne sur les services de paiement introduit également le concept d’authentification forte des clients (Strong Customer Authentication, SCA). Afin de respecter les exigences en matière de SCA, les consommateurs doivent utiliser au moins deux types d’authentification multifactorielle (Multi-Factor Authentication, MFA) pour tous les paiements. Ces méthodes sont classées dans trois catégories :

1. Connaissance : quelque chose que le client connaît déjà, comme un mot de passe.
2. Inhérence : quelque chose qui fait partie de l’utilisateur, comme son empreinte digitale ou son visage pour la reconnaissance faciale.
3. Possession : quelque chose qu’il possède ou qu’il peut envoyer, comme un code à usage unique.

L’authentification forte des clients vise à renforcer la protection des consommateurs. En instaurant davantage de protections entre l’utilisateur et ses informations financières sensibles, l’authentification forte complique le travail des cybercriminels.

Dans le cadre de l’amélioration continue, la Commission européenne a décidé de réévaluer la directive sur les services de paiement en 2022. Selon la conclusion de l’évaluation, la PSD2 n’a pas vraiment atteint ses objectifs. Même si l’introduction de l’authentification forte des clients a eu un impact significatif sur la diminution des fraudes, de nouveaux défis sont apparus.

Pour plus de précision, voici le langage exact utilisé par la Commission européenne :

« De nouveaux types de fraudes sont apparus et ne sont pas prévus par la PSD2. Par exemple, la PSD3 ira plus loin que la PSD2 en s’attaquant à de nouveaux types de fraude comme le « spoofing » (fraude par usurpation d’identité), qui brouille la distinction entre les transactions autorisées et non autorisées. En effet, le consentement donné par le client pour autoriser une transaction est obtenu par diverses techniques de manipulation employées par le fraudeur, qui utilise par exemple le numéro de téléphone ou l’adresse électronique de la banque. Jusqu’à présent, les mécanismes de prévention tels que l’authentification forte des clients se sont révélés insuffisants pour empêcher ces fraudes. »

Outre les problèmes liés à la sécurité, la Commission a également constaté que les conditions de concurrence entre les prestataires de services de paiement n’étaient toujours pas équitables. C’est pourquoi, sur les conseils de l’Autorité bancaire européenne, la Commission a décidé de proposer des amendements, avec pour objectifs :

• de renforcer les stratégies de prévention des fraudes ;
• d’ouvrir aux prestataires de services de paiement non bancaires l’accès à tous les systèmes de paiement de l’UE ;
• d’améliorer les fonctionnalités de l’open banking ;
• d’informer encore davantage les consommateurs sur leurs droits ;
• d’augmenter la disponibilité des liquidités ;
• de fusionner les cadres juridiques applicables aux services de paiement et de monnaie électroniques.

Nous ne savons pas encore avec précision quand les exigences de conformité à la PSD3 seront finalisées. Toutefois, en supposant que la directive modifiée soit achevée d’ici fin 2024, les États membres de l’UE disposeront d’une période de transition de 18 mois. Ainsi, la PSD3 pourrait entrer en vigueur d’ici la fin de l’année 2026.

Quelle que soit l’évolution de la situation, la conformité à la directive européenne sur les services de paiement reste un impératif pour les institutions financières et les prestataires de services de paiement. Il est donc important de prendre les mesures nécessaires pour assurer l’avenir de votre organisation et prendre de l’avance sur la PSD3, en particulier en matière de sécurité.

La bonne nouvelle, c’est qu’il existe de nombreuses solutions qui vont au-delà de l’authentification forte des clients et offrent aux consommateurs le plus haut niveau de sécurité possible. Par exemple, avec un partenaire comme Entrust, vous pouvez bénéficier des fonctionnalités suivantes :

1. Authentification multifactorielle résistante à l’hameçonnage : déployez un large éventail de stratégies d’authentification, y compris l’authentification basée sur les risques, l’authentification par certificat et l’authentification progressive adaptative. Grâce à l’authentification unique (Single Sign-On, SSO), les utilisateurs bénéficient d’un accès transparent, rapide et sécurisé aux services de paiement. De plus, ce type d’authentification diminue la lassitude et la réutilisation des mots de passe afin de mieux vous protéger, vous et vos clients.
2. Certificats numériques : les certificats qualifiés pour l’authentification des sites Web (Qualified Website Authentication Certificate, QWAC) chiffrent les données sensibles et identifient les prestataires de services de paiement et les institutions financières qui respectent la directive PSD2. Les QWAC d’Entrust offrent un nombre illimité de réémissions et de licences de serveur, ce qui vous permet de réémettre et d’installer des certificats sans frais supplémentaires.
3. Analyse des risques de transaction : la surveillance des transactions et l’analyse des risques prennent en compte la réputation des périphériques, l’authentification adaptative et la conformité 3DS pour les transactions sans carte.
4. Vérification de l’identité : vérifiez les identités en un instant pour améliorer l’expérience client et réduire les taux d’abandon. La solution de vérification d’identité d’Entrust prend en charge des milliers de documents émis par le gouvernement et emploie plusieurs couches de sécurité progressive.
5. Modules matériels de sécurité (HSM) : les HSM nShield® d’Entrust génèrent et stockent des clés de signature et de chiffrement et facilitent vos opérations cryptographiques à partir d’un dispositif certifié et sécurisé. Ainsi, vous pouvez émettre des certificats et chiffrer des données en ayant l’assurance d’être protégé par une solide base de confiance.

La directive PSD2 est aussi importante que difficile à mettre en œuvre. Cependant, avec la gamme de solutions PSD2 et open banking d’Entrust, vous pouvez facilement atteindre vos objectifs de conformité et répondre à vos besoins à grande échelle.

Grâce à l’authentification multifactorielle et à la vérification de l’identité, mais aussi aux certificats numériques et aux HSM, nous pouvons vous aider à offrir à vos clients la protection ultime.