La Directive sur les Services de Paiement 2 (DSP2), entrée en application le 13 janvier 2018, vise à harmoniser la réglementation sur les paiements au sein de l’Union européenne (UE). Elle doit permettre d’élargir et d’améliorer le choix des consommateurs sur le marché des paiements de détail. Dans le même temps, elle instaure des normes de sécurité plus strictes pour les paiements en ligne.
DSP1 : une première étape
DSP2 est la deuxième version d’une directive européenne adoptée en 2007 et transposée en droit français en juillet 2009. La DSP1 a introduit un changement important dans le monde de la banque. En effet, depuis l’entrée en vigueur de la directive, des organismes qui ne sont pas des banques ont la possibilité de proposer la fourniture de certains moyens de paiement (cartes, virements, portes monnaies électroniques,services de paiement par le téléphone ou par internet, etc).
La nouvelle version de la directive (DSP2) vise à harmoniser davantage la réglementation sur les paiements en prenant en compte les avancées technologiques. Elle introduit notamment de nouvelles exigences en matière de sécurité pour l’initiation, le traitement des paiements électroniques, ainsi que la protection des données financières des consommateurs.
Qu’est ce qui change avec la DSP2 ?
DSP2 porte sur trois sujets principaux à commencer par le renforcement des droits des consommateurs. Cela concerne notamment le remboursement sans délai des opérations contestées ou encore l’interdiction des surfacturations. Le second volet touche quant à lui à l’authentification forte pour la consultation des comptes et les opérations de paiement électronique.
L’authentification forte est la combinaison de deux facteurs d’authentification, minimum, parmi les trois catégories suivantes : possession (smartphone, appareil connecté, etc), connaissance (mot de passe, question secrète, etc) et inhérence (empreinte digitale, reconnaissance faciale, etc).
L’authentification numérique, et en particulier l’authentification forte, permet de créer ce socle de confiance. Elle apporte un niveau de garantie élevé quant à la personne (physique ou morale) rattachée à une identité numérique. Contrairement à une authentification dite « faible », elle participe à la création d’une identité qui réduit les risques d’usurpation, rendant les transactions électroniques plus sûres.
DSP2 : ouvrir le marché à de nouveaux acteurs
Le troisième sujet sur lequel porte la directive concerne les communications sécurisées entre les banques et des services tiers. En effet, le champ d’application de la directive s’étend aux services de paiement innovants et aux nouveaux fournisseurs sur le marché, tels que les sociétés de technologie financières (les Fintechs).
La directive européenne réglemente les prestataires de services de paiement tiers (PSP tiers). Ces derniers sont autorisés à accéder aux comptes, à agréger leurs données et à initier les services de paiement. Cet élément est une véritable révolution pour le marché des paiements. La DSP2 cherche ainsi à favoriser la concurrence, la transparence et l’innovation.
Les PSP tiers comprennent :
- Les Prestataires de Services d’Initiation de Paiement (PSIP) qui offrent d’initier les paiements pour le compte de clients, donnant ainsi l’assurance aux détaillants que l’argent est en route.
- Les agrégateurs et Prestataires de Services d’Information sur les Comptes (PSIC) qui fournissent à leurs clients une vue d’ensemble des comptes et soldes disponibles.
Donner accès aux données via un canal de communication sécurisé
La directive prévoit que les commerçants, les fintechs et les banques puissent communiquer via des API (Interface de Programmation Applicative). En ce qui concerne les banques, elles devront donc proposer ce canal de communication sécurisé aux prestataires de services de paiement tiers souhaitant agréger les données des comptes bancaires et/ou initier des services de paiement. Cela permettra de renforcer la collaboration et d’améliorer l’interopérabilité entre les institutions financières et les nouveaux acteurs de la banque et du paiement.
Les API doivent être mises en place par les banques dans le respect des standards techniques (RTS -Regulary Technical Standards). L’Autorité Bancaire Européenne (ABE) était chargée de la rédaction de ces normes techniques, qui ont ensuite été validées par la Commission européenne. Le règlement européen relatif aux normes techniques réglementaires a été publié au Journal officiel de la Commission européenne du 13 mars 2018. Les mesures de sécurisation des données spécifiées par ces RTS seront applicables à compter du 14 septembre 2019, au plus tard.
Les certificats eIDAS DSP2, pour renforcer la sécurité
Pour assurer le niveau de sécurité requis par la DSP2, les banques et les PSP doivent s’équiper de deux certificats électroniques :
- Le certificat eIDAS QWAC (Qualified Website Authentication Certificate) qui permet aux serveurs d’un PSP et d’une banque de s’authentifier mutuellement et de maintenir les communications chiffrées.
- Le certificat eIDAS Qseal (Qualified electronic Seal Certificate) qui permet aux serveurs d’un PSP et d’une banque de sceller le contenu d’une transaction.
Ces certificats permettent aux banques et aux prestataires de services de paiement de sécuriser les transactions, de protéger les données de comptes de paiement tout en garantissant la conformité avec la directive européenne. En outre, sécuriser les transactions entre les banques et les PSP permet d’assurer la traçabilité des échanges et de garantir une authentification mutuelle entre les deux parties.
Pourquoi des certificats eIDAS dans la DSP2 ?
Les certificats qualifiés eIDAS fournissent le plus haut niveau de garantie et de sécurité. Ils permettent d’obtenir un certain nombres d’informations comme le numéro d’agrément délivré par l’autorité nationale compétente (ACPR pour la France). Autre élément très important :ces certificats mettent en exergue les rôles tenus par les entités (services d’initiation de paiement, services d’initiation de paiement, services d’information sur les comptes et/ou émission d’instruments de paiement).
Ces 2 types de certificats doivent être émis par un QTSP (Qualified Trust Service Provider), c’est-à-dire un prestataire de services de confiance qualifié eIDAS ayant été auditée pour la norme ETSI TS 119 495. Le règlement eIDAS s’applique à l’identification électronique, aux services de confiance et aux documents électroniques. L’enjeu du règlement eIDAS est de créer un cadre européen de reconnaissance mutuelle et d’interopérabilité pour l’identification électronique et les services de confiance.
Le règlement eIDAS concerne principalement les organismes du secteur public et les prestataires de services de confiance établis sur le territoire de l’Union Européenne. Il instaure un cadre européen en matière d’identification électronique et de services de confiance, afin de faciliter l’émergence du marché unique numérique. Il couvre notamment le sujet de la signature électronique et abroge la directive 1999/93/CE. L’ANSSI est l’organisme chargé de la mise en œuvre de ce règlement en France. eIDAS est applicable depuis le 1er juillet 2016 pour la majorité de ses dispositions, incluant celles relatives aux « services de confiance ».
Qu’entend-on par prestataire de confiance au sens d’eIDAS ?
Un prestataire de services de confiance qualifié est un prestataire de services de confiance offrant au moins un service de confiance qualifié. Le règlement européen formule des exigences générales applicables à l’ensemble des prestataires de services de confiance qualifiés, ainsi que des exigences spécifiques à chaque service de confiance qualifié.Un prestataire de services de confiance qualifié doit avoir fait l’objet d’une évaluation de la conformité aux exigences du règlement, avoir obtenu son statut qualifié de l’organe de contrôle désigné par l’Etat membre dans lequel il est établi, et être identifié sur la liste de confiance avant de pouvoir commencer à fournir des services qualifiés.
Construire un écosystème Open Banking
Avec les nouvelles règles mises en place par la directive européenne, les acteurs du paiement peuvent désormais construire un écosystème Open Banking qui offre un niveau de sécurité élevé, facilite l’interopérabilité tout en préparant les services de demain.
« L’Open Banking fait enfin apparaitre de nouveaux standards pour l’octroi de crédit et l’accompagnement du consommateur dans sa gestion bancaire et ses finances. Les nouvelles règles permettront notamment de mieux protéger les consommateurs lorsqu’ils effectuent des paiements. Elles encourageront le développement et l’utilisation de modes de paiement mobiles et en ligne innovants et elles rendront les services européens de paiement plus sûrs », a déclaré Béatrice Larregle, Présidente France et Benelux d’Experian, dans une tribune publiée dans Les Echos début 2019.
Les deux types de certificats nécessaires dans le cadre de la DSP2 sont délivrés par des QTSP (Qualified Trust Services Providers). Ce sont des autorités de certification, comme CertEurope (filiale du groupe Oodrive), reconnues par l’Europe pour délivrer des certificats eIDAS.
CertEurope, société du groupe Oodrive, est la première autorité de certification en France et Tiers de Confiance, conforme à la réglementation eIDAS, référencé sur la « Trust List » des prestataires qualifiés eIDAS autorisés à fournir des certificats QWAC et QSEAL, ainsi que sur la liste des QSTP de l’Open Banking Europe.
En savoir + sur les questions liées à l’identité numérique : téléchargez notre ebook
En savoir + sur les certificats DSP2 proposés par CertEurope