PSD2, qu’est-ce que c'est ?
Qu’est-ce que PSD2 ?
PSD2 est le successeur de la Payment Services Directive de 2007 (directive sur les services de paiement). Il s’agit de la réglementation européenne pour les services de paiement. Par services de paiement, on entend, entre autres, les services traditionnels tels que les ordres permanents, les virements, les paiements par carte ou les services liés à la gestion d’un compte de paiement. Sous PSD2, de nouveaux services sont réglementés, notamment l’initiation de paiement et l’information sur les comptes.
Le compte de paiement est défini comme le compte utilisé pour l’exécution des transactions de paiement. C’est une définition très large qui permet à différents types de comptes d’entrer dans cette définition à partir du moment où ils sont utilisés pour les transactions de paiement. Pour Crelan, c’est normalement le compte à vue.
PSD2 a été développée en normes techniques pour les banques et les autres sociétés offrant des services de paiement.
Qu’est-ce qui est réglementé dans PSD2 ?
PSD2 règlemente:
- Les droits et obligations de toutes les parties impliquées dans les opérations de paiement (consommateurs, entreprises, banques, autres établissements de paiement);
- Les conditions relatives aux transactions de paiement;
- L’information que l’utilisateur doit recevoir à ce sujet;
- Les conditions pour être autorisé à agir en tant qu’établissement de paiement.
Pourquoi PSD2 a-t-elle été introduite ?
PSD2 a cinq objectifs:
- Promouvoir la concurrence sur le marché européen
- Améliorer les innovations dans le système de paiement
- Mieux protéger le payeur
- Augmenter la sécurité des paiements
- Contribuer à un marché de paiement unique
PSD2 crée de nouvelles opportunités pour les (nouvelles) entreprises qui peuvent décider de demander une licence comme fournisseur d’initiation de paiement ou comme fournisseur d’informations sur les comptes. Dans le même temps, les banques sont encouragées à coopérer activement avec des tiers.
Les nouvelles parties peuvent, par exemple, facilement intégrer les applications de paiement dans leur gamme de services mobiles si elles ont obtenu la licence. Elles peuvent également développer des alternatives pour les paiements par carte de débit ou de crédit à la caisse. PSD2 offre, en effet, la possibilité de vérifier le solde du client en ligne avec le consentement du client.
À l’inverse, les banques peuvent utiliser l’expertise et les applications de parties innovantes pour proposer de nouveaux services ou les intégrer dans leurs services existants. PSD2 conduira à de nouvelles formes de services numériques par des banques et des tiers.
À qui s’adresse PSD2 ?
PSD2 s’adresse à presque tout le monde: consommateurs, entreprises, banques et établissements de paiement.
PSD2 est principalement applicable aux transactions de paiement par virement. Les opérations de paiement, effectuées exclusivement en espèces directement du payeur au bénéficiaire, sans aucune intervention, sont exclues.
Que signifie PSD2 pour le client de Crelan ?
Avec PSD2, les fournisseurs de nouveaux services de paiement et d’information sur les comptes arrivent sur le marché. Ils interviennent en ligne entre le titulaire du compte et la banque, en tant que tiers. Cela pourrait être, par exemple, une autre banque ou une société FinTech. Toutes ces parties doivent détenir une licence de la Banque Nationale de Belgique (BNB) ou d’un autre régulateur de l’Union Économique Européenne. PSD2 réglemente la supervision de ces tiers. Si un client souhaite utiliser ces nouveaux services, il devra accorder à un tiers l’accès à son (ses) compte(s) de paiement.
Si le client lui donne la permission, ce tiers (cela peut aussi être une autre banque) peut:
- Demander, au nom du client, le solde et l’historique (limité) du (des) compte(s) chez Crelan et les rendre disponibles via leurs propres canaux en ligne/mobiles,
- initier un paiement sur son compte de paiement
Le client n’est pas obligé de donner son autorisation. S’il ne donne pas d’autorisation, rien ne changera.
Que signifie PSD2 pour le client de Crelan en sa qualité de commerçant ?
Le commerçant est également confronté à PSD2. En plus des méthodes existantes de paiement électronique dans le magasin et en ligne (Bancontact, Maestro, Visa, Payconiq…), de nouvelles possibilités seront offertes. Ses clients peuvent demander ces nouvelles méthodes de paiement. Le commerçant a plus de choix entre les (fournisseurs de) méthodes de paiement et décide lui-même des moyens de paiement qu’il propose en fonction de la ‘demande’ de ses clients.
Désormais, le commerçant ne peut plus facturer de frais supplémentaires aux clients pour l’utilisation de tout instrument de paiement, et ce à la fois en ligne et dans le magasin. C’est en tout cas le choix fait en Belgique lors de la transposition de la directive européenne rendant un tel choix possible.
Que dit PSD2 sur la sécurité ?
PSD2 stipule que l’accès au compte doit être fait de manière sécurisée. Ainsi, PSD2 prescrit qu’un nouvel établissement de paiement doit détenir une licence de la BNB ou d’un autre superviseur d’un autre pays de l’Union Européenne. Elle décrit les exigences de surveillance auxquelles l’établissement doit se conformer, entre autres dans le domaine de la protection des données. En plus,PSD2 définit un certain nombre de normes techniques. Ces normes vont encore plus loin dans la sécurité des transactions et de la communication (technique) entre la banque et les tiers.
Quelle est la différence entre initiation de paiement et information sur les comptes ?
PSD2 réglemente à la fois l’initiation de paiement et l’information sur les comptes. Les deux sont basés sur l’accès au compte de paiement, à condition que le titulaire du compte ait donné son autorisation.
Dans l’initiation de paiement, un tiers donne l’ordre à la banque d’initier un paiement (transfert) au nom du client.
Dans l’information sur les comptes, un tiers fournit un aperçu du (des) compte(s) de paiement du client (solde et historique de compte limité) et l’affiche dans une application en ligne et/ou mobile.
Les deux services peuvent être combinés.
Qu’entend-on par accès au compte de paiement ?
Cela signifie qu’un tiers, moyennant l’autorisation du client:
- peut vérifier le solde et l’historique du (des) compte(s) de paiement du client,
- peut demander à la banque d’initier un paiement (virement) au nom du client ou de collecter des informations sur son compte bancaire et d’en donner un aperçu.
Le compte, l’argent qui se trouve dessus ou les informations sur le solde et les paiements ne sont cependant pas librement accessibles à tous.
Le client doit-il donner accès à son (ses) compte(s) de paiement chez Crelan et/ou dans d’autres banques ?
Non. Le client n’est pas obligé de donner accès à un tiers à son (ses) compte(s) de paiement. PSD2 lui donne seulement le droit de le faire. Pour être précis: PSD2 donne à tout le monde le droit d’utiliser un nouveau type de fournisseur accédant au compte en ligne.
S’il donne l’autorisation, un tiers aura accès à son (ses) compte(s) chez Crelan et/ou dans les autres banques. Le client doit en être conscient.
S’il ne donne pas l’autorisation, rien ne changera. Le tiers n’aura pas accès à son compte.
Qu’est-ce que cela signifie si le client donne la permission d’accéder à son compte ?
Il est important de savoir que l’autorisation pour l’initiation de paiement est unique, à moins que le client ne donne l’autorisation pour une série de paiements récurrents au même bénéficiaire.
Le consentement pour l’information sur les comptes est valide pour une période de 90 jours. Pendant cette période, le fournisseur d’informations sur les comptes peut toujours approcher le(s) compte(s) du client jusqu’à un maximum de 4 fois par jour. De cette manière, le fournisseur de l’information sur les comptes peut mettre à jour l’aperçu des paiements et des recettes au cours de la journée.
Après nonante jours, une autorisation explicite pour l’accès au(x) compte(s) doit à nouveau être donnée.
Comment le client donne-t-il son consentement pour accéder à son compte ?
Le client donne son autorisation à un fournisseur d’intiation de paiement de la même manière qu’avec un ordre de paiement en ligne à sa banque. Donc, dans le cas de Crelan, cela signifie que le client utilise le Digipass ou Crelan Sign qui génèrent un ‘mot de passe à usage unique’ que le client doit introduire. Grâce à cette mesure de sécurité et à d’autres, le prestataire des services de paiement ne peut effectuer aucune transaction sans le consentement exprès du client.
Pour un fournisseur d’informations sur les comptes, la procédure est légèrement différente puisque le consentement est valide pendant nonante jours après que le client ait demandé des informations sur les comptes et que son identité ait été vérifiée.
Que se passe-t-il si le client ne donne pas son autorisation ?
Sans le consentement du client, les nouveaux fournisseurs n’auront pas accès au(x) compte(s) de paiement du client. Ensuite, ils ne peuvent pas offrir leurs services non plus. Concrètement, cela signifie que le client doit payer autrement, par exemple, avec la carte de débit, la carte de crédit, le virement… ou que le client n’obtiendra pas un aperçu de ses comptes du nouveau fournisseur.
À quelle date PSD2 entrera-t-il en vigueur ?
La partie de PSD2 relative à la protection du consommateur entrera en vigueur le 09/08/2018. Les banques auront alors 4 mois pour mettre à jour leur documentation contractuelle.
Quelles règles entreront en vigueur , entre autres, le 9/8/2018 ?
1. Élargissement à d’autres devises
PSD1 ne s’appliquait qu’aux paiements en euros et en monnaies provenant d’états membres n’appartenant pas à la zone euro comme la livre sterling entre 2 pays de l’Espace Économique Européen (EEE). PSD2 élargit le champ d’application aux ordres de paiement entre 2 pays de l’Espace Économique Européen, quelle que soit la devise. Dans ce cas, les coûts sont toujours “SHA”. Cela signifie que le payeur et le bénéficiaire supportent chacun leurs propres coûts.
Pour les transferts, la date-valeur du débit ne peut pas être antérieure à la date de transaction et la date-valeur du crédit ne peut être postérieure à la date de transaction. Cela ne s’applique qu’aux transferts pour lesquels AUCUNE conversion de devise n’a eu lieu.
Pour les virements entre 2 pays de l’Espace Économique Européen, le paiement doit être sur le compte du bénéficiaire au plus tard au J+1. Cela ne vaut que pour les virements au sein de l’EEE en devises de l’EEE, (par exemple, EUR, SEK, DKK…), et donc pas pour les devises étrangères en dehors de l’EEE (par exemple, USD, CAD…).
La liste des tarifs pour les paiements internationaux a été ajustée en conséquence.
2. Interdiction de surtaxe
Le principe de surtaxe est interdit. Cela signifie que les commerçants ne sont plus autorisés à facturer des frais supplémentaires à ceux qui payent électroniquement, à la fois en ligne et dans le magasin.
3. Limitation de la responsabilité du client
PSD2 diminue le montant dont le donneur d’ordre peut être tenu responsable de 150 EUR à 50 EUR. Sous PSD2, sauf en cas de fraude ou de négligence grave, la responsabilité du client est maintenant limitée à une franchise maximum de 50 EUR quand il perd son instrument de paiement, lorsque l’instrument de paiement a été volé ou utilisé illégitimement et qu’une opération de paiement non autorisée a été effectuée avec l’instrument de paiement.
La partie relative aux normes techniques de régulation pour l’authentification forte du client et aux normes de communication ouvertes et sans danger de PSD2 (également connues sous le nom de RTS ‘regulatory technical standards’) a été publiée par la Commission Européenne, le 13/03/18. Les banques et les autres fournisseurs de services de paiement disposeront, ensuite, de 18 mois, soit jusqu’au 13/09/2019) pour mettre en œuvre les mesures de sécurité et les outils de communication, et pour fournir des canaux de communication sécurisés pour l’envoi des données de comptes et l’exécution des paiements. Pour les clients, par exemple, cela signifie que dans certains cas, ils devront attendre après le 13/09/2019 pour autoriser l’accès aux comptes.