Navigation

Message
Payment Services Directive (PSD2)

Payment Services Directive (PSD2)

L'UE redéfinit les règles du jeu dans le secteur bancaire, et en particulier dans le domaine des services de paiement, avec la deuxième édition de la directive sur les services de paiement, PSD2. La directive PSD2 oblige les banques de l'UE, entre autres, à accorder aux prestataires tiers l'accès aux comptes bancaires. Le règlement PSD2 de l'UE ne s'applique pas à la Suisse. La Suisse mise sur des solutions d'économie de marché. Il n'est pas nécessaire d'adopter une réglementation analogue à la PSD2.

Dans la deuxième version de sa directive concernant les services de paiement (Payment Services Directive, en abrégé PSD2), l’UE redéfinit les règles du jeu en matière bancaire et notamment dans le domaine des services de paiement. Entre autres, ce texte oblige les banques à instaurer un droit d’accès aux comptes bancaires en faveur de prestataires tiers (Third Party Payment Service Providers, TPP). Si le screen scraping devait être accepté, les prestataires tiers recevraient de facto un chèque en blanc. Ils pourraient, au nom des clients, effectuer des paiements directement par débit du compte; ils pourraient aussi se procurer des données de compte. Si le screen scraping ne pouvait pas être exploité, les modalités d’accès dépendraient fortement de la mise en œuvre ainsi que de la configuration de l’interface de la banque.

La PSD2 ne s’applique pas en Suisse. Pourtant, ici aussi, on se demande s’il n’y aurait pas lieu d’introduire une réglementation équivalente à la PSD2. En Suisse, les prestataires tiers ont déjà accès aux comptes bancaires et les banques ouvrent l’interface client lorsque c’est dans l’intérêt mutuel de l’établissement et du client. Toutefois, il n’existe pas encore d’obligation légale à cet égard. La Suisse mise ainsi sur des solutions faisant appel aux mécanismes de marché.

L’Association suisse des banquiers (ASB) rejette toute réglementation analogue à la PSD2 et tout droit d’accès conféré à des tiers par la loi, pour les raisons suivantes:

  • Instaurer en Suisse une réglementation analogue à la PSD2 est inutile dans la mesure où il n’y a pas lieu d’agir, où la concurrence fonctionne et où les banques proposent d’ores et déjà (indépendamment de la PSD2) de nombreuses solutions innovantes. Une contrainte réglementaire imposant l’ouverture reviendrait à intervenir inutilement sur un marché performant et entraînerait une distorsion de concurrence au détriment des banques.
  • La question de la sécurité des données des clients joue un rôle primordial dans le domaine de la banque électronique. Une sécurité optimale ne peut être garantie que si le client et la banque coopèrent. Il serait dangereux que les pouvoirs publics imposent le droit d’accès, car les principes de sécurité propres aux banques ne seraient pas intégralement pris en compte, ce qui ouvrirait des brèches en termes de sécurité.
  • Du côté des établissements financiers, il en résulterait des charges supplémentaires et un surcroît de travail en matière de sécurité et de compliance, dont le client devrait en fin de compte payer le prix.

Une ouverture unilatérale des droits d’accès aux tiers, telle que l’exige la PSD2 au sein de l’UE, constituerait une expérimentation au détriment des clients des banques, qui créerait une confusion dangereuse et compromettrait la sécurité des données des clients.

 

Qu’est-ce que la PSD2?

La PSD2 vise à créer au sein de l’UE un cadre juridique uniforme pour les prestataires exerçant un service d’initiation de paiement électronique et mobile ainsi que pour ceux exerçant un service d’information sur les comptes. Les Etats membres de l’UE devront s’y conformer début 2018. La PSD2 prévoit d’ouvrir une brèche dans la sécurité des services de paiement. Des prestataires extérieurs au secteur bancaire, les TPP, auraient accès à des données sensibles de clients. Les banques devraient mettre des interfaces d’accès à leur disposition, et ce gratuitement. Ces nouveaux prestataires de services de paiement seraient d’une part les prestataires exerçant un service d’initiation de paiement (Payment Initiation Service Providers, PISP) et d’autre part les prestataires exerçant un service d’information sur les comptes (Account Information Service Providers, AISP). Même au sein de l’UE, la PSD2 laisse encore bien des questions sans réponse, notamment en ce qui concerne la spécification technique des interfaces, l’évaluation des coûts induits ou la prise en compte des inquiétudes quant aux dispositifs techniques de sécurité.

Le diable se cache dans les détails

L’Autorité bancaire européenne (ABE) a présenté en hiver 2017 son projet final de normes techniques réglementaires (Regulatory Technical Standards, RTS), dans lequel elle formule des normes techniques pour une authentification forte des clients. Aux termes de ce projet, les nouveaux prestataires n’auront accès aux comptes bancaires que par le biais d’une interface séparée (assortie d’une interface de secours). Le screen scraping, c’est-à-dire la collecte de données via l’interface du client, ne sera plus autorisé. Le bénéficiaire et le montant seront en outre liés à l’authentification. Fin mai 2017, la Commission européenne a toutefois demandé à l’ABE de réexaminer la légitimité du screen scraping. Les travaux de mise en œuvre continuent de susciter des interrogations au sein de l’UE. Les dispositions techniques (orientations de l’ABE) pourront entrer en vigueur au plus tôt en mai 2019. Il en résulte une brèche entre la PSD2 et les orientations de l’ABE.

Une expérimentation économique au détriment de la sécurité et de la protection des données

Les clients qui utilisent la banque électronique et mobile ont droit à un haut niveau de sécurité. Or une ouverture des interfaces imposée par les pouvoirs publics recèlerait des risques considérables en matière de sécurité. Par exemple, les prestataires exerçant un service d’initiation de paiement disposeraient-ils d’un accès illimité au compte bancaire électronique? Dans ce cas, ils auraient accès à tous les comptes et dépôts bancaires de la relation d’affaires électronique. Cela reviendrait à leur remettre un chèque en blanc et un exemplaire de tous les relevés de compte: ils connaîtraient les valeurs patrimoniales du client et pourraient consulter tous ses paiements – loyer, salaire, assurance, caisse maladie, opérateurs téléphoniques, etc. En outre, le client aurait de plus en plus de mal à savoir ce qu’il advient de ses données, où elles sont enregistrées et quels sont ses droits. Le droit d’accès imposé aux comptes bancaires entraînerait pour le client des conséquences difficiles à évaluer.

Un dispositif qui rate sa cible

La PSD2 ne servira pas prioritairement les intérêts des start-up européennes ou même suisses, mais fera le jeu des géants mondiaux de la technologie. Eux disposent de plateformes suffisamment vastes pour agréger les données des clients. Et c’est en cela que la PSD2 rate sa cible. La tradition suisse de l’investissement librement choisi et orienté vers l’avenir ouvre une autre voie: les banques suisses investissent dans des solutions Fintech et, à cet effet, elles collaborent étroitement avec des start-up et des prestataires de toute nature. Indépendamment de la PSD2, elles développent elles-mêmes – ou avec des partenaires et des entreprises Fintech – des applications innovantes susceptibles d’apporter de la valeur ajoutée à leurs clients.

La Suisse dispose de solutions adaptées au marché et n’a pas besoin de la PSD2

  • Les banques peuvent d’ores et déjà ouvrir les interfaces client lorsque c’est dans l’intérêt de l’établissement et du client.
  • La Suisse n’est pas tenue d’appliquer la PSD2, ni directement, ni indirectement. En effet, elle n’est membre ni de l’UE, ni de l’EEE, et les accords bilatéraux conclus avec l’UE ne prévoient aucune obligation à cet égard.
  • Les banques suisses proposent d’ores et déjà de nombreuses solutions innovantes en matière de paiement et de gestion financière, et ce sans la moindre contrainte réglementaire. Par exemple:
    • Grâce à l’e-facture, on peut vérifier et payer dans l’e-banking des factures préenregistrées. L’e-facture est très sûre, car son émetteur est authentifié par la banque, ce qui n’est pas le cas de la facture papier.
    • A partir de 2019, chaque bulletin de versement aura un code QR contenant toutes les informations de paiement. Cette innovation assure une transition optimale entre le monde d’hier, basé sur le papier, et le nouveau monde numérique.
    • Il existe sur le marché quelques exemples de partenariats efficaces, qui misent sur des interfaces sûres et standardisées. Tel est le cas notamment de l’échange de données automatisé entre l’e-banking et les programmes de comptabilité.
    • Système de paiement TWINT: cette application permet d’ores et déjà au client d’effectuer, de manière sûre et confortable, des paiements P2P, e-commerce et POS directement par débit de son compte.