Payment Services Directive 2
Introduction Qu’est-ce que la PSD2 ? Qu’est-ce qu’un Tiers Prestataire de Services de paiement ? Quels sont les changements les plus importants de la PSD2 pour le client ? Portail pour développeurs Statistiques API Brochure informative FAQPSD 2, la deuxième directive européenne régit le marché des paiements dans l’Union Européenne (UE) et renforce la protection du client.
Introduction
En date du 13 janvier 2018, la nouvelle et deuxième directive européenne sur les services de paiement, dite PSD2 (Payment Services Directive 2) ou DSP2 (Directive sur les Services de paiement) est entrée en vigueur et en date du 26 mars 2018 a eu lieu la transposition au niveau de la loi belge. Cette directive régit le marché des paiements dans l’Union Européenne (UE), elle renforce la protection du client et entend encourager l’innovation et la concurrence. Ce qui entraîne l’arrivée de nouveaux prestataires de services sur le marché européen des paiements. Cette nouvelle directive s'applique aussi bien aux personnes physiques qu'aux personnes morales.
Le client décide s'il donne accès et à qui il donne accès à ses comptes de paiement. Le client garde le contrôle total.
Qu’est-ce que la PSD2 ?
La PSD2 a succédé à la PSD1. Cette première directive avait déjà élargi le marché des paiements et admis sur le marché de nouveaux prestataires de services de paiement. Depuis la PSD1, les institutions non bancaires pouvaient en effet demander une autorisation spéciale pour être institution de paiement et, sur cette base, fournir des services de paiement au sein de l’UE.
La PSD2 conserve les lignes directrices de la PSD1, tout en allant plus loin et en ajoutant certains éléments. Elle renforce les règles applicables aux services de paiement dans l'UE et elle régit les droits et obligations des utilisateurs et des prestataires de services de paiement.
La PSD2 élargit le champ d’application à de nouveaux opérateurs non bancaires en ce qui concerne les services de paiement. Ces prestataires de services de paiement sont aussi appelés tiers prestataires de services, tiers prestataires, tiers fournisseurs de services ou tiers fournisseurs ou encore, en anglais, Third Party Providers (TPP).
Qu’est-ce qu’un Tiers Prestataire de Services de paiement ?
Via les banques, les tiers prestataires pourront avoir accès au compte de paiement du client, à la condition que ce dernier marque explicitement son accord à cet égard, et exclusivement dans le contexte des services de paiement offerts.
Dans le cadre de la PSD2, les clients peuvent avoir affaire à deux types de tiers prestataires de services de paiement :
- ceux qui, avec l’accord du client, peuvent consulter les données des comptes de ce dernier (également appelés prestataires de services d’information sur les comptes);
- ceux qui, avec l’accord du client, peuvent initier en son nom des paiements (également appelés prestataires de services d’initiation de paiement).
Les tiers prestataires doivent obtenir une autorisation auprès de l’autorité nationale de contrôle (en Belgique, c’est la BNB) selon la nature de la prestation de services.
Cette autorisation sera enregistrée dans un registre central qui sera public et pourra être librement consulté par tous, y compris par le client.
A noter que les opérateurs traditionnels (institutions de crédit et de paiement) pourront, eux aussi, offrir de tels services de tiers prestataire.
Quels sont les changements les plus importants de la PSD2 pour le client ?
Accès aux données de comptes du client
Le client peut autoriser le tiers prestataire à accéder aux informations de ses comptes de paiement. Le choix appartient au client et ce dernier peut choisir librement le tiers prestataire (un prestataire non-bancaire ou une autre banque). Le client peut révoquer cette autorisation à tout moment.
Il sera donc possible à un prestataire de services de paiement de commercialiser une appli donnant au client un aperçu de tous ses comptes de paiement auprès de différentes banques.
Interdiction de compter des frais supplémentaires
Le principe du supplément de frais (surcharging en anglais) est interdit. Cela signifie que les commerçants ne pourront plus compter de frais supplémentaires aux clients qui paient par carte, qu’il s’agisse de paiement en ligne ou en magasin.
Limitation de la responsabilité du client
Dans le cadre de la PSD2, sauf fraude ou négligence grave, la responsabilité du client est désormais limitée à une franchise de 50 EUR maximum lorsqu’il perd son instrument de paiement, lorsque cet instrument de paiement lui est volé ou est utilisé illicitement et que, de ce fait, une opération de paiement non autorisée est effectuée à l’aide dudit instrument de paiement. Dans le cadre de la PSD1, ce montant était fixé à 150 EUR.
Protection de la vie privée du client
Tous les prestataires de services de paiement sont responsables de la protection de la vie privée du client pour ce qui concerne ses données de paiement et de compte.
Il est aussi important de savoir que les tiers prestataires ne peuvent pas accéder de n’importe quelle manière aux données de paiement et de compte du client. Ce n’est que lorsque le client a marqué son accord explicite que les tiers prestataires peuvent demander ses données de compte à sa banque.
La sécurité des paiements
La PSD2 garantit des paiements sûrs. Tous les prestataires de services de paiement devront démontrer qu’ils ont pris les mesures adéquates pour que les paiements soient effectués en toute sécurité. Ces prestataires sont en outre placés sous la supervision de leur autorité nationale de contrôle. En Belgique, il s’agit de la Banque Nationale de Belgique (BNB).
Par ailleurs, la PSD2 introduit le principe de l’authentification forte du client (Strong Customer Authentification), ce qui s'applique déjà pour les paiements sur Internet.
Une technologie sûre
Depuis l'introduction de la PSD2, les banques doivent rendre leurs systèmes informatiques accessibles à des tiers. Fintechs et autres développeurs externes, réglementés par le gouvernement, peuvent à leur tour développer de nouveaux services pour les clients. L’accès à ces systèmes informatiques est sécurisé par les API.
API - Qu'est-ce que cela signifie ?
Depuis l'introduction de la PSD2, les banques doivent rendre leurs systèmes informatiques accessibles à des tiers. Fintechs et autres développeurs externes, réglementés par le gouvernement, peuvent à leur tour développer de nouveaux services pour les clients. L’accès à ces systèmes.
Notre portail est accessible via https://developer.bnpparibasfortis.com.
Ce site contient toutes les informations nécessaires au développement de solutions numériques à l'aide des API de notre banque. Les développeurs peuvent également utiliser le " sandbox " du portail, un environnement test dans lequel ils peuvent essayer de nouveaux services sur base de données fictives. Dans ce « sandbox », les développeurs externes peuvent tester les API Account Information Services (AIS) pour consulter le solde et l'historique des comptes via des applications de tiers, et le API Payment Initiation Service (PIS) pour lancer des paiements via des applications tierces.
Le lien vers le portail du groupe pour Connexis/Centric est : https://apistore.bnpparibas/home.
À l'avenir, nous mettrons également à disposition d'autres API et le site Open Banking sera constamment enrichi de nouveaux services et fonctionnalités, tant sur le portail que dans l'environnement test.
Portail pour développeurs
Statistiques API
Dans le cadre de la réglementation PSD2, BNP Paribas Fortis fournit des statistiques de ses API réglementaires PSD2 disponibles, utilisées par des fournisseurs tiers.
Brochure informative
FAQ
I. Lexique
Accès au(x) compte(s)
L’obligation de permettre à un tiers prestataire, à la demande de l’utilisateur, d’initier un paiement ou de consulter les informations sur les comptes de paiement de l’utilisateur.
API - Application Programming Interface
Une API est un ensemble de définitions qui permet à un programme informatique de communiquer avec un autre programme ou composant. Une API relie les procédés opérationnels, les services, le contenu et les données aux partenaires externes, aux équipes internes et aux développeurs indépendants d'une manière simple et sécurisée.
DSP2 ou PSD2
La directive européenne sur les services de paiement adoptée en 2015. (En anglais, PSD2 pour Payment Services Directive)
Prestataire de services de paiement crucia:
Un établissement de crédit (p.ex. BNP Paribas Fortis), ou un établissement de paiement, qui fournit des services de paiement.
Service d’initiation de paiement
Le service qui permet à un tiers prestataire d’initier, à la demande de l’utilisateur, un paiement depuis le compte de paiement de l’utilisateur qui est accessible en ligne.
Service d’information sur les comptes
Le service qui permet à un tiers prestataire de collecter et d'agréger, à la demande de l’utilisateur, les informations accessibles en ligne sur les comptes de paiement (p.ex. soldes, historique des opérations) de l’utilisateur.
Tiers prestataire ou Tiers prestataire de services de paiement
Un prestataire de services de paiement qui est agréé ou enregistré pour fournir un service d’initiation de paiement ou un service d’information sur les comptes.
Utilisateur de service de paiement
Un client d’un prestataire de services de paiement. Il peut s’agir d’un consommateur ou non (p.ex. une personne, une entreprise, une autorité publique, etc.).
II. PSD2
1. Qu'est-ce que la première directive sur les services de paiement (PSD1) ?
En 2007, la PSD1 a créé un cadre harmonisé de règles en matière de paiements pour que les paiements soient simples, efficaces et sûrs dans l’ensemble de l’Union européenne puis de l’Espace économique européen (EEE).
Elle a en particulier détaillé les informations que les prestataires de services de paiement tels que les banques ou les établissements de paiement, doivent fournir à leurs clients, ainsi que les droits et obligations respectifs des utilisateurs (consommateurs et non-consommateurs) et des prestataires de services de paiement.
2. Qu’est-ce que la deuxième directive sur les services de paiement (PSD2)
La PSD2 est une directive de l’Union européenne de 2015. La PSD2 fait suite à la PSD1, qui date de 2007.
Elle renforce les règles harmonisées applicables aux services de paiement au sein de l’Union européenne, règles qui définissent les droits et obligations des utilisateurs (consommateurs et non-consommateurs) et des prestataires de services de paiement (p.ex. BNP Paribas Fortis).
Les nouveautés de la PSD2 sont détaillées dans le présent document.
3. Quelles sont les autres avancées de la PSD2 ?
La PSD2 a introduit d’autres nouveautés. Elles sont entrées en vigueur en Belgique en date du 26 mars 2018. Les clients en ont été informés par un avis annexé aux extraits de compte le 28 mars 2018.
Trois nouveautés sont d’ores et déjà relevées :
(I) Interdiction de compter des frais supplémentaires
La PSD2 interdit aux commerçants de faire payer un supplément pour l’utilisation, en ligne ou en magasin, de la grande majorité (95%) des cartes de débit ou de crédit.
(II) Limitation à 50 EUR de la responsabilité du client en cas de paiement non autorisé
La limite de 150 EUR applicable à ce jour a été réduite à 50 EUR maximum, sauf en cas de fraude ou de négligence grave du client.
(III) Réponse dans les 15 jours ouvrables aux plaintes du client
La Banque répond dans ce délai aux plaintes du client, ou, s’il existe des raisons sur lesquelles la Banque n'a pas de prise, dans le délai que la Banque indique au client dans un courrier d'attente, sans que ce délai puisse excéder 35 jours ouvrables.
4. Quand cela concerne-t-il le client?
L’accès aux comptes tel qu’organisé par la PSD2 est entré en vigueur le 26 mars 2018 en Belgique lors de la publication de la loi.
III. Tiers prestataires de services de paiement
5. Qu’entend-on par tiers prestataire de services de paiement ?
Un élément essentiel de la PSD2 vient modifier le droit belge. Il s’agit du droit de l’utilisateur de faire appel à certains nouveaux services prestés par une nouvelle catégorie de prestataires.
Les clients en ont été informés lors de la publication de la loi belge, au moyen d’un avis annexé aux extraits de compte, envoyé le 28 mars 2018.
Ces nouveaux prestataires, communément désignés sous les vocables 'Tiers prestataire' ou 'Tiers prestataire de services de paiement' peuvent, depuis l'entrée en vigueur de la loi , et pour autant qu’ils aient obtenu le consentement de l’utilisateur (voir point IV. 9.) :
- collecter et agréger les informations (soldes, historique des opérations) des différents comptes de l’utilisateur ouverts auprès de différentes banques. Il s’agit du service d’information sur les comptes, parfois dénommé ‘service d’agrégation’. Cela permet p.ex. de fournir à l’utilisateur une vision globale de sa situation financière à tout instant, qui couvre ses comptes auprès de différentes banques ;
- initier des paiements pour le compte de l’utilisateur. Il s’agit du service d’initiation de paiement. Il permet p.ex. de fournir à l’utilisateur un autre mode de paiement et de régler ses achats en ligne auprès d’un commerçant au moyen d’un virement, en dispensant désormais l’utilisateur d’utiliser une carte de crédit
En d’autres termes, le tiers prestataire agit pour le compte du client et le client a le droit d’utiliser les services d’un tiers prestataire.
Les tiers prestataires doivent, pour fournir leurs services,
(1) être agréés ou enregistrés (voir point III.8.) et
(2) avoir ‘accès au(x) compte(s)’ du client (voir point IV.9. & IV.10.)
6. Pourquoi la Banque permet-elle l’accès aux comptes ?
La Banque a, dans les conditions expliquées ci-dessous, l’obligation légale de permettre l’accès par un tiers prestataire aux comptes d’un client si le client le décide ainsi.
C’est le cas pour tous les prestataires de services de paiement auprès desquels sont ouverts, par leurs clients, un compte de paiement accessible en ligne. Ainsi, toutes les banques de l'Espace économique européen (EEE) sont concernées.
Cette évolution législative s’inscrit dans un modèle de ‘banque ouverte’, qui vise à l’émergence de services de paiement innovants.
Au-delà de l’accès aux comptes tel qu’organisé par la PSD2, la Banque a ses propres ambitions en matière de banque ouverte.
7. Pourquoi le client souhaiterait-il faire appel aux services d'un tiers prestataire de services de paiement ?
Cette décision appartient intégralement au client. Bientôt la Banque fournira, elle aussi, un service d’information sur les comptes, permettant au client de consulter les soldes et historiques de paiements des comptes qu'il a dans d’autres banques.
8. Qui peut être tiers prestataire de services de paiement ? À quoi le client doit-il être attentif ?
Les tiers prestataires sont des prestataires placés sous la supervision d'une autorité de contrôle. Ils doivent être agréés ou enregistrés auprès d'une autorité nationale d’un État membre de l’Union européenne.
Ils doivent être couverts par une assurance professionnelle et agissent sous la supervision de leur autorité nationale compétente. En ayant un 'passeport de services', ils peuvent fournir leurs services dans toute l’Union européenne.
La PSD2 garantit que l’accès au(x) compte(s) du client n’est accordé que si le client y consent. Cependant, les clients ont une responsabilité dans le choix du tiers prestataire auquel ils souhaitent faire appel (voir point IV.14.).
IV. Garantie de sécurité et politique de confidentialité
9. Un tiers prestataire de services de paiement peut-il avoir accès aux comptes d’un client à l'insu de ce dernier ?
Non. C’est seulement lorsque le client décide de faire appel aux services d’un tiers prestataire que ce tiers prestataire pourra accéder au(x) compte(s) du client.
Le client n’a donc aucune démarche à effectuer pour empêcher l’accès à son ou ses comptes.
Si le client ne fait rien, il ne se passera rien.
La Banque ne peut enregistrer aucune ‘opposition’ du client, pour la simple raison que ce client pourra changer d’avis ultérieurement. Lorsque le client fera appel aux services d’un tiers prestataire, la Banque sera obligée de donner cet accès, sans pouvoir tenir compte d'une ‘opposition’ antérieure du client (voir point V.19).
10. Comment le client autorise-t-il le tiers prestataire de services de paiement à accéder à son ou ses comptes ?
L’accès du tiers prestataire nécessitera que le client soit authentifié par la Banque.
Le client s'authentifie au moyen de ses données de sécurité personnalisées habituelles (p.ex., M1 ou M2), c’est-à-dire celles qui sont utilisées dans le cadre des procédures habituelles d’authentification convenues entre la Banque et son client.
Cependant, ces données de sécurité devront être encodées par le client sur le site internet ou dans l’application mobile du tiers prestataire.
En d’autres termes, lorsque ces données de sécurité lui seront demandées, le client n’interagira pas nécessairement directement avec une interface de la Banque, comme cela devait toujours être le cas auparavant.
Les clients ont le droit de révéler ces données de sécurité à un tiers prestataire, mais celui-ci doit les transmettre de façon sécurisée à la Banque. Bien entendu, il ne peut jamais les enregistrer.
Eu égard aux risques qu’une tierce partie aux pratiques frauduleuses demande ces données, le client doit être particulièrement attentif(voir point IV.14.).
11.Que doit faire le client s’il est invité à encoder un M1/M2 dans une application mobile ou sur un site internet ?
Avant tout, le client doit s’assurer que cette invitation intervient dans la cadre de sa demande expresse d’utiliser les services d’un tiers prestataire. Lorsque le client n’a fait aucune demande, rien ne justifie que cette invitation lui soit faite, et rien ne justifie que le client divulgue ses données.
Lorsque le client a bien fait cette demande à un tiers prestataire, le client doit vérifier qu’il s’agit d’un tiers prestataire agréé ou enregistré (voir point IV.14.).
12. Pour quelle durée le tiers prestataire de services de paiement a-t-il accès aux comptes du client ?
Pour le service d’initiation de paiement, chaque paiement doit être autorisé par le client. Le tiers prestataire n’a donc qu’un accès limité à l’initiation de chaque paiement concerné.
En ce qui concerne l’autorisation du client exigée pour l’initiation de paiement, il existe certaines exceptions dans des situations telles que les bénéficiaires sauvegardés, ordres permanents, opérations entre comptes propres et opérations à faible risque.
Pour le service d’information sur les comptes, le tiers prestataire conserve – sans qu'il faille de nouvelle autorisation du client - son accès aux comptes du client pendant la durée convenue entre eux et ce, avec un maximum de 90 jours (au terme desquels il faudra que le client donne une nouvelle autorisation au tiers prestataire). Le tiers prestataire peut accéder aux données du ou des comptes jusqu’à quatre fois par jour de sa propre initiative, et aussi souvent que le client le lui demande.
13. Combien de temps le tiers prestataire de services de paiement peut-il conserver les informations du ou des comptes du client ?
Cela dépend de la relation contractuelle qui existe entre le client et le tiers prestataire. La Banque n’est pas partie à cette relation et ne peut donc connaître ou contrôler cette durée ni contrôler si elle est respectée.
Le tiers prestataire doit en tout cas se conformer à la législation relative à la protection des données à caractère personnel, et ne peut donc conserver ces données pour une durée plus longue que nécessaire.
14. Comment le client doit-il s’assurer qu’un tiers prestataire de services de paiement n’est pas en réalité un fraudeur ?
Jusqu’à la mise en place complète du cadre légal de la PSD2 (c’est-à-dire en septembre 2019), le client a l’obligation contractuelle de s’assurer qu’il fait appel aux services d’un tiers prestataire agréé ou enregistré.
Il est crucial qu'avant de divulguer toute donnée quelconque, le client vérifie lui-même la liste des tiers prestataires qui sont agréés, enregistrés ou ont un 'passeport de services'. En ce qui concerne cette liste en Belgique, le client peut faire cette vérification en consultant, par exemple, le site internet de la Banque Nationale de Belgique (BNB).
Si cette liste n’est pas disponible, le client doit faire les démarches nécessaires pour vérifier que les informations fournies par le tiers prestataire au sujet de son agrément, de son enregistrement ou du passeport de ses services (en Belgique ou dans d’autres pays), correspondent à la réalité. Pour cela, le client doit consulter le site internet de l’autorité nationale compétente de l’État membre de l’Union européenne dans lequel ce tiers prestataire a obtenu son agrément ou enregistrement, et son passeport de services.
À défaut de procéder à ces vérifications préalables, le client pourra être tenu pour responsable des paiements initiés depuis son compte par un fraudeur.
Après la mise en place complète du cadre légal de la PSD2, la Banque pourra vérifier que le tiers prestataire est dûment agréé ou enregistré, avant d’octroyer l’accès au(x) compte(s) du client.
15. Les services d’initiation de paiements et d’information sur les comptes sont-ils sûrs ?
Oui. Tous les prestataires de services de paiement, en ce compris les banques, les établissements de paiement et les tiers prestataires, doivent démontrer la mise en place et l'efficacité de mesures de sécurité garantissant des paiements sécurisés.
En outre, les paiements en ligne et l’accès aux informations de comptes nécessitent une authentification forte du client, qui requiert l’utilisation par le client d’au moins deux éléments indépendants, parmi les 3 critères suivants : une connaissance secrète (quelque chose que le client connaît, comme un mot de passe ou un code PIN), une possession exclusive (quelque chose que le client possède, comme une carte de paiement ou un smartphone) ou une caractéristique exclusive (quelque chose qui est propre client, comme une empreinte digitale). Cette exigence s’applique également dans le cadre des services d’initiation de paiement et d’accès aux informations de comptes.
L’authentification forte du client n’est pas une nouveauté en Belgique, où les banques l’ont mise en place depuis plusieurs décennies.
16. Qui est responsable en cas de problème ?
Le rôle de la Banque est de donner aux tiers prestataires qui ont eu le consentement de ses clients l’accès à leurs comptes.
Ainsi, la Banque est responsable en cas d’initiation, non autorisée par le client, d’un paiement par un tiers prestataire, que ce dernier soit établi en Belgique ou dans un autre État membre de l’Union européenne (pour autant que le client ait fait appel à un tiers prestataire agréé ou enregistré (voir point IV.14.).
En revanche, la Banque n’est pas responsable de l’utilisation qui est faite des données du client par le tiers prestataire. En effet, la Banque est un tiers à la relation contractuelle entre le client et le ou les tiers prestataires qu'il choisit.
V. Accès aux données de comptes : autres aspects
17.17. Quelles sont les informations auxquelles le client peut donner accès au tiers prestataire de services de paiement ?
Le client peut autoriser le tiers prestataire à accéder aux informations de son ou ses comptes de paiement en ligne.
Cela signifie qu’il s’agit
(1ère condition) des soldes et/ou historiques des paiements
(2e condition) des comptes de paiement (à l’exclusion p.ex. des comptes d’investissement)
(3e condition) qui sont consultables en ligne par le client (p.ex. au moyen d’Easy Banking Web ou Easy Banking App).
18. Le client peut-il choisir lesquels de ses comptes le tiers prestataire de services de paiement va consulter, ou ne donner accès qu’aux soldes et non à l’historique des paiements ?
Ce choix appartient au client dans le cadre de ses relations avec le ou les tiers prestataires auxquels il recourt.
19. Le client peut-il changer d’avis et révoquer l’autorisation d'accès du tiers prestataire de services de paiement à son ou ses comptes ?
Le client peut à tout moment retirer au tiers prestataire l’accès à son ou ses comptes.
Le client doit s’adresser au tiers prestataire directement.
20. Quelle(s) utilisation(s) le tiers prestataire de services de paiement fait-il des données du client ? Le client peut-il lui demander de détruire ses données ?
La Banque n’est pas partie à la relation contractuelle entre le client et le(s) tiers prestataire(s) que ce dernier a choisis. Elle ne peut donc pas contrôler ou vérifier l'usage que fait le tiers prestataire des données du client.
Le tiers prestataire doit en tout cas respecter la législation relative à la protection des données à caractère personnel, et le client peut exercer auprès du tiers prestataire les droits que lui reconnaît la loi en qualité de 'personne concernée' par les données à caractère personnel que traite le tiers prestataire.
21. Quel est le coût pour le client des services d’initiation de paiement ou d’accès aux informations sur les comptes ?
Malgré cette nouvelle obligation légale qui s'impose aux banques, la Banque ne modifie pas les tarifs applicables aux comptes de paiement en ligne de ses clients.
Les services des tiers prestataires choisis par le client peuvent être payants. Bien entendu, cela n’est pas de la compétence de la Banque.