La deuxième directive sur les services de paiement ou DSP2, a introduit des changements majeurs dans le fonctionnement des paiements pour les plateformes et places de marché en Europe. Elle a également modifié la manière dont les prestataires de services de paiement tiers peuvent obtenir un accès autorisé aux comptes bancaires et traiter les paiements, et elle a introduit l’authentification forte du client (SCA) pour rendre les paiements plus sûrs.
La Commission européenne vient de réviser le cadre actuel et a émis des propositions pour une Directive sur les services de paiement 3 et un règlement sur les solutions de paiement. Les nouvelles règles de paiement visent à assurer une plus grande harmonisation des règles dans l’ensemble de l’UE, à renforcer des conditions de concurrence équitables pour les prestataires de services de paiement et à améliorer la protection des clients et la protection contre la fraude.
Alors que des négociations sont en cours entre le Parlement européen et les États membres de l’UE, et bien que nous ne nous attendions pas à ce que les règles finales entrent en vigueur avant 2026, les plateformes et les places de marché (en particulier) doivent être conscientes de certains changements importants auxquels elles doivent se préparer dès aujourd’hui. Ce guide donne un aperçu de ces changements pour vous aider à vous préparer avec succès aux nouvelles règles de paiement européennes.
L’Autorité bancaire européenne (ABE) sera mandatée par la Commission européenne pour publier des normes techniques de réglementation (RTS) supplémentaires et établir des règles détaillées sur des éléments importants de la DSP3/PSR, tels que l’authentification forte du client, afin d’aider les entreprises à les mettre en œuvre.
Aperçu : Qu’est-ce qui change dans la DSP3?
|
Règles directement applicables dans l’ensemble de l’UE
|
La nouvelle Directive sur les services de paiement reprend la plupart des règles déjà existantes dans le cadre de la DSP2, notamment en matière de fraude et de responsabilité, de transparence, de système bancaire ouvert et d’AFC. Toutefois, ces règles seront désormais directement applicables dans tous les États membres. Cela réduit la marge de manœuvre des États membres de l’UE pour interpréter les règles différemment, et cela signifie que les règles de paiement seront appliquées plus uniformément dans l’ensemble de l’UE, ce qui facilitera leur mise en œuvre pour les entreprises. |
|---|---|
|
Les établissements de paiement pourront émettre de la monnaie électronique
|
La DSP3 fusionne les cadres juridiques qui s’appliquent aux établissements de monnaie électronique et aux établissements de paiement. À l’avenir, les établissements de monnaie électronique seront agréés en tant qu’établissements de paiement dans le cadre de la DSP3. Les établissements de paiement pourront émettre de la monnaie électronique et la directive sur la monnaie électronique (DME2) sera abrogée. |
|
Renforcement de l’exemption relative aux agents commerciaux
|
Les nouvelles règles resserrent davantage les exigences relatives aux plateformes et aux places de marché qui peuvent se prévaloir de l’exemption relative aux agents commerciaux, en limitant les circonstances dans lesquelles elles peuvent se prévaloir de l’exemption pour les paiements. |
|
Mesures visant à renforcer les systèmes bancaires ouverts
|
De nouveaux points de référence seront introduits afin d’améliorer les performances des API de systèmes bancaires ouverts et d’éliminer les obstacles existants auxquels les fournisseurs tiers accèdent aux comptes bancaires des clients. Cela devrait améliorer le fonctionnement et l’adoption du système bancaire ouvert. |
|
Responsabilité accrue en cas de fraude
|
Les prestataires de services de paiement (PSP) seront tenus responsables de la fraude dans un plus grand nombre de cas et devront prendre des mesures supplémentaires pour lutter contre la fraude (p. ex. informer les clients des risques de fraude ou partager des informations pertinentes avec d’autres institutions financières). |
|
Nouvelles règles pour l’AFC et la surveillance des transactions
|
Les règles régissant l’application de l’AFC seront clarifiées (p. ex. dans le cas des transactions effectuées par le marchand et des ventes par correspondance et par téléphone). Les nouvelles normes techniques de réglementation de l’Autorité bancaire européenne devraient également entraîner des changements dans les exigences de surveillance des transactions et les exemptions de l’AFC. |
Quelle sera l’incidence de la DSP3 sur les plateformes et les places de marché?
Paiements pour les plateformes et places de marché selon les règles actuelles de la DSP2
Le cadre de la DSP régit les paiements pour les plateformes et les places de marché. Par exemple, lorsqu’une plateforme entre en possession ou en contrôle de fonds dus par un acheteur et les règle au vendeur, elle est considérée comme fournissant des services de paiement réglementés (tels que l’exploitation d’un compte de paiement, l’exécution de transactions de paiement ou le versement d’argent). Il existe une exception importante à cette règle (l’exemption relative aux agents commerciaux) sur laquelle les plateformes ont souvent essayé de s’appuyer dans le passé pour éviter d’obtenir une licence.
La DSP2 a resserré l’exemption relative aux agents commerciaux pour qu’elle ne s’applique que dans les cas où une plateforme ou une place de marché n’agit que pour le compte du payeur ou du bénéficiaire, mais pas des deux. Si elle agit pour le compte des deux, une plateforme ne peut se soustraire à l’obligation d’obtenir une licence que si elle ne possède pas ou ne contrôle pas de fonds (c’est-à-dire si elle dépend d’un prestataire de services de paiement agréé). Cette mesure visait à atténuer le risque de crédit des entreprises de plateformes et de places de marché en limitant le traitement des fonds acquis à une entité réglementée tenue de respecter les exigences locales en matière de protection.
L’exemption relative aux agents commerciaux permet aux parties de fournir des services de paiement sans licence, lorsqu’elles agissent à titre d’agent commercial pour le compte d’un payeur ou d’un bénéficiaire.
Des règles plus strictes dans le cadre de la DSP3 pour les plateformes et les places de marché
La DSP3 propose de resserrer davantage les exigences pour les plateformes et les places de marché qui utilisent l’exemption relative aux agents commerciaux. Par conséquent, l’exemption relative aux agents commerciaux ne sera probablement disponible pour les plateformes et places de marché que dans des circonstances très limitées. Si vous êtes une plateforme ou une entreprise qui se prévaut actuellement de l’exemption relative aux agents commerciaux, vous devriez examiner attentivement l’incidence de la DSP3.
Les nouvelles règles introduisent de nouvelles conditions à remplir pour que l’exemption relative aux agents commerciaux s’applique : l’agent doit être autorisé par le payeur ou le bénéficiaire à négocier/conclure des transactions en son nom et donner au payeur ou au bénéficiaire une marge réelle pour négocier avec l’agent. Le préambule de la DSP3 rappelle que les plateformes de commerce en ligne agissant en tant qu’agents pour le compte d’acheteurs et de vendeurs individuels ne sont pas des agents commerciaux et ne peuvent donc pas exercer des activités de services de paiement sans licence.
La DSP3 donne également mandat à l’Autorité bancaire européenne de publier des lignes directrices spécifiques fournissant plus de clarté et de convergence entre les États membres de l’UE, en plus d’une liste de cas d’utilisation couverts par l’exemption.
Comment Stripe aide les plateformes et places de marché à répondre aux nouvelles exigences
Stripe s’est toujours efforcée de créer des produits qui réduisent le fardeau réglementaire pesant sur ses utilisateurs. Nous avons allégé la charge de la DSP2 pesant sur les plateformes en créant Connect, qui permet aux plateformes d’utiliser une solution technique pour se soustraire aux exigences réglementaires. Connect offre le même avantage aux plateformes et places de marché dans le cadre de la DSP3, en leur fournissant une solution de paiement qui ne les oblige pas à obtenir une licence de paiement.
Stripe fournissant ce service réglementé, les plateformes peuvent se concentrer sur ce qu’elles font le mieux : créer des places de marché de qualité pour leurs utilisateurs. Plus de 4 000 plateformes ayant des vendeurs dans toute l’Europe ont déjà choisi de faire confiance à Connect, plutôt que d’avoir à obtenir leur propre licence de paiement ou à fournir la preuve qu’elles relèvent d’exemptions.
Paiements sur les plateformes avec Connect
Si vous avez des questions concernant Stripe Connect, n’hésitez pas à nous contacter.
Quelles sont les nouvelles règles pour la SCA?
Le rôle de la SCA dans la réduction de la fraude
L’authentification forte du client a été introduite en Europe par le biais de la DSP2 afin de réduire la fraude et de sécuriser les paiements en ligne et sans contact. La SCA exige une authentification par le biais de l’authentification à deux facteurs. Pour plus d’informations sur la SCA, consultez notre guide sur l’authentification forte du client.
L’évaluation de la DSP2 par la Commission européenne a conclu que la SCA avait réussi à réduire la fraude. La DSP3/PSR vise à s’appuyer sur la SCA et à l’améliorer en clarifiant les définitions clés, en spécifiant davantage les exemptions pour les transactions à faible risque et en continuant à équilibrer la sécurité avec le développement de moyens de paiement conviviaux, innovants et accessibles.
À notre avis, les nouvelles règles pourraient améliorer davantage l’expérience des clients au moment du paiement en ligne. Elles permettent aux institutions financières, aux réseaux de cartes et aux prestataires de services de paiement d’appliquer plus clairement les exemptions de la SCA aux transactions à faible risque ou aux transactions récurrentes. À plus long terme, les nouvelles règles pourraient également introduire la possibilité d’exemptions supplémentaires en fonction du risque d’une transaction et en suivant les progrès technologiques. Les entreprises doivent continuer à optimiser leur moteur SCA dans le cadre des nouvelles règles afin d’obtenir les meilleurs résultats lors de l’authentification.
|
Transactions effectuées par le marchand
|
Pour les transactions effectuées par le marchand, l’AFC ne doit être appliquée qu’au moment de la configuration du mandat, mais pas pour les transactions ultérieures. Un droit de remboursement inconditionnel de huit semaines, similaire aux prélèvements SEPA, est introduit pour les transactions effectuées par le marchand. |
|---|---|
|
Ventes par correspondance/téléphone
|
Pour les transactions de vente par correspondance/téléphone, seule l’émission d’une transaction de paiement doit être non numérique pour que cette transaction soit exemptée de l’AFC. |
|
Liaison dynamique
|
Les éléments de l’AFC qui lient dynamiquement la transaction à un montant et à un bénéficiaire spécifiques doivent être utilisés pour les transactions de paiement électronique dans lesquelles un paiement est placé au moyen de l’appareil d’un payeur à l’aide d’une technologie de proximité (p. ex. la communication en champ proche ou CCP) et l’application de l’AFC nécessite l’utilisation d’Internet sur l’appareil du payeur. |
|
Services d’informations sur les comptes
|
Pour les fournisseurs de services de paiement fournissant des services d’informations sur les comptes dans le cadre d’un système bancaire ouvert, l’AFC n’est requise qu’à l’occasion du premier accès aux données. Toutefois, l’AFC est requise lorsque les clients accèdent à des données de compte agrégées sur le domaine du fournisseur de services d’informations de compte, au moins tous les 180 jours. |
|
Création de jetons
|
La création de jetons nécessite l’application de l’AFC lorsque le titulaire de la carte participe activement au processus de création de jetons (p. ex. lors de l’inscription ou du remplacement d’une carte dans un portefeuille ou une solution de carte enregistrée). |
|
Surveillance des transactions
|
L’Autorité bancaire européenne publiera des normes techniques de réglementation pour l’utilisation de la surveillance des transactions par les prestataires de services de paiement, y compris par le biais de caractéristiques environnementales et comportementales (p. ex. la localisation des clients ou les habitudes de dépenses). Cela sous-tend l’utilisation des exemptions de l’AFC pour les transactions qui présentent un faible niveau de risque (c’est-à-dire les exemptions pour l’analyse du risque de transaction). |
|---|---|
|
Exemptions de l’AFC
|
L’ABE est également chargée d’élaborer d’autres normes techniques de réglementation sur les exigences et les exemptions de l’AFC, en tenant compte d’une approche fondée sur les risques et de l’utilisation de la technologie. |
|
Authentification à deux facteurs
|
Les nouvelles règles suggèrent que les facteurs utilisés pour l’authentification à deux facteurs dans le cadre de l’AFC n’ont pas besoin d’appartenir à des catégories différentes, tant que leur indépendance est entièrement préservée. Cela pourrait permettre aux clients de s’identifier à l’aide de deux mots de passe, ou d’une empreinte digitale et de Face ID. |
|
Accessibilité
|
Les PSP doivent offrir différentes façons de respecter l’AFC, par exemple par SMS, qui ne dépendent pas de la possession d’un appareil intelligent. |
|
Responsabilité des FST
|
La responsabilité est attribuée aux fournisseurs de services techniques (FST) et aux opérateurs de systèmes de paiement en cas de non-prise en charge de l’application de l’AFC. Il s’agit d’assurer une coopération accrue entre tous les acteurs impliqués dans l’application de l’AFC. |
|---|---|
|
Externalisation
|
Les prestataires de services de paiement qui font appel à des FST pour la fourniture et la vérification des éléments de l’AFC doivent conclure des accords d’externalisation avec ces FST. L’ABE définira les exigences relatives à ces accords d’externalisation. |
Autres mesures pour prévenir la fraude et protéger les consommateurs
Outre les nouvelles exigences de la SCA, les nouvelles règles introduisent de nouvelles mesures visant à renforcer la protection des consommateurs et à encourager les prestataires de services de paiement à prendre des mesures supplémentaires pour prévenir la fraude. Il s’agit notamment de l’obligation pour les prestataires de services de paiement d’informer les clients sur les tendances en matière de fraude, de mener des programmes de formation internes réguliers, de coopérer avec les fournisseurs de services de communications électroniques et de partager des informations avec d’autres institutions financières. Elles obligent également les prestataires de services de paiement à rembourser les utilisateurs de services de paiement pour les transactions frauduleuses en cas de fraude par usurpation d’identité.
Comment Stripe vous aide à respecter les exigences de la SCA
L’introduction de la SCA dans la DSP2 a eu une incidence importante sur le commerce en ligne en Europe. Pour assurer une transition en douceur vers les nouvelles règles, Stripe a travaillé avec les entreprises et partenaires touchés pour mettre en œuvre les nouvelles exigences et gérer l’impact sur les taux de conversion. Il s’agissait notamment de prendre en charge des méthodes d’authentification telles que 3D Secure 2 et de développer de nouvelles méthodes d’authentification à deux facteurs afin de garantir une expérience d’authentification fluide aux entreprises et à leurs clients.
Nos produits, y compris Stripe Checkout et Billing, sont développés à partir de notre API Payments qui utilise la logique SCA de Stripe pour déclencher 3D Secure si nécessaire. Notre solution SCA intègre la gestion réussie des exemptions en tant qu’élément clé de la création d’une expérience de paiement de premier ordre qui minimise les frictions tout en offrant une sécurité de premier ordre. Nous optimisons l’application de la SCA en fonction des différentes règles réglementaires, bancaires et des réseaux de cartes, et appliquons les exemptions pertinentes, par exemple pour les paiements à faible risque ou les paiements sécurisés des entreprises, afin de ne déclencher 3D Secure et/ou d’appliquer l’authentification à deux facteurs que si nécessaire.
Flux d’authentification SCA
Le moteur d’authentification de Stripe s’appuie également sur des modèles d’apprentissage automatique qui détectent les risques en temps réel et permettent aux entreprises d’offrir une expérience inégalée à leurs clients tout en garantissant la conformité à la SCA.
Nous continuerons de surveiller les changements à venir en matière de SCA. Notre nouvelle solution SCA peut vous aider à appliquer la SCA et à augmenter vos taux de réussite de l’authentification et de conversion, tout en restant en conformité avec les règles SCA et en limitant la fraude. En savoir plus sur la façon d’augmenter vos revenus grâce à des taux d’autorisation plus élevés en utilisant Stripe.
Quelle est la prochaine étape?
Les DSP3 et PSR constituent une mise à jour importante des règles de paiement en Europe. En prévision des règles révisées, les plateformes et les places de marché devront revoir le recours à des exemptions telles que l’exemption relative aux agents commerciaux, le cas échéant, ou continuer de faire appel à des prestataires de services de paiement réglementés pour proposer des solutions de paiement.
À la lumière de la DSP3/PSR et de toute directive à venir de l’ABE, les entreprises devront également revoir en permanence les exigences en matière de SCA. Les prestataires de services de paiement qui ont intégré les mises à jour SCA à leur moteur d’authentification peuvent contribuer à optimiser le nombre de paiements nécessitant la SCA et à maximiser le taux de réussite de l’authentification à deux facteurs tout en minimisant la fraude.
Au cours des années 2024 et 2025, la Commission européenne, le Parlement européen et les États membres de l’UE finaliseront les nouvelles règles. La DSP3 devra ensuite être transposée dans le droit national par les États membres de l’UE. Bien qu’il n’y ait pas de calendrier clair sur les négociations et la période de mise en œuvre à ce stade, il est peu probable que les règles entrent en vigueur avant 2026.
Stripe mène des discussions avec les décideurs politiques concernés afin de partager notre point de vue sur la manière dont les futures règles de paiement en Europe peuvent fonctionner au mieux pour les entreprises et leurs clients. Nous mettrons à jour cette page dès que de plus amples informations seront disponibles.
Si vous souhaitez en savoir plus sur la façon dont Stripe peut vous aider à vous préparer aux règles révisées, ou si vous souhaitez nous faire part de vos réflexions, veuillez contacter votre équipe Stripe ou envoyer un courriel à notre équipe DSP3 à l’adresse psd3@stripe.com.
Pour obtenir des réponses aux questions fréquemment posées par les utilisateurs concernant le statut réglementaire de Stripe Connect en Europe, veuillez consulter cette FAQ.