La Directive sur les services de paiement 2, ou DSP2, a introduit des changements majeurs en ce qui concerne le fonctionnement des paiements pour les plateformes et les places de marché en Europe. Elle a également modifié les modalités de traitement des paiements et d'obtention d'un accès autorisé aux comptes bancaires pour les prestataires de services de paiement tiers, en plus d'introduire l'authentification forte du client (SCA), gage d'une sécurité accrue.
Suite à la révision par la Commission européenne du cadre normatif actuel, des propositions ont pour l'heure été émises en faveur d'une troisième directive et d'un règlement sur les services de paiement. Ces nouvelles règles visent à garantir une meilleure harmonisation au sein de l'UE, à développer des conditions de concurrence équitables pour les prestataires de services de paiement et à améliorer la protection des clients et la lutte contre la fraude.
Alors que les négociations sont en cours entre le Parlement européen et les États membres de l'UE, et bien qu'il ne faille pas s'attendre à une entrée en vigueur de la réglementation finale avant 2026, certains changements importants peuvent déjà être pris en compte et anticipés par les plateformes et (surtout) par les places de marché. Ce guide passe ces évolutions en revue de façon à vous y préparer sereinement.
L'Autorité bancaire européenne (ABE) sera chargée par la Commission européenne de publier des normes techniques de réglementation (RTS) supplémentaires et d'établir des règles détaillées concernant certains éléments clés (tels que l'authentification forte du client) de l'ensemble DSP3/RSP, de façon à accompagner les entreprises dans leur mise en application.
Présentation : évolutions apportées par la DSP3
|
Règles directement applicables au sein de l'UE
|
Le nouveau règlement sur les services de paiement (RSP) reprend la plupart des règles déjà établies dans le cadre de la directive sur les services de paiement 2e version (DSP2), notamment celles relatives à la fraude et à la responsabilité, à la transparence, aux services bancaires ouverts et à l'authentification forte du client (SCA). Toutefois, il sera directement applicable dans tous les États membres de l'Union européenne. De cette manière, leur liberté d'interprétation des règles sera réduite. Elles seront appliquées plus uniformément à l'échelle de l'UE et leur mise en œuvre se verra facilitée pour les entreprises. |
|---|---|
|
Émission de monnaie électronique pour les établissements de paiement
|
La DSP3 rassemble les cadres juridiques applicables aux établissements de monnaie électronique et aux établissements de paiement. À l'avenir, les établissements de monnaie électronique seront autorisés à titre d'établissements de paiement dans le cadre de la DSP3. Les établissements de paiement pourront pour leur part émettre de la monnaie électronique. Quant à la directive « Monnaie électronique 2 » (EMD2), celle-ci sera abrogée. |
|
Nouveau durcissement des conditions d'exemption d'agent commercial
|
Les nouvelles règles renforcent les exigences applicables aux plateformes et aux places de marché qui souhaitent bénéficier d'une exemption d'agent commercial, en limitant les circonstances dans lesquelles une exemption peut-être obtenue pour les paiements. |
|
Mesures de renforcement des paiements par service bancaire ouvert
|
De nouveaux indicateurs seront mis en place en vue d'améliorer les performances des API Open Banking et d'éliminer les obstacles que rencontrent les fournisseurs tiers lorsqu'ils tentent d'accéder aux comptes bancaires de leurs clients. On s'attend ainsi à une amélioration du fonctionnement et à une plus grande adoption des services bancaires ouverts. |
|
Responsabilité accrue en cas de fraude
|
En cas de fraude, les prestataires de services de paiement (PSP) verront leur responsabilité engagée dans un plus grand nombre de cas. Il leur sera imposé de prendre des mesures supplémentaires pour lutter contre ce phénomène (en renseignant les clients sur les risques de fraude ou en communiquant des informations pertinentes à d'autres établissements financiers, par exemple). |
|
Nouvelles règles relatives à la SCA et au suivi des transactions
|
Les règles relatives à l'application de la SCA se verront clarifiées (en cas de transactions initiées par le marchand et de transactions par courrier/par téléphone, par exemple). Par ailleurs, les nouvelles normes techniques de réglementation définies par l'Autorité bancaire européenne (ABE) devraient également apporter des modifications aux exigences en matière de suivi des transactions et aux exemptions de la SCA. |
Incidence de la DSP3 sur les plateformes et les places de marché
Gestion des paiements pour les plateformes et les places de marché dans le cadre de la réglementation DSP2 actuelle
Le cadre de la DSP réglemente les paiements pour les plateformes et les places de marché. Par exemple, dès lors qu'une plateforme perçoit ou contrôle des fonds dus par un client et les verse au marchand concerné, elle est considérée comme fournissant des services de paiement réglementés, qui comprennent notamment l'exploitation d'un compte de paiement, l'exécution de transactions de paiement ou le versement de fonds. L'exemption relative aux agents commerciaux, sur laquelle les plateformes ont souvent tenté de s'appuyer par le passé afin d'éviter d'avoir à se procurer une licence, constitue une exception importante à cette règle.
La DSP2 a néanmoins durci cette exemption de façon à ce qu'elle ne puisse être invoquée que lorsqu'une plateforme ou une place de marché agit au nom du payeur ou de celui du bénéficiaire, mais pas des deux. Lorsqu'elle agit pour les deux comptes, une plateforme n'est par conséquent dispensée de l'obligation d'obtenir une licence que si elle ne perçoit ni ne contrôle les fonds traités (c'est-à-dire, qu'elle s'en remet à un fournisseur de services de paiement agréé pour ce faire). À travers cette mesure, la DSP2 a cherché à atténuer le risque de crédit des plateformes et des places de marché en limitant le traitement des fonds acquis à une entité réglementée tenue de respecter les exigences locales en matière de protection.
L'exemption relative aux agents commerciaux permet aux parties de fournir des services de paiement sans disposer de licence, dès lors qu'elles agissent en tant qu'agent commercial pour le compte d'un payeur ou d'un bénéficiaire.
Durcissement de la réglementation pour les plateformes et les places de marché dans le cadre de la DSP3
La DSP3 renforce les exigences applicables aux plateformes et aux places de marché qui s'appuient sur l'exemption d'agent commercial. Ces entités ne pourront par conséquent probablement plus bénéficier de ce régime que dans des circonstances très limitées. Si vous êtes l'une d'entre elles, nous vous conseillons d'analyser attentivement l'impact de la DSP3 sur vos activités.
La nouvelle réglementation introduit en effet de nouvelles conditions à satisfaire pour pouvoir invoquer l'exemption d'agent commercial : ce dernier doit être autorisé par le payeur ou par le bénéficiaire à négocier/conclure des transactions en leur nom et leur offrir une marge réelle de négociation. Le préambule de la DSP3 rappelle que les plateformes e-commerce qui agissent en tant qu'agents à la fois pour le compte de clients et de marchands individuels ne sont pas des agents commerciaux et qu'ils ne peuvent donc pas exercer d'activités de services de paiement sans licence.
Cette troisième directive charge également l'Autorité bancaire européenne de publier des recommandations précises au profit d'une plus grande clarté et d'une meilleure synchronisation entre les États membres de l'UE, ainsi qu'une liste des cas d'usage couverts par l'exemption.
Avantages de Stripe dans le cadre du respect des nouvelles exigences
Stripe a toujours cherché à créer des produits qui permettent de réduire la charge administrative pour nos utilisateurs. Nous avons supprimé les complexités liées à l'application de la DSP2 pour les plateformes en créant Connect, une solution technique qui leur permet de s'affranchir de la gestion des exigences réglementaires. Dans la mesure où cette solution de paiement ne nécessite l'obtention d'aucune licence, cet avantage est prolongé dans le cadre de la DSP3.
Stripe fournit ainsi le service réglementé pour que les plateformes puissent se concentrer sur ce qu'elles font de mieux : concevoir des places de marché de qualité pour leurs utilisateurs. Plusieurs centaines de plateformes européennes ouvertes aux marchands ont déjà choisi de s'en remettre à Connect plutôt que d'obtenir leur propre licence de paiement ou d'avoir à justifier de leurs éventuelles exemptions.
Paiements via une plateforme s'appuyant sur Connect
N'hésitez pas à nous contacter pour toute question concernant Stripe Connect. Nous serons ravis de vous aider.
Nouvelles règles en matière de SCA
Rôle de la SCA dans la réduction de la fraude
L'authentification forte du client a été introduite en Europe via la DSP2 dans le but de réduire la fraude et de sécuriser les paiements en ligne et sans contact. Elle exige une authentification à deux facteurs. Pour plus d'informations sur la SCA, consultez notre guide qui lui est dédié.
L'évaluation de la DSP2 par la Commission européenne a démontré l'efficacité de la SCA en matière de réduction de la fraude. L'ensemble DSP3/RSP vise par ailleurs à optimiser cette exigence en en clarifiant les définitions clés, en précisant davantage les exemptions associées pour les transactions à faible risque et en continuant à viser le juste équilibre entre sécurité et convivialité, innovation et accessibilité des moyens de paiement.
De notre point de vue, les nouvelles règles devraient permettre d'améliorer encore l'expérience de paiement en ligne des clients. Elles offrent en effet davantage de clarté aux établissements financiers, aux réseaux de cartes et aux prestataires de services de paiement quant à l'application des exemptions à la SCA pour les transactions récurrentes ou qui présentent un risque moindre. À plus long terme, cette nouvelle réglementation pourrait également introduire la possibilité de nouvelles exemptions basées sur le niveau de risque des transactions et les améliorations technologiques. Les entreprises doivent par conséquent continuer à optimiser leur moteur SCA conformément aux nouvelles règles si elles souhaitent obtenir les meilleurs résultats en matière d'authentification.
|
TIM
|
Lors de transactions initiées par le marchand (TIM), la SCA doit être uniquement appliquée au moment de la mise en place du mandat. Les TIM ultérieures ne sont pas concernées. Par ailleurs, un droit de remboursement inconditionnel de huit semaines, comme dans le cadre des prélèvements automatiques SEPA, est désormais disponible pour les TIM. |
|---|---|
|
MOTO
|
Dans le cadre de transactions par courrier/par téléphone (MOTO), il suffit que l'initiation d'une transaction de paiement soit non numérique pour que celle-ci soit exemptée de la SCA. |
|
Liaison dynamique
|
Les éléments de la SCA qui lient la transaction à un montant et à un bénéficiaire spécifiques de façon dynamique doivent être utilisés en cas de paiement électronique effectué à partir d'un appareil ayant recours à une technologie de proximité (la communication en champ proche, aussi appelée NFC, par exemple). En outre, l'application de la SCA nécessite l'utilisation d'Internet sur l'appareil susmentionné. |
|
Services d'informations sur les comptes
|
Pour les PSP qui proposent des services d'informations sur les comptes dans le cadre des services bancaires ouverts, la SCA n'est demandée que lors du premier accès aux données. Toutefois, cette authentification est requise lorsque les clients accèdent à des données agrégées dans le domaine du fournisseur de services d'information sur les comptes, et ce, au moins tous les 180 jours. |
|
Tokenisation
|
La tokenisation demande l'application de la SCA lorsque le titulaire de la carte participe activement au processus de tokenisation (lors de l'ajout ou du remplacement d'une carte dans un portefeuille ou dans une solution d'enregistrement de carte, par exemple). |
|
Suivi des transactions
|
L'Autorité bancaire européenne édictera des normes techniques de réglementation concernant le suivi des transactions par les prestataires de services de paiement, y compris par l'intermédiaire de caractéristiques environnementales et comportementales (l'emplacement de la clientèle ou ses habitudes de consommation, par exemple). Cela sous-tend le recours aux exemptions de la SCA pour les transactions qui présentent un faible niveau de risque (c'est-à-dire les exemptions TRA, soit l'analyse du risque des transactions). |
|---|---|
|
Exemptions de la SCA
|
L'ABE est également chargée d'élaborer de nouvelles normes techniques de réglementation sur les exigences de la SCA et les exemptions de celle-ci, en tenant compte d'une approche basée sur les risques ainsi que de l'utilisation de la technologie. |
|
Authentification à deux facteurs
|
Selon les nouvelles règles établies, il n'est pas nécessaire que les facteurs utilisés pour l'authentification à deux facteurs dans le cadre de la SCA appartiennent à des catégories différentes, tant que leur indépendance est entièrement préservée. Ainsi, les clients pourraient être en mesure de s'identifier à l'aide de deux mots de passe, ou d'une empreinte d'identification et de la reconnaissance faciale. |
|
Accessibilité
|
Les PSP sont tenus de proposer d'autres moyens d'effectuer la SCA, comme l'envoi de SMS, qui n'impliquent pas de disposer d'un appareil intelligent. |
|
Responsabilité des TSP
|
Les fournisseurs de services de confiance (TSP) et les opérateurs de systèmes de paiement se voient attribuer la responsabilité en cas de manquement à l'obligation de faciliter l'application de la SCA. Cette mesure vise à renforcer la coopération entre l'ensemble des parties prenantes impliquées dans la mise en œuvre de la SCA. |
|---|---|
|
Externalisation
|
Les prestataires de services de paiement qui font appel à des TSP pour fournir et vérifier des éléments dans le cadre de la SCA doivent conclure des accords d'externalisation avec lesdits TSP. L'ABE définira les exigences relatives à ces accords d'externalisation. |
Nouvelles mesures de prévention de la fraude et de protection des utilisateurs
Outre les exigences actualisées de la SCA, les nouvelles règles introduisent des mesures supplémentaires pour renforcer la protection des consommateurs et encourager les prestataires de services de paiement à prendre des dispositions complémentaires pour prévenir la fraude. Celles-ci passent notamment par la communication aux clients des tendances en matière de fraude, la tenue régulière de programmes de formation interne, la coopération avec les fournisseurs de services de communication électronique et le partage d'informations avec les autres établissements financiers. Les prestataires de services de paiement auront par ailleurs l'obligation de rembourser leurs utilisateurs en cas de transactions frauduleuses réalisées dans le cadre d'une usurpation d'identité.
Soutien de Stripe en matière de respect des exigences de la SCA
L'introduction de la SCA dans la DSP2 a eu de profondes répercussions sur le commerce en ligne en Europe. Pour leur assurer un passage fluide aux nouvelles règles, Stripe a collaboré avec les entreprises et les partenaires concernés afin de les aider à mettre en œuvre les nouvelles exigences et à gérer les répercussions sur leurs taux de conversion. Les mesures adoptées impliquaient notamment la prise en charge de méthodes d'authentification telles que 3D Secure 2 et le développement d'autres approches à deux facteurs permettant de garantir une expérience d'authentification fluide pour les entreprises et leurs clients.
Nos produits, y compris Stripe Checkout et Billing, sont basés sur notre API Payments qui utilise la logique SCA de Stripe pour déclencher 3D Secure lorsque nécessaire. Notre solution SCA inclut la gestion efficace des exemptions en tant qu'élément clé de la création d'une expérience de paiement de qualité, qui élimine les complexités tout en offrant une sécurité de premier ordre. Nous optimisons l'application de la SCA en fonction des différentes réglementations, des banques et des réseaux de cartes, et nous appliquons les exemptions pertinentes, par exemple pour les paiements à faible risque ou les paiements d'entreprise sécurisés, afin de ne déclencher 3D Secure et/ou de n'appliquer l'authentification à deux facteurs qu'en cas de nécessité.
Flux d'authentification SCA
Le moteur d'authentification de Stripe s'appuie également sur des modèles de machine learning qui détectent les risques en temps réel et permettent aux entreprises d'offrir une expérience optimisée à leurs clients tout en garantissant la conformité à la SCA.
Nous continuerons à surveiller les éventuelles évolutions en matière de SCA et notre solution actualisée a pour but de vous accompagner dans l'application des nouvelles exigences et de vous aider à augmenter votre volume d'authentifications réussies et vos taux de conversion, tout en assurant votre conformité et en minimisant la fraude. Cliquez ici pour découvrir comment augmenter vos revenus grâce à Stripe et à de meilleurs taux d'autorisation.
Et ensuite ?
La DSP3 et le RSP constituent une mise à jour importante des règles de paiement en Europe. En prévision de cette actualisation, les plateformes et les places de marché devront, le cas échéant, reconsidérer leur utilisation des exemptions telles que celle relative aux agents commerciaux, ou alors continuer à s'appuyer sur des prestataires de services agréés pour offrir des solutions de paiement.
À la lumière de l'ensemble DSP3/RSP et de toute future indication de l'ABE, les entreprises seront également amenées à procéder à l'examen continu des exigences en matière de SCA. Les prestataires de services de paiement qui ont intégré des mises à jour associées dans leur moteur d'authentification contribueront à optimiser le nombre de paiements qui nécessitent une SCA et à maximiser les taux de réussite de l'authentification à deux facteurs tout en limitant la fraude.
La Commission européenne, le Parlement européen et les États membres de l'UE procéderont à la finalisation des nouvelles règles courant 2024 et 2025. La DSP3 devra ensuite être transposée en droit national par chacun de ces États. Bien qu'il n'existe aucun calendrier précis concernant les négociations et la période de mise en œuvre à ce stade, il est peu probable que la nouvelle réglementation entre en vigueur avant 2026.
Stripe participe aux discussions avec les décideurs politiques concernés afin de partager nos idées sur la façon dont les futures règles en matière de paiement en Europe peuvent être optimisées au profit des entreprises et de leurs clients. Nous mettrons à jour ce guide au fur et à mesure des nouvelles informations dont nous disposerons.
Si vous souhaitez en savoir plus sur la manière dont Stripe peut vous aider à appréhender sereinement le passage aux nouvelles règles, ou si vous voulez nous faire part de vos réflexions, contactez votre équipe Stripe ou envoyez un e-mail à notre équipe DSP3 (psd3@stripe.com).
Vous trouverez dans notre FAQ. les réponses aux questions les plus courantes au sujet du statut réglementaire de Stripe Connect en Europe.