L’Europe a réécrit ses lois régissant le commerce en ligne dans le but de se protéger contre la fraude et d’encourager le développement de nouveaux produits technologiques en ligne.
L’autorité bancaire européenne travaille à la révision de la directive sur les services de paiement depuis sept ans et la phase finale de mise en œuvre de la nouvelle version (connue sous le nom de DSP2) s’est achevée le 31 décembre 2020. À partir du premier janvier 2021, les acheteurs en ligne dans l’UE devront passer par un processus d’identification pour finaliser les achats.
La DSP originale
Avant le début des années 2000, les paiements étaient presque exclusivement du domaine des banques, tout comme ils l’étaient depuis l’apparition des chèques papier comme mode de paiement ou de transfert d’argent. Plus récemment, cependant, les processeurs de paiement non bancaires – comme Stripe et PayPal – sont devenus des acteurs majeurs du secteur.
Un certain nombre d’événements ont marqué le début de ce changement : la sophistication croissante d’Internet et l’utilisation généralisée des cartes bancaires, ainsi que la libre circulation et le commerce entre les pays européens (qui était l’objectif initial de l’UE).
Ces nouvelles entités non-bancaires offraient des services adaptés aux nouvelles capacités de paiement électronique – indépendamment de la localisation de la banque du payeur ou de la destination finale du paiement.
La DSP2 donne à toute personne localisée dans l’UE et disposant d’un compte bancaire le pouvoir d’autoriser l’accès de tiers à ses comptes de paiement – avec son consentement express. Étant donné que personne ne donnera à un tiers l’accès à son compte bancaire s’il n’est pas sûr que son argent est en sécurité, la DSP2 impose une “authentification forte du client” (SCA) et des “API ouvertes” (Application Programming Interfaces : interfaces de programmation d’application) pour accorder l’accès.
Pour rendre ces transactions transparentes, les réglementations DSP2 reconnaissent deux nouveaux types de fournisseurs tiers. Un fournisseur de services d’initiation de paiement qui s’est conformé aux exigences strictes d’authentification du client lancera les paiements à la demande des clients. Les fournisseurs qui détiennent les comptes exécuteront les paiements réels.
La deuxième nouvelle entité de services financiers est un fournisseur de services d’information sur les comptes, lequel après s’être conformé aux protocoles de l’API ouverte, fournira des services de rapports de transactions consolidés multipartites.
Un résumé de la chronologie de la DSP2
Le développement de la DSP2 a été lent, même selon les normes de réglementation de l’UE. Comme indiqué plus haut, le processus a commencé en 2007, lorsque l’UE a adopté la première directive sur les services de paiement. En termes pratiques, cela a simplement servi de reconnaissance officielle que l’UE devait mettre à jour sa réglementation pour tenir compte des innovations dans le traitement des paiements.
Ce n’est qu’en 2013 que la Commission européenne a proposé une DSP2 écrite pour renforcer la protection des consommateurs, encourager la concurrence et l’innovation dans le secteur des paiements, et imposer une sécurité plus stricte pour accroître la confiance des consommateurs dans l’utilisation de nouvelles méthodes de paiement pour les transactions de commerce électronique.
Ci-dessous vous retrouverez une chronologie plus détaillée de la DSP2.
2007 : La première directive sur les services de paiement
La directive initiale sur les services de paiement (SPD) est entrée en vigueur en 2007. L’objectif était de créer un marché unifié des paiements dans l’Union européenne. La DSP a constitué un bon point de départ pour promouvoir un marché des paiements compétitif, innovant et efficace dans l’UE.
2013 : Reconnaissance du besoin de la DSP2
La DSP originale a été développée avant l’adoption généralisée des smartphones, elle ne pouvait donc pas réglementer le marché du commerce mobile ou le nombre croissant d’entreprises financières non-bancaires qui ont commencé à traiter des paiements et à transférer de l’argent. Cela ne pouvait pas non plus prévoir que les consommateurs deviendraient de plus en plus à l’aise pour faire des achats via leur téléphone ou leur ordinateur portable – ou la demande qui créerait de nouveaux types de services de paiement.
En juillet 2013, la Commission européenne a présenté une proposition de deuxième directive sur les services de paiement (DSP2).
Janvier 2016 : La première étape de la DSP2 a été lancée en janvier 2016 lorsque les États membres de l’UE ont accepté d’inscrire la DSP2 dans leurs lois nationales avant le 13 janvier 2018. C’est ce qui a lancé le processus de création d’une structure de réglementation bancaire ouverte à l’échelle du continent entier.
Juin 2017 : Une API européenne harmonisée
Une avancée majeure a eu lieu en juin 2017 lorsque le groupe Berlinois de travail NextGenPSD2 a annoncé avoir créé “une norme européenne d’API (Application Programming Interface) ouverte, commune et harmonisée pour permettre aux fournisseurs tiers d’accéder aux comptes bancaires dans le cadre de la Directive Sur les Paiements révisée (DSP2)”.
En termes moins techniques, l’API harmonisée a permis aux processeurs de paiement (fournisseurs tiers) d’obtenir la permission d’un acheteur de retirer de l’argent de son compte désigné et de transférer le paiement sur le compte désigné du vendeur.
Novembre 2017 : Authentification forte du client (SCA/3DS2)
Le 27 novembre 2017, la Commission européenne a adopté des normes techniques de réglementation pour les mesures antifraude en point d’achat et dans le traitement des paiements. La norme stricte de vérification de l’identité de la personne effectuant un paiement électronique et de protection de ses données personnelles et financières est appelée “authentification forte du client” (SCA/3DS2).
La conformité aux normes SCA/3DS2 nécessite le processus complexe 3D Secure 2.0. Pour la plupart des achats, le vendeur devra vérifier l’identité du client avec une combinaison d’au moins deux éléments indépendants – comme une carte ou un téléphone portable et un mot de passe ou une fonction biométrique, comme les empreintes digitales.
Bien qu’il s’agisse d’une mesure anti-fraude incontestablement forte, il y a un inconvénient majeur (au moins jusqu’à ce que le marché s’adapte) – la dose de complexité supplémentaire que cela implique dans le processus de paiement et qui augmentera probablement les abandons de panier, le fléau du commerce en ligne.
La Commission européenne a adopté un deuxième ensemble de normes techniques pour deux nouvelles catégories d’entreprises financières non-bancaires axées sur le traitement des paiements une fois la vérification terminée. L’objectif est de créer des opportunités pour des services innovants adaptés au commerce en ligne.
L’ensemble final de normes techniques se concentre sur les fournisseurs de services d’information sur les comptes, qui analysent et consolident les données des clients et les informations sur les comptes à l’usage des banques et des fournisseurs tiers. Ces normes visent à faciliter la croissance de la banque numérique dans toute l’UE.
La conformité à la DSP2 est décourageante pour la plate-forme de commerce électronique typique. La solution de mise en conformité DSP2 la plus simple pour la plupart des vendeurs en ligne sera de travailler avec un fournisseur de services de paiement (PSP) compatible DSP2 qui offre un service de paiement hébergé. Cela transfère le problème de conformité au processeur tiers, mais cela ajoute également un autre coût aux activités commerciales.
Janvier 2018 : Tous les États membres de l’UE ont adopté la réglementation bancaire DSP2. C’est là que s’est trouvée fixée une date limite pour achever le processus de création de solutions de conformité SCA/3DS2 afin que les commerçants puissent obtenir l’autorisation des clients pour accéder à leurs comptes ou à leurs données bancaires, et pour créer des réseaux permettant aux banques et aux processeurs tiers d’échanger en toute sécurité des fonds et des données.
31 décembre 2020 : la DSP2 entre en application
La Commission européenne a fixé et prolongé le délai de mise en conformité à la DSP2 à plusieurs reprises, mais la date du premier janvier 2021 est définitive. La DSP2 devient donc officiellement la loi régissant le commerce électronique en Europe à partir de cette date. Toutes les boutiques en ligne – ainsi que les banques et les processeurs de paiement nécessaires à leur activité – doivent être en totale conformité avec la DSP2 le premier jour de 2021. La seule exception est qu’à cause du Brexit, les régulateurs financiers britanniques ont retardé la conformité de la DSP2 à mars 2021 pour les banques en ligne et le 14 septembre 2021 pour les achats en ligne.
À ce stade, cependant, tous les acteurs devraient être prêts. En 2021, une vente en ligne dans l’UE peut être refusée si l’identité de l’acheteur n’est pas vérifiée avec une SCA/3DS2. La plupart des observateurs pensent qu’il faudra un certain temps aux clients, aux entreprises de commerce électronique et à l’industrie de la technologie financière qui traite les paiements pour s’ajuster. À plus long terme, la DSP2 ouvrira l’ensemble de l’UE au commerce en ligne et aux banques électroniques, créant de nouvelles opportunités pour les commerçants et les entrepreneurs en technologies financières.
Photo d’ordinateur créée par diana.grytsku – www.freepik.com
Envoyer un commentaire: