En quoi consiste la conformité à la DSP2 et qu’implique-t-elle pour votre entreprise ?

Conformité et réglementation

La directive sur les services de paiement de l’Union européenne, ou DSP2, est l’une des réglementations les plus récentes concernant les services de paiement et les sociétés de traitement des paiements. Entrée en vigueur en septembre 2018, la DSP2 vise à stimuler l’innovation dans le domaine de la banque numérique tout en renforçant la sécurité et les droits des consommateurs. Bien que la DSP2 soit une directive de l’UE, elle devrait avoir un impact majeur sur la façon dont les banques, les sociétés de traitement des paiements et les fintech conduisent leur activité à l’échelle mondiale.

Dans cet article, nous aborderons les fondements de la DSP2, sa structure et les exigences qu’elle instaure. Vous apprendrez également qui cette directive concerne et comment vous préparer au mieux à son impact sur votre organisation.

Qu’est-ce que la directive sur les services de paiement (DSP2) ?

La DSP2 représente la tentative de l’UE d’encourager l’innovation et de protéger les consommateurs dans le cadre d’une réglementation unique. Plus spécifiquement, les deux principaux domaines affectés par la DSP2 sont l’authentification des clients et l’accès des tiers aux comptes clients. La réglementation imposera des exigences plus strictes pour les transactions en ligne par le biais de l’authentification à plusieurs facteurs (MFA). Et pour offrir aux consommateurs un meilleur service et une innovation accrue, les services tiers pourront accéder aux comptes par l’intermédiaire d’une interface de programmation applicative (API) si les clients y consentent.

La DSP2 en quelques dates

Voici une brève chronologie de la DSP2, ainsi que l’état et les mises à jour les plus récents :

  • 2007. L’UE promulgue la toute première directive sur les services de paiement (DSP) afin de créer un marché unifié des paiements dans l’Union européenne.
  • 2013. L’UE reconnaît la nécessité d’actualiser la DSP en fonction des changements technologiques et de formuler les bases de la DSP2.
  • Janvier 2016. La première étape de la DSP2 débute : les États membres de l’UE votent pour adopter la directive, qui sera promulguée en 2018.
  • Juin 2017. Une API ouverte et harmonisée pour l’ensemble de l’UE est introduite, permettant l’accès des services tiers selon les normes de la DSP2.
  • Janvier 2018. Tous les États membres de l’UE adoptent officiellement la DSP2 et se mettent d’accord sur un calendrier de mise en œuvre future.
  • Novembre 2018. Des mesures d’authentification forte des clients sont introduites en vertu de la DSP2 pour mieux protéger les consommateurs de la fraude au paiement numérique.
  • 31 décembre 2020. Après de multiples reports d’échéance, la DSP2 entre officiellement en vigueur pour tous les pays membres de l’UE.

Quelles sont les régions concernées ?

La DSP2 s’applique directement aux consommateurs de tous les États membres de l’UE. Bien que la directive se focalise sur les banques et les sociétés de traitement des paiements de l’UE, les entreprises dont le siège est situé hors de l’UE peuvent y être soumises si elles ont des clients ou des utilisateurs qui relèvent de la compétence de l’UE. À titre d’exemple, les entreprises américaines doivent s’assurer que leurs unités d’affaires européennes respectent la DSP2. Par conséquent, si votre entreprise envisage de se développer sur le marché européen, vous devrez, à plus ou moins brève échéance, vous conformer à cette directive.

Exigences de conformité et contrôles établis par la DSP2

Aux termes de la DSP2, les entreprises doivent renforcer la sécurité des interactions de leurs clients avec leurs comptes ; la directive précise également la manière dont des sociétés tierces accèdent aux comptes via une API.

API ouverte pour un accès des services tiers

La principale exigence technologique pour obtenir la conformité à la DSP2 est la fourniture d’une API qui permet aux prestataires de services d’information sur les comptes (PSIC) d’accéder aux informations des clients lorsque le consommateur l’autorise.

Authentification de sécurité à plusieurs facteurs

Autre aspect clé de la DSP2 : l’ensemble des sociétés de traitement des paiements et des prestataires de services bancaires numériques utilisent l’authentification à plusieurs facteurs (au moins deux) pour la connexion des utilisateurs. Il s’agit généralement d’une combinaison d’éléments tels que les codes PIN, les données biométriques et la vérification par SMS.

Une plus grande transparence pour les clients

La DSP2 requiert une plus grande transparence de la part des entreprises dans deux domaines. Tout d’abord, les entreprises devront simplifier le langage de leurs conditions générales dans l’intérêt de leurs clients. Elles devront également accroître la transparence des taux de change utilisés dans les transactions.

Résolution rapide des réclamations

La DSP2 exige que les prestataires de services de paiement règlent les réclamations dans les meilleurs délais. La directive précise également comment les incidents doivent être signalés aux organismes de réglementation de l’UE, aux clients eux-mêmes et aux services de répression compétents en cas de violation criminelle.

Interdiction des surfacturations dans certains cas

Aux termes de la DSP2, les commerçants ont l’interdiction de facturer des frais supplémentaires dans des cas spécifiés. Les sites Web de billetterie, de restauration, de voyage et de livraison ne peuvent plus facturer de frais supplémentaires en cas de paiement par carte bancaire, par exemple. L’interdiction des surfacturations s’applique à la fois dans les contextes B2C et B2B.

Principaux changements et personnes ou entités affectées

Les changements introduits par la DSP2 par rapport à la première version de la DSP visent principalement à réduire le contrôle qu’exercent les grandes institutions financières sur les données des utilisateurs et à renforcer les droits des consommateurs. Si certains contrôles et principes subsistent, il existe quelques différences essentielles :

  • Consommateurs. La DSP2 permettra aux entreprises comme Amazon de récupérer les données des comptes bancaires avec l’autorisation des titulaires. Cette mesure est conçue pour aider à rationaliser l’expérience de paiement des consommateurs pour les achats en ligne tout en encourageant l’innovation.
  • Maisons de courtage. Selon la DSP2, les banques et les courtiers devront offrir une plus grande transparence des taux de change utilisés lors du traitement des paiements en ligne. En outre, il leur sera interdit de facturer certains frais de traitement.
  • Banques. Étant donné qu’elles sont responsables de l’atténuation des risques de fraude, les banques devront mettre en œuvre des contrôles de sécurité avancés. Cela inclut des analyses en vue de valider l’origine des appels API entrants et des outils robustes pour détecter la fraude et les cyberattaques.

Avec l’introduction de la DSP2, toutes les banques, les sociétés de traitement des paiements et les maisons de courtage devront adapter leur approche des clients et leur gestion de la cybersécurité. Cependant, malgré les défis que présente la DSP2, elle comporte des avantages pour l’ensemble du secteur financier.

Défis et avantages pour les banques

Avec l’introduction des nouvelles normes de transparence, la concurrence tarifaire va probablement s’intensifier, car les consommateurs disposent désormais de plus d’informations et peuvent comparer avant de s’engager. Cela pourrait entraîner une baisse des revenus et une contraction des parts de marché. Il pourrait également y avoir une réduction des points de contact entre les banques et leurs clients, car les services tiers seront en mesure de fournir une part plus importante de l’expérience bancaire numérique par le biais du mandat API qu’instaure la DSP2. Moins de points de contact équivaut à moins de possibilités de vente incitative et croisée de produits et de services.

Toutefois, la DSP2 crée des occasions pour les banques de rivaliser en matière d’innovation, grâce à l’utilisation d’outils d’analyse avancés pour extraire des informations précieuses concernant leurs clients sur la base des quantités massives de données qu’elles possèdent déjà. Bien que les services tiers puissent désormais accéder aux comptes, les banques contrôlent toujours la majeure partie des données et peuvent personnaliser leurs services tout aussi bien, voire mieux, tout en conservant leur rôle de conseiller de confiance. En outre, les banques peuvent s’appuyer sur ces acteurs de la fintech et ces tiers pour la prestation de services dont elles ne souhaitent plus se charger, ou pour générer des prospects.

Comment la DSP2 affectera le marché américain 

La réglementation établie par la DSP2 aura un impact sur les entreprises américaines pour plusieurs aspects clés, car les commerçants et les émetteurs de cartes visent à normaliser les mesures de sécurité à l’échelle mondiale.

Augmentation potentielle de la fraude aux États-Unis

L’une des principales conséquences pourrait être la hausse des incidents de fraude aux États-Unis, car les hackers seront peut-être moins enclins à cibler l’UE en raison du renforcement des mesures de sécurité. Par exemple, les fraudeurs n’auront plus la possibilité de tester de fausses cartes à cause des mesures de sécurité actées par la DSP2, et pourraient donc se tourner vers les États-Unis pour ce type de fraude, entre autres.

Conformité des unités métier implantées dans l’UE

Même si elles sont basées aux États-Unis, les entreprises qui exercent des activités dans l’UE doivent demander à leurs unités métier européennes de se conformer aux obligations de la DSP2. La conformité à la DSP2 est également fort recommandée si une entreprise américaine reçoit une bonne partie de son trafic Web de l’UE ou y compte une clientèle importante.

Mise en œuvre de la norme 3-D Secure Version 2 (3DS2)

Pendant que l’UE élaborait sa directive DSP2, l’industrie des paiements œuvrait à une nouvelle norme d’authentification appelée 3-D Secure Version 2 (3DS2). L’objectif étant de mettre en œuvre cette dernière à l’échelle mondiale, les entreprises américaines doivent prévoir de répondre aux exigences de sécurité et d’authentification spécifiées par la norme 3DS2, même si la directive européenne, elle, ne les affecte pas directement.

Implications de la DSP2 pour votre entreprise, et comment vous y préparer 

Selon votre type d’activité, la préparation à la DSP2 nécessitera l’instauration de plusieurs étapes et mesures.

Commencez à déployer l’authentification à plusieurs facteurs

L’authentification à plusieurs facteurs étant au cœur de la DSP2, vous devez vous assurer que l’ensemble de vos applications, services et plateformes l’ont mise en place. Cela s’applique à tout service lié à la vente, au traitement ou à la banque numérique.

Auditez vos opérations dans l’UE

Si vous possédez des unités métier dans l’UE ou recevez un trafic commercial important en provenance d’Europe, il vous faut vérifier la conformité de vos opérations avec la DSP2. Cela implique la mise en œuvre de l’authentification à plusieurs facteurs, comme indiqué ci-dessus, ainsi que la création de processus de réponse aux réclamations conformes à la DSP2.

Renforcez la lutte contre la fraude

Comme les mesures de sécurité de la DSP2 rendront probablement les escroqueries, telle la fraude sur les paiements à distance, plus malaisées en Europe, il est recommandé de vous préparer à leur éventuelle hausse si votre entreprise est basée aux États-Unis. Veillez à mettre en œuvre des éléments tels que des pare-feu puissants et à effectuer des tests d’intrusion. Le respect de la norme de sécurité PCI vous aidera également à vous préparer.

Conclusion

Avec l’entrée en vigueur de la DSP2, l’innovation financière est appelée à se développer, tout comme la protection des consommateurs dans l’UE. En fonction du type de services que vous proposez et de l’origine de vos clients, envisagez de collaborer avec un partenaire expérimenté en matière de conformité afin de vous assurer que vous avez mis en place toutes les mesures appropriées pour atteindre la conformité à la DSP2.

L’adoption d’autres cadres de cybersécurité, telle la norme ISO 27001, peut également améliorer de manière générale votre posture de cybersécurité et vous prémunir contre toute hausse potentielle de la fraude américaine pouvant résulter des mesures dissuasives de la DSP2 en la matière.

 

Avatar

David Harrington

David est rédacteur professionnel et consultant en leadership d'expertise pour des marques de technologie d'entreprise, des start-up et des sociétés de capital-risque.

 

Votre cybersécurité est-elle au cœur de votre infrastructure ?

Bénéficiez d'une évaluation personnalisée des risques auxquels sont exposées vos données, effectuée par des ingénieurs passionnés par la sécurité des données.