Qu’implique pour vous la directive européenne sur les paiements PSD2 ?

12 septembre 2019 - 6 min de lecture

Les consommateurs et les entreprises jouent eux-mêmes un rôle crucial dans la sécurité des paiements

De nouveaux services de paiement qui vous simplifient la vie : imaginez un récapitulatif de tous vos comptes de paiement dans une seule et même application. Davantage de concurrence au niveau des paiements européens. Une meilleure protection des consommateurs. La Directive européenne sur les paiements PSD2 (Payment Services Directive) répond à toutes ces attentes.

 

Mais qu'est-ce que cela signifie concrètement ?

Authentification forte du client

 

À partir du 14 septembre 2019, l'authentification forte des clients deviendra progressivement obligatoire dans toute l'Europe. Qu'est-ce qui changera exactement pour les consommateurs et les entreprises ? Si vous effectuez des achats et des paiements en ligne, vous devrez vous identifier à l’aide de deux des trois caractéristiques suivantes :

  • quelque chose que vous connaissez (par ex. votre code pin),
  • quelque chose que vous possédez (par ex. votre smartphone),
  • quelque chose qui vous est propre (par ex. votre empreinte digitale).

Pour de nombreux consommateurs et entreprises belges, ce n'est pas nouveau : pour les services bancaires par internet et mobiles, vous devez souvent vous connecter exactement de cette manière à votre banque.

Ce qui est nouveau, en revanche, c'est qu'à partir du 14 septembre, chaque acteur du paysage européen des paiements devra progressivement instaurer l'authentification forte des clients. Si vous réservez une chambre d'hôtel sur un site de voyage néerlandais ou achetez un cadeau sur une boutique en ligne française, il arrivera de plus en plus souvent qu’il ne suffise plus de fournir un numéro de carte de crédit (et le code CVC figurant au dos de la carte) pour payer. Vous devrez toujours "signer" le paiement. Au stade actuel, cela signifie que vous aurez dorénavant toujours besoin de disposer d'un lecteur de carte ou de votre smartphone

 

Toutefois, la législation prévoit également des exceptions à ce principe afin de trouver un juste équilibre entre la sécurité et le confort du client. Ainsi, il se peut qu’une authentification forte du client ne soit pas nécessaire, par exemple pour :

  • les paiements sans contact dans un magasin physique,
  • les paiements dans les parkings et aux péages,
  • les paiements à des bénéficiaires de confiance ou à destination de comptes propres au sein de la même banque,
  • les transactions en ligne pour de petits montants.

Ouverture de votre compte à des tierces parties

 

La nouvelle directive sur les paiements permet également qu'un consommateur ou une entreprise puisse ouvrir ses comptes de paiement à des tierces parties. Afin d'accroître la concurrence dans le système de paiements européen, votre banque est en effet tenue de partager ces informations avec des opérateurs tiers si ceux-ci en ont reçu de vous, en tant que titulaire du compte, l’autorisation explicite. Ces tierces parties peuvent être d'autres banques belges (ou européennes) sur le marché, mais aussi une fintech qui commercialise un nouveau service.

Pourquoi ouvrir ainsi son compte à une partie tierce ? Si vous donnez à votre banque ou à un tiers l’autorisation de consulter vos comptes de paiement auprès de toutes les autres banques dont vous êtes client, cette banque ou ce tiers peuvent les réunir dans une application pratique. Imaginez par exemple une application qui vous aide à planifier votre budget. Ou une application qui vous montre en un coup d'œil ce à quoi vous dépensez le plus d'argent (épicerie, vêtements, abonnements...). Ce qui est également possible : une application qui vous donne un aperçu de votre situation financière en un coup d'œil. Certaines banques belges la proposent déjà aujourd'hui.

Attention : avec ce genre de services, un minimum d'attention et de prudence sont toujours de mise. Vous pouvez en effet aussi avoir affaire à des prestataires de services malintentionnés.

Une vérification des trois "q" est toujours opportune : qui demande l'autorisation ? quelles sont les données demandées par le prestataire de services et à quelle fin demande-t-il l'autorisation ?

Les signaux suivants peuvent vous alerter sur le manque de fiabilité d’un prestataire de services :

  • vous devez télécharger l'application de la tierce partie en dehors d'un App Store officiel (App Store, Samsung Galaxy Store, ....);
  • la tierce partie n'indique pas clairement pourquoi elle demande votre autorisation;
  • le site web de la tierce partie ne contient pas de coordonnées telles qu'une adresse, un numéro de téléphone ou une adresse électronique;
  • lorsque vous entrez le nom de la tierce partie dans un moteur de recherche, vous ne trouvez que peu, voire pas d'informations la concernant sur internet;
  • les appréciations que vous trouvez sur cette tierce partie ou son application sont inexistantes ou sommaires.

Une bonne dose de prudence s’impose également lorsque vous avez affaire à des tiers qui semblent à première vue dignes de confiance. Si vous n'êtes pas sûr(e) de pouvoir faire confiance au tiers, il vaut mieux procéder à une vérification sur l'EBA (European Banking Authority). Toutes les tierces parties non financières et titulaires d’un agrément y sont recensées. Un tiers n'y est pas répertorié ? Ne prenez pas de risques et restez-en là.

Attention : cette liste ne répertorie pas les banques qui sont autorisées à proposer de tels services. Pour trouver cette information, vous devez vous rendre sur le site de la Banque nationale de Belgique.

Car, fait très important dans la nouvelle directive sur les paiements, les consommateurs et les entreprises restent à tout moment et partout maîtres du jeu. C’est eux qui décident d'autoriser ou non un prestataire de services à accéder à leur compte. Ils jouent ainsi eux-mêmes un rôle crucial dans la sécurité de leurs paiements.