La deuxième directive européenne sur les services de paiements (DSP2), votée en octobre 2015 et entrée en vigueur dans toute l’Union Européenne le 13 janvier 2018 a pour objectif de consolider la sécurité des transactions en Europe.
Sa mise en œuvre concrète a été confiée à l’Autorité Bancaire Européenne (ABE).
La DSP2 a été transposée en droit français par ordonnance du 9 août 2017
De nouvelles règles bancaires ont ainsi été instaurées :
Interdiction de surfacturation en cas de paiement par carte bancaire, tant en magasin qu’en ligne.
Protection du consommateur : en cas d’utilisation frauduleuse de sa carte avant opposition, la franchise restant à la charge de ce dernier passe de 150 à 50 euros. Par ailleurs le délai est raccourci, et la loi prévoit un droit inconditionnel au remboursement (pour les prélèvements en euros).
Authentification forte : elle fait appel à deux facteurs, en combinant deux éléments de ces 3 catégories : quelque chose que l’on sait (mot de passe), quelque chose que l’on possède (l’appareil avec lequel on effectue la transaction : mobile, ordinateur), quelque chose que l’on est, c’est-à-dire une donnée biométrique (empreinte digitale, vocale ou rétinienne).
Accessibilité des données : (applicable en septembre 2019, après un délai d’adaptation aux normes techniques) Les banques doivent fournir gratuitement les données des comptes de paiement de leur client (avec l’accord de celui-ci) à des acteurs tiers :
- Les initiateurs de services de paiement (PSP) : ils transmettent un ordre de paiement à la banque, en nom et pour le compte du client
- Les prestataires de services d’informations sur les comptes : lorsqu’un client possède plusieurs comptes de paiement, ces services compilent l’ensemble de ses données bancaires afin de lui offrir une vision complète de ses comptes.
