Depuis le 13 janvier 2018, la DSP2 (directive européenne 2015/2366) encadre tous vos paiements électroniques et vous offre des protections concrètes que vous ignorez peut-être. Que vous fassiez vos courses en ligne, que vous gériez vos comptes via une application ou que vous receviez des virements, cette réglementation vous concerne directement.
Voici ce que nous allons explorer ensemble dans cet article :
- ce qu’est exactement la DSP2 et pourquoi elle a été créée
- qui est concerné : particuliers, banques, commerçants, fintech
- comment fonctionne l’authentification forte (SCA) au quotidien
- quels sont vos droits en cas de fraude ou de paiement contesté
- ce que l’Open Banking change concrètement pour vous
- comment les nouveaux acteurs (AISP, PISP) transforment la gestion de votre argent
- ce qui évolue avec les virements instantanés en 2024
Plongeons dans le détail.
Définition de la DSP2 (PSD2) et texte de référence
La DSP2, ou deuxième directive sur les services de paiement, est un texte juridique européen publié sous la référence directive (UE) 2015/2366. Elle remplace la première directive 2007/64/CE, devenue obsolète face à l’essor des paiements mobiles et d’internet.
Applicable depuis le 13 janvier 2018 dans tous les États membres de l’Union européenne, elle s’inscrit dans la logique de l’espace unique de paiements en euros (SEPA) : harmoniser les règles, supprimer les disparités nationales et créer un véritable marché intérieur des paiements électroniques.
Pourquoi la DSP2 a été mise en place : objectifs et enjeux
Le constat de départ était simple : les règles variaient d’un pays à l’autre, la fraude progressait avec les paiements en ligne, et les banques traditionnelles étaient les seules à proposer des services financiers encadrés.
La DSP2 poursuit cinq objectifs principaux :
- Unifier les règles à l’échelle européenne
- Sécuriser les paiements électroniques face à la fraude
- Protéger davantage les consommateurs
- Ouvrir le marché à de nouveaux acteurs (fintech, agrégateurs)
- Stimuler la concurrence et l’innovation pour faire potentiellement baisser certains coûts
Qui est concerné par la DSP2 : clients, banques, fintech et commerçants
La DSP2 touche un écosystème très large :
| Acteur | Rôle dans la DSP2 |
|---|---|
| Particuliers et entreprises | Bénéficient des protections, doivent s’authentifier |
| Banques | Doivent ouvrir leurs interfaces (API) aux tiers autorisés |
| Établissements de paiement | Soumis à agrément, règles de transparence et sécurité |
| Fintech (AISP, PISP) | Peuvent accéder aux comptes avec consentement du client |
| Commerçants e-commerce | Concernés par l’authentification forte et l’interdiction de surcharges |
Si vous achetez en ligne, si vous utilisez une application de gestion de budget ou si vous êtes commerçant qui encaisse des paiements par carte, la DSP2 vous concerne.
Quels services la DSP2 encadre : du paiement classique aux nouveaux acteurs
La directive couvre un périmètre très étendu :
- les virements et prélèvements SEPA
- les paiements par carte (débit et crédit)
- les paiements en ligne et via application mobile
- les services d’information sur les comptes (agrégateurs)
- les services d’initiation de paiement (tiers payants)
Elle impose à tous les prestataires des obligations de transparence : informations claires sur les frais, les conditions contractuelles et les recours disponibles.
Authentification forte (SCA) : principe, facteurs et cas d’usage
C’est la mesure la plus visible de la DSP2 au quotidien. L’authentification forte du client (SCA – Strong Customer Authentication) impose de combiner au moins deux facteurs parmi :
- Ce que vous connaissez : code PIN, mot de passe
- Ce que vous possédez : téléphone, application bancaire, token physique
- Ce que vous êtes : empreinte digitale, reconnaissance faciale
Exemple concret : lorsque vous payez 80 € sur un site marchand, votre banque vous envoie une notification dans son application. Vous validez avec votre empreinte. L’opération est confirmée en quelques secondes.
Certaines exemptions existent : les transactions inférieures à 30 € (dans la limite de 5 opérations consécutives ou 100 € cumulés), les bénéficiaires de confiance préenregistrés, ou encore les paiements récurrents d’un montant fixe.
Paiements en ligne : impacts concrets, parcours client et causes de refus
Depuis la généralisation de la SCA, le parcours d’achat en ligne a évolué. Vous avez sans doute remarqué l’apparition systématique d’une étape de validation supplémentaire avant la confirmation de paiement.
Un paiement peut être refusé pour plusieurs raisons liées à la DSP2 :
- absence de validation via l’application bancaire
- code SMS expiré ou non saisi dans le délai imparti
- appareil non reconnu par la banque
- dépassement du seuil d’exemption sans nouvelle authentification
Ces refus peuvent sembler contraignants, mais ils ont réduit la fraude aux paiements en ligne de manière significative. Selon les données de l’ABE (EBA), le taux de fraude sur les paiements à distance par carte en Europe était de 0,11 % en valeur avant la généralisation de la SCA — un chiffre en baisse continue depuis 2018.
Open Banking : accès aux comptes, API bancaires et consentement
L’Open Banking est l’un des apports les plus structurants de la DSP2. Le principe : avec votre accord explicite, une entreprise tierce (autre que votre banque) peut accéder à vos données de compte pour vous proposer un service.
Les banques sont obligées de fournir des interfaces techniques sécurisées (API) pour permettre cet accès dans les règles. Ces interfaces sont standardisées pour garantir la sécurité des échanges.
Points essentiels à retenir :
- vous devez donner votre consentement explicite
- vous pouvez retirer cette autorisation à tout moment
- l’accès est limité aux données strictement nécessaires au service
AISP : services d’information sur les comptes et cas d’usage
Un AISP (Account Information Service Provider) est un prestataire autorisé à consulter vos comptes bancaires, même si vous êtes client dans plusieurs banques différentes, pour vous offrir une vision consolidée de vos finances.
Exemples concrets d’usage :
- une application qui regroupe vos comptes courant, épargne et carte de crédit dans un seul tableau de bord
- un outil de gestion budgétaire qui catégorise automatiquement vos dépenses
- un service de courtage qui analyse votre profil financier avant de vous proposer un crédit
Ces services doivent être agréés ou enregistrés auprès de l’autorité compétente (en France, l’ACPR) et couverts par une assurance responsabilité civile professionnelle.
PISP : services d’initiation de paiement et bénéfices pour le e-commerce
Un PISP (Payment Initiation Service Provider) peut, avec votre accord, déclencher un virement depuis votre compte bancaire pour payer un marchand, sans que vous passiez par l’interface de votre banque.
Pour les consommateurs : un paiement direct depuis le compte, sans saisir de données de carte.
Pour les commerçants : réduction des frais de transaction par rapport aux paiements par carte, confirmation immédiate du paiement, diminution des risques d’impayés.
Exemple chiffré : les frais moyens d’un paiement par carte s’élèvent à environ 1,5 à 2 % du montant de la transaction pour un commerçant. Un paiement initié via PISP peut réduire ce coût de façon notable, selon les prestataires.
Droits des consommateurs : fraude, remboursements et frais interdits
La DSP2 renforce vos droits sur trois points majeurs :
1. Paiements non autorisés
En cas d’opération frauduleuse, votre responsabilité est plafonnée à 50 € (contre 150 € sous l’ancienne directive), sauf en cas de négligence grave ou de fraude de votre part.
2. Remboursement des prélèvements SEPA
Vous pouvez demander le remboursement sans condition de tout prélèvement SEPA en euros dans un délai de 8 semaines suivant le débit.
3. Interdiction des surcharges
Un commerçant ne peut plus vous facturer de frais supplémentaires parce que vous payez par carte de débit ou de crédit, dans les cas couverts par les règles européennes.
Responsabilités en cas de litige : obligations des prestataires et recours
Lorsqu’une opération est contestée, la DSP2 impose aux prestataires de paiement des obligations précises :
- traiter rapidement la contestation
- rembourser immédiatement en cas d’opération non autorisée (sauf preuve contraire)
- apporter la preuve que l’authentification a bien été réalisée si le client conteste
En cas de litige non résolu avec votre banque ou prestataire, vous pouvez saisir le médiateur bancaire ou l’ACPR (Autorité de contrôle prudentiel et de résolution) en France.
Agrément, assurance et supervision : conditions pour opérer sous DSP2
Tout prestataire souhaitant proposer des services de paiement en Europe doit être autorisé par l’autorité compétente de son pays. Les AISP et PISP, en particulier, doivent obligatoirement souscrire une assurance responsabilité civile professionnelle ou une garantie équivalente.
La DSP2 prévoit également des mesures de supervision continues et des sanctions en cas de non-respect des règles.
Rôle de l’ABE (EBA) : registre central et normes techniques
L’Autorité bancaire européenne (ABE / EBA) joue un rôle clé dans l’application uniforme de la DSP2 à travers l’Europe :
- elle maintient un registre central public de tous les prestataires autorisés dans l’UE
- elle publie des normes techniques de réglementation (RTS) sur la SCA et les communications sécurisées
- elle aide à résoudre les désaccords entre autorités nationales
Ce registre vous permet de vérifier en quelques clics si une fintech ou un prestataire de paiement est bien autorisé à exercer.
DSP2 et frais de carte : ce que change le plafonnement des interchange
Le règlement (UE) 2015/751, complémentaire à la DSP2, plafonne les commissions d’interchange (frais interbancaires liés aux paiements par carte) :
- 0,2 % du montant pour les cartes de débit
- 0,3 % du montant pour les cartes de crédit
Ces plafonds visent à réduire les coûts pour les commerçants qui acceptent la carte et, indirectement, à contenir les prix pour les consommateurs finals.
DSP2 et virements instantanés : ce qui évolue avec le règlement 2024/886
Le règlement (UE) 2024/886 sur les virements instantanés en euros modifie certains aspects de la DSP2. Il vise notamment à permettre à certains prestataires non bancaires de participer aux systèmes de paiement désignés, dans le cadre défini par la directive 98/26/CE.
L’objectif : généraliser les virements instantanés en euros à l’ensemble de la zone SEPA, avec des frais équivalents aux virements classiques, pour que le paiement en temps réel devienne la norme plutôt que l’exception.
Questions fréquentes sur la DSP2 : points clés à retenir
La DSP2 s’applique-t-elle aussi hors Union européenne ?
Elle s’applique aux transactions réalisées au sein de l’UE. Les paiements vers des pays tiers sont partiellement couverts.
Puis-je refuser l’authentification forte ?
Non, elle est imposée par la réglementation pour les opérations concernées. La refuser bloque le paiement.
Comment savoir si une application fintech est autorisée ?
Consultez le registre central de l’EBA ou le registre de l’ACPR pour la France.
La DSP2 protège-t-elle aussi les professionnels ?
Oui, les entreprises sont concernées, même si certains droits (comme l’exemption de surcharge) visent davantage les consommateurs particuliers.
La DSP2 va-t-elle être remplacée ?
La Commission européenne travaille sur une DSP3 (PSD3) et un règlement PSR associé, dont l’adoption est attendue dans les prochaines années pour aller encore plus loin dans la sécurisation et l’harmonisation des paiements.
Sur immobilier-albert1er.fr, nous vous aidons à mieux comprendre les règles qui encadrent votre quotidien financier et immobilier. N’hésitez pas à parcourir nos autres guides pratiques pour gérer votre patrimoine en toute sérénité.