Aller au contenu

Contenu généré par IA: Les réponses sont générées par une IA, assemblées automatiquement et peuvent contenir des erreurs. Conformi est un outil de recherche et ne remplace pas un conseil juridique ou un examen juridique au cas par cas. Toutes les réponses doivent être vérifiées à l’aide des sources originales liées.

Conformi/Knowledge Base/Numérique/PSD2
💻Services numériques

Directive (UE) 2015/2366 — Services de paiement dans le marché intérieur (DSP2)

Analyse du 18 avril 20262 sourcesVersion consolidée du 17.01.2025, intégrant les modifications de la directive (UE) 2022/2556 (DORA) et du règlement (UE) 2024/886 (virements instantanés)EUR-Lex Original

Mon interface de paiement en ligne respecte-t-elle encore les exigences d'authentification forte de la DSP2, et que risque mon établissement en cas de contrôle ?

Tout prestataire de services de paiement dans l'UE doit appliquer l'authentification forte du client depuis le 14 septembre 2019 — en cas de manquement, les sanctions nationales sont effectives, proportionnées et dissuasives [Art. 103], et le prestataire supporte l'intégralité des pertes en cas d'opération non autorisée [Art. 74 par. 2].

Réponse courte

La DSP2 encadre l'agrément, la surveillance et les obligations opérationnelles des établissements de paiement, des prestataires de services d'initiation de paiement (PISP) et des prestataires de services d'information sur les comptes (AISP) [Art. 1, Art. 11]. Elle impose l'authentification forte du client (SCA) pour tout accès en ligne aux comptes et toute opération de paiement électronique [Art. 97], avec un lien dynamique obligatoire entre le montant, le bénéficiaire et l'opération pour les paiements à distance [Art. 97 par. 2]. En cas d'opération non autorisée sans SCA, le prestataire — et non le payeur — supporte l'intégralité des pertes financières [Art. 74 par. 2]. Les gestionnaires de comptes doivent ouvrir un accès sécurisé aux PISP et AISP sans discrimination par rapport aux canaux directs [Art. 66 par. 4, Art. 67 par. 3].

Concernés

Établissements de crédit, établissements de paiement agréés, établissements de monnaie électronique, prestataires de services d'initiation de paiement (PISP) et prestataires de services d'information sur les comptes (AISP) opérant dans l'UE [Art. 1 par. 1]. Également tout émetteur d'instruments de paiement liés à une carte souhaitant vérifier la disponibilité de fonds [Art. 65]. Les microentreprises bénéficient du même niveau de protection que les consommateurs sauf dérogation contractuelle [Art. 38].

Échéance

Toutes les obligations sont pleinement applicables depuis le 14 septembre 2019 (SCA et accès aux comptes, conformément à l'art. 115 par. 4). Obligation permanente : le remboursement d'une opération non autorisée doit intervenir au plus tard à la fin du premier jour ouvrable suivant la notification [Art. 73 par. 1]. La Commission a proposé une DSP3 (règlement et directive) ; les opérateurs doivent surveiller l'évolution réglementaire.

Risque

La directive ne fixe pas de montant de sanction au niveau européen — elle renvoie aux régimes nationaux qui doivent être 'effectifs, proportionnés et dissuasifs' [Art. 103]. En France, l'ACPR peut prononcer des sanctions pécuniaires pouvant atteindre 100 millions d'euros (Code monétaire et financier). En pratique, un prestataire qui n'applique pas la SCA supporte 100 % des pertes sur les opérations non autorisées [Art. 74 par. 2] et s'expose au retrait de son agrément [Art. 13].

Preuves

Statut juridique

  • En vigueur
  • au 2026-04-18
  • Version consolidée du 17.01.2025, intégrant les modifications de la directive (UE) 2022/2556 (DORA) et du règlement (UE) 2024/886 (virements instantanés)

Sources primaires

À faire maintenant

Juridique / DPO

  • Vérifier que les contrats-cadres avec les utilisateurs de services de paiement contiennent toutes les informations précontractuelles exigées [Art. 52], notamment les délais d'exécution, les frais et les procédures de réclamation [Art. 101].
  • S'assurer que la responsabilité en cas d'opération non autorisée est correctement répartie : franchise maximale de 50 EUR pour le payeur en cas de perte ou vol, sauf négligence grave [Art. 74 par. 1], et responsabilité intégrale du prestataire en l'absence de SCA [Art. 74 par. 2].
  • Documenter le régime d'agrément applicable (établissement de paiement, dérogation au titre de l'art. 32 ou 33) et maintenir à jour le registre public national [Art. 14] ainsi que les notifications à l'ABE [Art. 15].

Conformité

  • Mettre en place un dispositif de signalement des incidents de sécurité majeurs à l'autorité compétente, conformément aux obligations de notification issues du règlement (UE) 2022/2554 (DORA) tel que modifié par la directive (UE) 2022/2556 [Art. 5 par. 1 f)].
  • Vérifier que l'authentification forte du client est appliquée dans les trois cas obligatoires : accès en ligne au compte, initiation d'un paiement électronique et toute action à distance comportant un risque de fraude [Art. 97 par. 1] — et que les dérogations utilisées sont conformes aux RTS de l'ABE [Art. 98].
  • Contrôler que les fonds des utilisateurs sont protégés conformément à l'article 10 (cantonnement sur compte distinct ou couverture par une assurance) et que les exigences de capital minimum sont respectées [Art. 7 : 20 000, 50 000 ou 125 000 EUR selon le service].

IT / Sécurité

  • Implémenter les normes ouvertes de communication sécurisée (API) permettant l'accès des PISP et AISP aux comptes sans discrimination, avec identification et authentification conformes aux RTS visées à l'article 98 par. 1 d) [Art. 66 par. 4, Art. 67 par. 3].
  • Garantir que le lien dynamique pour les paiements à distance associe le code d'authentification au montant et au bénéficiaire de l'opération, rendant toute altération détectable [Art. 97 par. 2].
  • Mettre en oeuvre les mesures de résilience opérationnelle numérique exigées par le règlement (UE) 2022/2554 (DORA), y compris les tests de sécurité des systèmes TIC et les plans de continuité [Art. 5 par. 1 e) et h)].

Produit / Ingénierie

  • Intégrer l'authentification forte dans les parcours de paiement en ligne et mobile en veillant à minimiser les frictions utilisateur tout en respectant les trois facteurs obligatoires (connaissance, possession, inhérence) [Art. 4 point 30, Art. 97].
  • Développer les interfaces d'accès aux comptes (XS2A) permettant aux PISP d'initier des paiements et aux AISP d'agréger les données de comptes, sans exiger de relation contractuelle entre le tiers et le gestionnaire du compte [Art. 66 par. 5, Art. 67].
  • Concevoir un mécanisme de vérification de disponibilité des fonds pour les instruments de paiement liés à une carte, répondant par un simple 'oui' ou 'non' sans divulguer le solde [Art. 65].

Termes clés

Authentification forte du client (SCA)
Authentification fondée sur au moins deux facteurs indépendants parmi connaissance, possession et inhérence, protégeant la confidentialité des données d'authentification [Art. 4 point 30].
Prestataire de services d'initiation de paiement (PISP)
Prestataire exerçant le service d'initiation de paiement visé au point 7 de l'annexe I, initiant un ordre de paiement à la demande de l'utilisateur sur un compte détenu chez un autre prestataire [Art. 4 point 18].
Prestataire de services d'information sur les comptes (AISP)
Prestataire fournissant un service en ligne d'agrégation d'informations sur un ou plusieurs comptes de paiement détenus auprès d'un ou de plusieurs autres prestataires [Art. 4 point 19].
Établissement de paiement
Personne morale agréée au titre de l'article 11 pour fournir et exécuter des services de paiement dans l'Union [Art. 4 point 4].
Contrat-cadre
Contrat de services de paiement régissant l'exécution future d'opérations de paiement successives, pouvant énoncer les conditions d'ouverture d'un compte de paiement [Art. 4 point 21].
Opération de paiement
Action initiée par le payeur ou le bénéficiaire consistant à verser, transférer ou retirer des fonds, indépendamment de toute obligation sous-jacente [Art. 4 point 5].
Données de sécurité personnalisées
Données personnalisées fournies par le prestataire à l'utilisateur aux fins d'authentification, dont la compromission peut permettre une fraude [Art. 4 point 31].
?

Questions fréquentes

Qu'est-ce que l'authentification forte du client (SCA) et quand est-elle obligatoire ?
L'authentification forte repose sur au moins deux facteurs parmi connaissance, possession et inhérence, indépendants les uns des autres [Art. 4 point 30]. Elle est obligatoire lorsque le payeur accède à son compte en ligne, initie un paiement électronique ou exécute toute action à distance comportant un risque de fraude [Art. 97 par. 1].
Quelle est la responsabilité du payeur en cas d'opération non autorisée ?
Le payeur supporte au maximum 50 EUR en cas de perte ou de vol de son instrument de paiement [Art. 74 par. 1]. Toutefois, si le prestataire n'a pas exigé l'authentification forte, le payeur ne supporte aucune perte financière, sauf en cas de fraude de sa part [Art. 74 par. 2]. En cas de négligence grave du payeur, sa responsabilité est illimitée [Art. 74 par. 1].
Les fintechs (PISP et AISP) doivent-elles conclure un contrat avec la banque du client ?
Non. L'article 66 par. 5 dispose expressément qu'aucune relation contractuelle entre le PISP et le gestionnaire du compte n'est requise. Le gestionnaire du compte doit traiter les ordres de paiement initiés via un PISP sans discrimination par rapport aux ordres transmis directement par le payeur [Art. 66 par. 4 d)].
Quel capital minimum est exigé pour un établissement de paiement ?
Le capital initial varie selon le type de service : 20 000 EUR pour la transmission de fonds (point 6 de l'annexe I), 50 000 EUR pour l'initiation de paiement (point 7), et 125 000 EUR pour les services de paiement classiques (points 1 à 5) [Art. 7].
Dans quel délai un prestataire doit-il rembourser une opération non autorisée ?
Le prestataire de services de paiement rembourse le payeur immédiatement, et au plus tard à la fin du premier jour ouvrable suivant la prise de connaissance de l'opération non autorisée ou la notification, sauf soupçon raisonnable de fraude communiqué par écrit à l'autorité compétente [Art. 73 par. 1].
La DSP2 s'applique-t-elle aux paiements en cryptomonnaies ?
Non. La DSP2 couvre les services de paiement au sens de l'annexe I, portant sur des fonds tels que définis à l'article 4 point 25 (billets, monnaie scripturale, monnaie électronique). Les crypto-actifs relèvent du règlement (UE) 2023/1114 (MiCA), non de la DSP2.
Comment la directive (UE) 2022/2556 (DORA) modifie-t-elle la DSP2 ?
La directive 2022/2556 aligne les exigences de résilience opérationnelle numérique des établissements de paiement sur le règlement DORA. Les articles 5 par. 1 e), f) et h) ont été modifiés pour renvoyer aux obligations du chapitre II et III du règlement (UE) 2022/2554 en matière de gestion des risques TIC, de notification des incidents et de continuité des activités.
3

Facteurs d’évaluation et liste de contrôle

Premium
Essai gratuit 7 jours
4

Questions pour votre avocat

Premium
Essai gratuit 7 jours
5

Conclusion et résumé

Premium
Essai gratuit 7 jours

Analyse détaillée avec liens sources.

Schalten Sie die KI-Analyse frei — mit markierten Fundstellen und direkten Links zu EUR-Lex. 7 Tage kostenlos testen.

Essai gratuit 7 jours

Keine Kreditkarte heute. Kündigung jederzeit.

Directive (UE) 2015/2366 — Services de paiement dans le mar | Conformi