Pourquoi la PSD3 et la PSR ?

Introduction

En réalité, le plus gros des évolutions technologiques induites par la PSD2 n’a pas été visible du grand public. En arrière-plan, les règles des réseaux de paiement et les protocoles ont été fortement mis à jour à travers des mises à jour aussi importantes que rapprochées dans le temps. Hélas, avec parfois des modifications des attentes en cours de route, ce qui n’a pas facilité la tâche des intégrateurs. Cet effort colossal a nécessité plusieurs années pour être déployé à chaque niveau de la chaîne de paiement et a de fait favorisé les mieux préparés. Et ce sont donc bien les intermédiaires techniques qui ont eu à supporter le plus gros de l’effort.

Pourquoi apporter des modifications aussi rapidement ?

La réponse est simple : elles doivent remplir les objectifs que la PSD2 n’a pas atteints et corriger les inconvénients qu’elle a introduits.

La PSD2 reposait sur trois piliers—la promotion de l’innovation, le développement de la concurrence et le renforcement de la sécurité—mais ses objectifs ambitieux n’ont été que partiellement réalisés et ont rencontré des « courants contraires ». D’une part, l’innovation ne peut pas simplement être imposée. Elle peut être encouragée, mais les organes de régulation ne la créent pas. Elle est surtout soumise à des réalités économiques qui sont justement venues contrecarrer l’objectif de développement de la concurrence. Enfin, la sécurité est un processus en constante évolution et les choix radicaux qui négligent des réalités pratiques ou exigent une marche forcée alors que de nouvelles pratiques émergent ne peuvent que freiner l’innovation et le développement de la concurrence. En un mot, l’équilibre à trouver entre ses différents objectifs a posé de véritables défis. En plus de ceux-ci, la mise en œuvre pratique de la PSD2 a posé plusieurs problèmes liés à sa nature même de directive, et d’autres objectifs de l’UE qui auraient dû être couverts par la PSD2 ont tout simplement été ignorés.

Étant une directive, la PSD2 nécessitait une forte implication de chaque pays participant, ce qui a entraîné des décalages dans les délais et des divergences dans les transpositions nationales. De plus, et bien que son impact final a été limité, le Brexit a créé une incertitude dans un des pays participants les plus en pointe de l’industrie du paiement.

Concurrence

Sur le plan économique, l’objectif d’accroître la concurrence n’a pas été pleinement atteint. Durant le déploiement de la PSD2, le marché s’est en fait concentré davantage. Worldline a racheté Ingenico, MasterCard a acquis les services compte-à-compte de Nets, et Deutsche Bank et Commerzbank ont tenté de fusionner. Par la suite, Adyen, Worldline et Klarna ont vu leur valorisation chuter ou leurs pertes s’accroître en 2023, démontrant ainsi une fébrilité du marché où la PSD2 a été plus une contrainte qu’un véritable créateur de valeurs. Au lieu d’émerger de nouveaux grands acteurs, la situation a plutôt renforcé la dépendance des petites fintechs vis-à-vis des banques et des grandes entreprises, instaurant un climat d’incertitude.

Sécurité

La PSD2 a introduit deux innovations majeures en matière de sécurité : l’authentification forte du client (SCA) et des exigences supplémentaires en matière de sécurité et de reporting, alignées sur d’autres réglementations européennes. Si la SCA a renforcé la sécurité des transactions, elle a aussi ajouté de la complexité aux parcours de paiement, nécessitant de nombreux ajustements. Son application a été marquée par des itérations successives, car les Normes Techniques de Régulation (RTS) initiales ne pouvaient pas anticiper tous les cas d’usage.

C’est d’ailleurs cette imprévision qui a alourdi l’effort pour les marchands et leurs prestataires où des choix techniques ont dû être effectués dans l’incertitude. Ainsi, certains cas ont immédiatement été jugés rapidement non conformes, comme les paiements récurrents sans SCA initiale du porteur, soit exclus du champ d’application de la PSD2, comme les paiements « corporate » ou les paiements par courrier ou téléphone (MOTO), qui ont été exclus du champ d’application alors qu’ils ont été ou seront impactés tôt ou tard. D’autres cas ont tout simplement été ignorés, comme les paiements dans le secteur du voyage où celui qui procède à l’authentification n’était pas toujours celui qui procède au paiement, sur les marketplaces où les bénéficiaires ultimes peuvent être nombreux, ou dans les scénarios du type Buy Now Pay Later (BNPL) ou « paiement à expédition » où la conservation du bénéfice d’une authentification avant la finalisation du paiement a été l’objet de diverses interprétations. Encore aujourd’hui, plusieurs questions restent en suspens concernant ces cas spécifiques.

Dépendances et non-conformités

La PSD2 s’est retrouvée dépendante d’autres directives et réglementations, compliquant son application. Chaque État membre devait aussi la transposer dans son droit national où préexistait ou non de telles règles ou des cadres pouvant les accueillir. Enfin, La PSD2 ajoutait des exigences à d’autres réglementations, mais sans harmonisation complète.

La transposition nationale a été un défi, non seulement à cause de délais très courts, mais aussi en raison de la complexité d’adapter les systèmes existants. Publiée au Journal Officiel de l’UE le 23 décembre 2015, elle devait être transposée au plus tard le 13 janvier 2018. L’authentification forte (SCA) devait être appliquée dès septembre 2019, mais face aux difficultés, elle a été reportée à décembre 2020 sans pour autant totalement convaincre immédiatement puisque la promesse du « frictionless » a mis du temps à se concrétiser pour les marchands

En plus de ces difficultés, la PSD2 ne s’alignait pas avec plusieurs autres directives de l’UE, notamment l’Acte Européen sur l’Accessibilité (EAA) et la Directive sur les Droits des Consommateurs (CRD), qui auraient dû être pris en compte pour garantir une meilleure accessibilité aux personnes en situation de handicap ou non préparées à l’authentification via les applications bancaires ou les Directives anti-blanchiment (AMLD 4 & 5) et la Directive sur la monnaie électronique (EMD2), où des incohérences sont apparues, notamment sur les obligations des Tiers Prestataires (TPP) en matière de lutte contre le blanchiment, ainsi que sur les exigences de capitalisation et de passeport européen pour les Établissements de Monnaie Électronique (EME).

Conclusion

Pourquoi dès lors à la fois une nouvelle directive et un nouveau règlement ?

Si la PSD2 a entraîné des disparités, pourquoi ne pas se contenter d’un règlement européen sur les services de paiement (PSR) au lieu de proposer à la fois une 3^ème itération de la Directive sur les services de paiement (PSD3) et ce PSR ? La raison est liée au processus législatif de l’UE. Un règlement prend plus de temps à être adopté qu’une directive puisqu’il nécessite un consensus plus large, ce qui n’est pas encore le cas, alors même que les priorités réglementaires de l’UE évoluent en fonction du contexte international, évidemment tendu actuellement, retardant d’autant plus le PSR.

Ainsi, même si la PSD3 aura ses propres limites, elle reste nécessaire pour garantir une transition plus fluide et résoudre les problèmes jugés les plus urgents de la PSD2. Pour les paiements en ligne, il s’agit notamment de réduire les frictions nées de l’usage restrictif de la SCA tout en déléguant plus facilement son déclenchement. C’est-à-dire faciliter la vie des consommateurs et celle des émetteurs.

Et maintenant ?

Une seule chose est certaine : « ce n’est pas encore fini. » Bien que l’essentiel de la transition réglementaire ait déjà eu lieu, l’écosystème des paiements continuera d’évoluer avec de nouvelles exigences. Le défi principal pour l’industrie sera d’anticiper et de s’adapter à ces évolutions, tout en conciliant des priorités parfois contradictoires. Les difficultés rencontrées avec la PSD2 ont souligné l’importance de la flexibilité et d’une compréhension plus approfondie des contraintes de chaque acteur du secteur des paiements.