11 min de lecture

#1 Qu’est-ce que la PSD II ?

La PSD II est la directive qui succède à la Payment Services Directive I. Il s’agit de la directive européenne régissant les paiements des consommateurs et des entreprises qui est entrée en vigueur en 2009.

L’objectif de la PSD II est de favoriser la concurrence, d’encourager l’innovation, d’améliorer la protection des consommateurs et de renforcer la sécurité des paiements en Europe.

#2 Que m’apporte la PSD II ?

Grâce à la PSD II, vous pouvez profiter de nouveaux services de paiement qui vous facilitent la vie. Et, ce qui n'est pas négligeable : la directive vous protège encore mieux qu'avant, vous et vos paiements.

Nouveaux services de paiement

Votre banque doit donner accès à votre compte de paiement (compte à vue) aux tierces parties disposant d'un agrément (qu'il s'agisse d'une banque ou d'un opérateur non financier). Ces autres banques et opérateurs peuvent alors :

  • consulter les renseignements relatifs à votre compte (comme votre solde, vos dépenses ou vos rentrées),
  • effectuer un paiement unique en votre nom.

Qu’est-ce que cela permet à une tierce partie ?

Exemple 1 : différentes banques ont une application qui vous propose un récapitulatif de tous vos comptes de paiement. Non seulement auprès de ces banques elles-mêmes, mais aussi dans toutes les autres banques dont vous êtes client.

Afin de pouvoir vous offrir ce service, votre banque consulte vos données bancaires au niveau de chaque banque dont vous êtes client. Cela signifie que vous n'avez pas besoin de changer d'application à chaque fois que vous voulez consulter vos différents comptes.

Exemple 2 : une tierce partie peut consulter les détails de votre compte auprès de votre banque afin de vous donner un aperçu de vos différents postes de dépenses : épicerie, vêtements, abonnements, ... Cela vous permet de planifier plus facilement votre budget.

.

Exemple 3 : si vous voulez effectuer un achat sur un site étranger, il est possible que la boutique en ligne ne vous permette pas de payer par carte de débit (par ex. Bancontact ou Maestro). Vous n'avez peut-être pas envie d'utiliser votre carte de crédit pour cela, ou vous n'avez pas de carte de crédit... Un troisième opérateur qui propose un nouveau mode de paiement peut alors être une solution.

Important : ces services ne sont possibles qu'à la condition que vous donniez votre autorisation explicite au prestataire de services.

Meilleure protection

1) Si vous payez par voie électronique ou consultez vos factures en ligne, vous devez vous identifier à l’aide de deux des trois caractéristiques suivantes :

  • à l’aide de quelque chose que vous connaissez, comme un mot de passe ou un code pin,
  • à l’aide de quelque chose que vous possédez, comme une carte de paiement ou un smartphone,
  • à l’aide de quelque chose qui vous est propre, comme une empreinte digitale.

Pour de nombreux consommateurs belges, ce n'est pas nouveau : pour les services bancaires par internet et mobiles, vous devez souvent vous connecter exactement de la même manière à votre banque. Dans le cadre de la directive PSD II, cette procédure est désormais également utilisée pour tous les paiements européens, et donc aussi pour la chambre d'hôtel que vous avez réservée sur un site de voyage néerlandais ou pour le cadeau sympa que vous avez déniché dans une boutique en ligne française.

Le simple encodage d'un numéro de carte de crédit (et d'un code CVV = code au dos de votre carte de crédit) ne sera plus suffisant pour effectuer le paiement.   
Attention : la législation prévoit également des exceptions à ce principe afin de trouver un juste équilibre entre la sécurité et le confort du client. Ainsi, il se peut par exemple qu’une authentification forte du client ne soit pas nécessaire pour :

  • les paiements sans contact dans un magasin physique,
  • les paiements dans les parkings et aux péages,
  • les paiements à des bénéficiaires de confiance ou à destination de comptes propres au sein de la même banque,
  • les transactions en ligne pour de petits montants.

2) Grâce à la directive PSD II, il n'est plus possible de facturer des frais supplémentaires pour certains modes de paiement. Par exemple, une boutique en ligne ne peut plus vous facturer un supplément lorsque vous souhaitez payer par carte de crédit.

3) Non seulement vos paiements en euros sont protégés, mais aussi ceux en devises étrangères entre les pays de l'Espace économique européen (EEE). Concrètement, par exemple, un paiement en yens japonais de Belgique vers les Pays-Bas relève de la PSD II (bien qu'il existe également un certain nombre d’exceptions).

4) De l'argent a-t-il été volé sur votre compte alors que vous aviez perdu votre instrument de paiement (carte, smartphone,...), que votre instrument de paiement avait été volé ou utilisé illégalement ? Dans ce cas, il peut vous être demandé de payer une franchise de maximum 50 euros. Auparavant, c'était 150 euros.

Attention : en cas de fraude, de tromperie ou de négligence grave, la limitation de votre responsabilité sera annulée et vous serez tenu(e) entièrement pour responsable des dommages subis.

#3 A qui la PSD II est-elle destinée ?

La PSD II est destinée aux consommateurs, aux entreprises, aux banques et aux organismes de paiement (des entreprises qui fournissent des services de paiement). Elle s’applique notamment lorsque :

  • vous effectuez un paiement numérique dans un magasin via votre carte ou votre smartphone (donc pas en espèces)
  • vous effectuez un achat en ligne
  • vous effectuez un virement
  • vous initiez une domiciliation
  • vous consultez votre compte de paiement.

#4 La PSD II fait-elle l’objet d’une supervision ?

Oui, les autorités nationales de surveillance veillent au respect des principes de la PSD II. En Belgique, il s'agit de la Banque nationale de Belgique (BNB) et du Service public fédéral (SPF) Économie.

open banking

#5 Pour quels services un tiers peut-il demander l'accès à mon compte ?

Un tiers peut vous en demander l’autorisation afin de pouvoir :

  • consulter les données relatives à votre compte (par exemple votre solde, vos dépenses ou vos rentrées)
  • effectuer un paiement en votre nom

#6 Comment le tiers me demandera-t-il de m'identifier ?

Le tiers vous demandera de vous connecter à votre banque comme vous le faites déjà aujourd'hui pour les opérations bancaires par internet ou les opérations bancaires mobiles. En d'autres termes : vous devrez vous identifier à l’aide de deux des trois caractéristiques suivantes :

  • quelque chose que vous connaissez, comme un mot de passe ou un code pin,
  • quelque chose que vous possédez, comme une carte de paiement ou un smartphone,
  • quelque chose qui vous est propre, comme votre empreinte digitale.

#7 Un tiers peut-il demander des renseignements sur mon compte ou effectuer un paiement sans mon consentement ?

Non, un tiers ne peut accéder à votre compte qu'avec votre consentement explicite. Si vous ne donnez pas votre autorisation, il ne peut pas demander à votre banque de lui transmettre les données relatives à votre compte.

#8 Puis-je ultérieurement retirer mon autorisation ?

Oui, si vous acceptez de donner accès à votre compte à un tiers, vous pouvez retirer cette autorisation à tout moment. Attention : vous devez retirer votre autorisation directement auprès du tiers et non auprès de votre banque.

Si le tiers demande l'accès à votre compte pour effectuer un paiement, votre autorisation vaut uniquement pour cette opération de paiement. Vous devez donc vous identifier à nouveau pour chaque paiement selon le principe de l'authentification forte du client.

#9 Que se passe-t-il si je ne donne pas mon autorisation ?

Sans votre consentement, un tiers n'est pas autorisé à demander à votre banque l'accès à votre compte.

#10 Une fois que j'ai donné mon autorisation, un tiers peut-il aussi utiliser les informations de mon compte à d'autres fins ?

Non, si vous donnez accès à votre compte de paiement à une tierce partie, cela ne signifie pas qu'elle peut utiliser les informations de votre compte à d'autres fins. Le tiers ne peut utiliser ces informations que pour vous les montrer. S'il veut en faire autre chose, il doit d'abord vous en demander l'autorisation. Un conseil en or : vérifiez toujours soigneusement pourquoi exactement un tiers vous demande votre autorisation.

#11 Puis-je refuser de partager les données de mon compte ?

Certainement. C’est vous qui décidez si vous donnez accès à votre compte de paiement (= votre compte à vue) à une tierce partie.

#12 Puis-je bloquer d'entrée de jeu mon compte de paiement pour tous les tiers ?

Non, vous ne pouvez pas demander à votre banque de bloquer à l'avance votre compte pour tous les tiers. La banque ne peut pas légalement accéder à cette demande. Cela n'est d'ailleurs pas nécessaire, car vous êtes à tout moment totalement libre de décider par vous-même, via votre consentement explicite, si vous donnez accès à votre compte de paiement à une tierce partie.

#13 Ma vie privée est-elle protégée dans le cadre de la PSD II ?

Oui, tant votre propre banque que le tiers (qu'il s'agisse d'une banque ou d'un opérateur non financier) doivent respecter votre vie privée. Ainsi, ils ne sont pas autorisés à communiquer les données de votre compte à des tiers, ni à les utiliser à des fins autres que celles pour lesquelles vous avez donné votre autorisation.

Outre la PSD II, la directive européenne relative à la vie privée RGPD (Règlement général sur la protection des données) veille également au respect de votre vie privée.

Par ailleurs, les consommateurs et les entreprises ont toujours et partout la maîtrise de leurs propres données de compte. Un tiers ne peut accéder à vos données de compte que si vous lui en donnez l'autorisation explicite.

#14 Ma vie privée est-elle menacée lorsque je paie à un bénéficiaire qui a donné accès à son compte à une tierce partie ?

Imaginons que vous transférez 20 euros sur le compte de votre ami. Ou l'inverse : votre ami transfère 20 euros sur votre compte. Il se trouve que le même ami a recours aux services d'un tiers. Ce tiers n'aura pas seulement accès au compte de votre ami, mais accédera également aux données de votre compte. Mais comme vous êtes une "personne physique", le tiers a l’obligation de respecter votre vie privée. Il lui est donc interdit d'utiliser vos données à des fins commerciales ou de les transmettre à des tiers.

#15 Dois-je communiquer mes codes à un tiers lorsque je donne accès à mon compte ?

Le message clé est et reste le suivant : vous ne devez jamais communiquer votre code pin, c’est-à-dire le code que vous utilisez notamment pour payer par carte dans un magasin.

D’autres code, comme ceux générés par votre lecteur de carte, pourront éventuellement devoir être communiqués à des tiers. Attention : ici aussi, les principes visant à prévenir le phishing restent valables. Un tiers ne vous demandera jamais de communiquer ces codes par téléphone ou par courriel.

Quoi qu’il en soit, restez toujours vigilant : si la demande d’un tiers ne vous paraît pas fiable, ne communiquez surtout pas vos codes. Et un bon conseil : vérifiez régulièrement vos relevés de compte.

#16 Comment savoir si un tiers est fiable ?

Les services proposés par des tiers peuvent sembler très utiles et conviviaux, mais certains tiers peuvent aussi avoir de mauvaises intentions. Une certaine vigilance est donc de mise.

Une vérification des trois "q" est toujours opportune :

  • qui demande l'autorisation ?
  • quelles sont les données demandées par le tiers ?
  • à quelle fin demande-t-il l'autorisation ?

Les signaux suivants peuvent vous alerter sur le manque de fiabilité d’un tiers :

  • vous devez télécharger l'application de la tierce partie en dehors d'un App Store officiel (App Store, Samsung Galaxy Store, ....);
  • la tierce partie n'indique pas clairement pourquoi elle demande votre autorisation;
  • le site internet de la tierce partie ne contient pas de coordonnées telles qu'une adresse, un numéro de téléphone ou une adresse électronique;
  • lorsque vous entrez le nom de la tierce partie dans un moteur de recherche, vous ne trouvez que peu, voire pas d'informations la concernant sur internet;
  • les appréciations que vous trouvez sur cette tierce partie ou son application sont inexistantes ou sommaires.

Vérifiez toujours sur le site internet de l'ABE (Autorité bancaire européenne). Toutes les tierces parties non financières et titulaires d’un agrément y sont recensées. Un tiers n'y est pas répertorié ? Ne prenez pas de risques et restez-en là. Attention : cette liste ne répertorie pas les banques qui sont autorisées à proposer de tels services. Pour trouver cette information, vous devez vous rendre sur le site internet de la Banque Nationale de Belgique.

safety camera

#17 Mes paiements par carte sont-ils sûrs dans le cadre de la PSD II ?

Oui. La PSD II impose le principe de l’authentification forte du client. Actuellement, votre numéro de carte de crédit est parfois suffisant pour payer, surtout sur les sites étrangers. Avec la PSD II, cela appartiendra progressivement au passé. Pour pouvoir régler votre achat, vous devrez vous identifier par le biais de deux des trois caractéristiques suivantes :

  • quelque chose que vous connaissez, comme votre code pin,
  • quelque chose que vous possédez, comme une carte de paiement ou un smartphone,
  • quelque chose qui vous est propre, comme une empreinte digitale.

#18 Devrais-je dorénavant "signer" chaque paiement ?

Pour effectuer un paiement, vous devrez de plus en plus souvent vous identifier par le biais de deux caractéristiques différentes. Cependant, il existe quelques exceptions. Par exemple, une authentification forte du client peut ne pas être nécessaire pour :

  • les paiements sans contact dans un magasin physique,
  • les paiements dans les parkings et aux péages,
  • les paiements à des bénéficiaires de confiance ou à destination de comptes propres au sein de la même banque,
  • les transactions en ligne pour de petits montants.

#19 Est-ce que toutes les boutiques en ligne me demanderont de m'identifier à l'aide de deux caractéristiques différentes ?

Oui, l’authentification forte du client s'applique à tous les opérateurs européens. Si vous voulez effectuer un achat en ligne - y compris dans une boutique en ligne européenne - vous devrez de plus en plus souvent vous identifier à l'aide de deux caractéristiques différentes. Important : n'achetez que dans des boutiques en ligne que vous connaissez bien et en lesquelles vous avez confiance.

Bien que la date butoir pour l'application de l’authentification forte du client soit fixée au 14 septembre 2019, force a été de constater il y a quelques mois que l'écosystème du commerce électronique ne serait pas prêt pour une application stricte. En Belgique, cela entraînerait le refus d'une part importante de toutes les transactions de commerce électronique du fait que tous les opérateurs du marché n'ont pas encore pu adapter leurs systèmes. C'est pourquoi la BNB a annoncé le 28 août l’instauration d’une période de transition. Ce faisant, elle rejoint la tendance que nous observons aujourd'hui dans toute l'Europe. En collaboration avec l'industrie belge (et européenne), un plan de migration concret sera développé pour faire évoluer l'ensemble de l'écosystème vers une application stricte de l’authentification forte du client dans un délai raisonnable et réaliste.

#20 Que se passe-t-il si je n'ai pas à m'identifier à l'aide de deux caractéristiques différentes dans une boutique en ligne ?

Dans un nombre limité de cas, une boutique en ligne peut invoquer une exception au principe de l'authentification forte du client.

Par exemple, une authentification forte du client peut ne pas être nécessaire pour :
- les paiements sans contact dans un magasin physique,
- les paiements dans les parkings et aux péages,
- les paiements à des bénéficiaires de confiance ou à destination de comptes propres au sein de la même banque,
- les transactions en ligne pour de petits montants.

Soyez toujours vigilant et gardez à l'esprit les deux conseils suivants :

  • Signez uniquement un paiement que vous avez initié vous-même
  • N'achetez que dans des boutiques en ligne que vous connaissez et en lesquelles vous avez confiance.

#21 L'authentification forte du client ne s'applique-t-elle que lorsque j'effectue un paiement ?

Non, vous devrez également vous identifier à l'aide de deux caractéristiques différentes lorsque vous consulterez vos comptes en ligne. Ceci est toutefois déjà le cas aujourd’hui : ce principe est appliqué depuis des années par de nombreuses banques belges : vous avez besoin à la fois de vos codes (quelque chose que vous connaissez) et de votre carte bancaire, smartphone ou lecteur de carte (quelque chose que vous possédez).

go to top