PSD2 : liste des questions les plus fréquemment posées

La PSD2 est la directive qui succède à la Payment Services Directive I. Il s’agit de la directive européenne régissant les paiements des consommateurs et des entreprises qui est entrée en vigueur en 2009.

L’objectif de la PSD2 est de favoriser la concurrence, d’encourager l’innovation, d’améliorer la protection des consommateurs et de renforcer la sécurité des paiements en Europe.

Grâce à la PSD2, vous pouvez profiter de nouveaux services de paiement qui vous facilitent la vie. Et, ce qui n'est pas négligeable : la directive vous protège encore mieux qu'avant, vous et vos paiements.

Nouveaux services de paiement

Votre banque doit donner accès à votre compte de paiement (compte à vue) aux tierces parties disposant d'un agrément (qu'il s'agisse d'une banque ou d'un opérateur non financier). Ces autres banques et opérateurs peuvent alors :

• consulter les renseignements relatifs à votre compte (comme votre solde, vos dépenses ou vos rentrées),
• effectuer un paiement unique en votre nom.

Meilleure protection

1) Que vous payiez avec votre carte bancaire, carte de crédit ou smartphone, vous devez dorénavant prouver plus souvent votre identité. En fonction de la situation, vous devez vous identifier par le biais de deux des trois critères suivants :

Ceci est officiellement appelé le principe de l'authentification forte du client.

• quelque chose que vous connaissez (par ex. votre code pin),
• quelque chose en votre possession (par ex. votre lecteur de carte ou smartphone),
• quelque chose qui vous est propre (par ex. votre empreinte digitale).

Pour de nombreux consommateurs belges, ce n'est pas nouveau : pour les services bancaires par internet et mobiles, vous devez souvent vous connecter exactement de la même manière à votre banque. Dans le cadre de la directive PSD II, cette procédure est désormais également utilisée pour tous les paiements européens, et donc aussi pour la chambre d'hôtel que vous avez réservée sur un site de voyage néerlandais ou pour le cadeau sympa que vous avez déniché dans une boutique en ligne française.

Le simple encodage d'un numéro de carte de crédit (et d'un code CVV = code au dos de votre carte de crédit) ne sera plus suffisant pour effectuer le paiement.   
Attention : la législation prévoit également des exceptions à ce principe afin de trouver un juste équilibre entre la sécurité et le confort du client. Ainsi, il se peut par exemple qu’une authentification forte du client ne soit pas nécessaire pour :

• les paiements sans contact dans un magasin physique,
• les paiements dans les parkings et aux péages,
• les paiements à des bénéficiaires de confiance ou à destination de comptes propres au sein de la même banque,
• les transactions en ligne pour de petits montants.

2) Grâce à la directive PSD2, il n'est plus possible de facturer des frais supplémentaires pour certains modes de paiement. Par exemple, une boutique en ligne ne peut plus vous facturer un supplément lorsque vous souhaitez payer par carte de crédit.

3) Non seulement vos paiements en euros sont protégés, mais aussi ceux en devises étrangères entre les pays de l'Espace économique européen (EEE). Concrètement, par exemple, un paiement en yens japonais de Belgique vers les Pays-Bas relève de la PSD2 (bien qu'il existe également un certain nombre d’exceptions).

4) De l'argent a-t-il été volé sur votre compte alors que vous aviez perdu votre instrument de paiement (carte, smartphone,...), que votre instrument de paiement avait été volé ou utilisé illégalement ? Dans ce cas, il peut vous être demandé de payer une franchise de maximum 50 euros. Auparavant, c'était 150 euros.

Attention : en cas de fraude, de tromperie ou de négligence grave, la limitation de votre responsabilité sera annulée et vous serez tenu(e) entièrement pour responsable des dommages subis.

La PSD2 est destinée aux consommateurs, aux entreprises, aux banques et aux organismes de paiement (des entreprises qui fournissent des services de paiement). Elle s’applique notamment lorsque :

• vous effectuez un paiement numérique dans un magasin via votre carte ou votre smartphone (donc pas en espèces)
• vous effectuez un achat en ligne
• vous effectuez un virement
• vous initiez une domiciliation
• vous consultez votre compte de paiement.

Oui, les autorités nationales de surveillance veillent au respect des principes de la PSD2. En Belgique, il s'agit de la Banque nationale de Belgique (BNB) et du Service public fédéral (SPF) Économie.

Un tiers peut vous en demander l’autorisation afin de pouvoir :

• consulter les données relatives à votre compte (par exemple votre solde, vos dépenses ou vos rentrées)
• effectuer un paiement en votre nom

Le tiers vous demandera de vous connecter à votre banque comme vous le faites déjà aujourd'hui pour les opérations bancaires par internet ou les opérations bancaires mobiles. En d'autres termes : vous devez dorénavant prouver plus souvent votre identité à l’aide de deux des trois caractéristiques suivantes :

• quelque chose que vous connaissez (par ex. votre code pin),
• quelque chose en votre possession (par ex. votre lecteur de carte ou smartphone),
• quelque chose qui vous est propre (par ex. votre empreinte digitale).

Non, un tiers ne peut accéder à votre compte qu'avec votre consentement explicite. Si vous ne donnez pas votre autorisation, il ne peut pas demander à votre banque de lui transmettre les données relatives à votre compte.

Oui, si vous acceptez de donner accès à votre compte à un tiers, vous pouvez retirer cette autorisation à tout moment. Attention : vous devez retirer votre autorisation directement auprès du tiers et non auprès de votre banque.

Si le tiers demande l'accès à votre compte pour effectuer un paiement, votre autorisation vaut uniquement pour cette opération de paiement. Vous devez donc vous identifier à nouveau pour chaque paiement selon le principe de l'authentification forte du client.

Sans votre consentement, un tiers n'est pas autorisé à demander à votre banque l'accès à votre compte.

Non, si vous donnez accès à votre compte de paiement à une tierce partie, cela ne signifie pas qu'elle peut utiliser les informations de votre compte à d'autres fins. Le tiers ne peut utiliser ces informations que pour vous les montrer. S'il veut en faire autre chose, il doit d'abord vous en demander l'autorisation. Un conseil en or : vérifiez toujours soigneusement pourquoi exactement un tiers vous demande votre autorisation.

Certainement. C’est vous qui décidez si vous donnez accès à votre compte de paiement (= votre compte à vue) à une tierce partie.

Non, vous ne pouvez pas demander à votre banque de bloquer à l'avance votre compte pour tous les tiers. La banque ne peut pas légalement accéder à cette demande. Cela n'est d'ailleurs pas nécessaire, car vous êtes à tout moment totalement libre de décider par vous-même, via votre consentement explicite, si vous donnez accès à votre compte de paiement à une tierce partie.

Oui, tant votre propre banque que le tiers (qu'il s'agisse d'une banque ou d'un opérateur non financier) doivent respecter votre vie privée. Ainsi, ils ne sont pas autorisés à communiquer les données de votre compte à des tiers, ni à les utiliser à des fins autres que celles pour lesquelles vous avez donné votre autorisation.

Outre la PSD2, la directive européenne relative à la vie privée RGPD (Règlement général sur la protection des données) veille également au respect de votre vie privée.

Par ailleurs, les consommateurs et les entreprises ont toujours et partout la maîtrise de leurs propres données de compte. Un tiers ne peut accéder à vos données de compte que si vous lui en donnez l'autorisation explicite.

Imaginons que vous transférez 20 euros sur le compte de votre ami. Ou l'inverse : votre ami transfère 20 euros sur votre compte. Il se trouve que le même ami a recours aux services d'un tiers. Ce tiers n'aura pas seulement accès au compte de votre ami, mais accédera également aux données de votre compte. Mais comme vous êtes une "personne physique", le tiers a l’obligation de respecter votre vie privée. Il lui est donc interdit d'utiliser vos données à des fins commerciales ou de les transmettre à des tiers.

Le message clé est et reste le suivant : vous ne devez jamais communiquer votre code pin, c’est-à-dire le code que vous utilisez notamment pour payer par carte dans un magasin.

D’autres code, comme ceux générés par votre lecteur de carte, pourront éventuellement devoir être communiqués à des tiers. Attention : ici aussi, les principes visant à prévenir le phishing restent valables. Un tiers ne vous demandera jamais de communiquer ces codes par téléphone ou par courriel.

Quoi qu’il en soit, restez toujours vigilant : si la demande d’un tiers ne vous paraît pas fiable, ne communiquez surtout pas vos codes. Et un bon conseil : vérifiez régulièrement vos relevés de compte.

Les services proposés par des tiers peuvent sembler très utiles et conviviaux, mais certains tiers peuvent aussi avoir de mauvaises intentions. Une certaine vigilance est donc de mise.

Une vérification des trois "q" est toujours opportune :

• qui demande l'autorisation ?
• quelles sont les données demandées par le tiers ?
• à quelle fin demande-t-il l'autorisation ?

Les signaux suivants peuvent vous alerter sur le manque de fiabilité d’un tiers :

• vous devez télécharger l'application de la tierce partie en dehors d'un App Store officiel (App Store, Samsung Galaxy Store, ....);
• la tierce partie n'indique pas clairement pourquoi elle demande votre autorisation;
• le site internet de la tierce partie ne contient pas de coordonnées telles qu'une adresse, un numéro de téléphone ou une adresse électronique;
• lorsque vous entrez le nom de la tierce partie dans un moteur de recherche, vous ne trouvez que peu, voire pas d'informations la concernant sur internet;
• les appréciations que vous trouvez sur cette tierce partie ou son application sont inexistantes ou sommaires.

Vérifiez toujours sur le site internet de l'ABE (Autorité bancaire européenne). Toutes les tierces parties non financières et titulaires d’un agrément y sont recensées. Un tiers n'y est pas répertorié ? Ne prenez pas de risques et restez-en là. Attention : cette liste ne répertorie pas les banques qui sont autorisées à proposer de tels services. Pour trouver cette information, vous devez vous rendre sur le site internet de la Banque Nationale de Belgique.

Oui. La PSD2 impose le principe de l’authentification forte du client. Actuellement, votre numéro de carte de crédit est parfois suffisant pour payer, surtout sur les sites étrangers. Avec la PSD2, cela appartiendra progressivement au passé. Pour pouvoir régler votre achat, vous devrez vous identifier par le biais de deux des trois caractéristiques suivantes :

• quelque chose que vous connaissez (par ex. votre code pin),
• quelque chose en votre possession (par ex. votre lecteur de carte ou smartphone),
• quelque chose qui vous est propre (par ex. votre empreinte digitale)

Pour effectuer un paiement, vous devrez de plus en plus souvent vous identifier par le biais de deux caractéristiques différentes. Cependant, il existe quelques exceptions. Par exemple, une authentification forte du client peut ne pas être nécessaire pour :

• les paiements sans contact dans un magasin physique,
• les paiements dans les parkings et aux péages,
• les paiements à des bénéficiaires de confiance ou à destination de comptes propres au sein de la même banque,
• les transactions en ligne pour de petits montants.

Oui, l’authentification forte du client s'applique à tous les opérateurs européens. Si vous voulez effectuer un achat en ligne - y compris dans une boutique en ligne européenne - vous devrez de plus en plus souvent vous identifier à l'aide de deux caractéristiques différentes. Important : n'achetez que dans des boutiques en ligne que vous connaissez bien et en lesquelles vous avez confiance.

Bien que la date butoir pour l'application de l’authentification forte du client soit fixée au 14 septembre 2019, force a été de constater il y a quelques mois que l'écosystème du commerce électronique ne serait pas prêt pour une application stricte. En Belgique, cela entraînerait le refus d'une part importante de toutes les transactions de commerce électronique du fait que tous les opérateurs du marché n'ont pas encore pu adapter leurs systèmes. C'est pourquoi la BNB a annoncé le 28 août l’instauration d’une période de transition. Ce faisant, elle rejoint la tendance que nous observons aujourd'hui dans toute l'Europe. En collaboration avec l'industrie belge (et européenne), un plan de migration concret sera développé pour faire évoluer l'ensemble de l'écosystème vers une application stricte de l’authentification forte du client dans un délai raisonnable et réaliste.

Dans un nombre limité de cas, une boutique en ligne peut invoquer une exception au principe de l'authentification forte du client.

Par exemple, une authentification forte du client peut ne pas être nécessaire pour :
- les paiements sans contact dans un magasin physique,
- les paiements dans les parkings et aux péages,
- les paiements à des bénéficiaires de confiance ou à destination de comptes propres au sein de la même banque,
- les transactions en ligne pour de petits montants.

Soyez toujours vigilant et gardez à l'esprit les deux conseils suivants :

• Signez uniquement un paiement que vous avez initié vous-même
• N'achetez que dans des boutiques en ligne que vous connaissez et en lesquelles vous avez confiance.

Non, vous devrez également vous identifier à l'aide de deux caractéristiques différentes lorsque vous consulterez vos comptes en ligne. Ceci est toutefois déjà le cas aujourd’hui : ce principe est appliqué depuis des années par de nombreuses banques belges : vous avez besoin à la fois de vos codes (quelque chose que vous connaissez) et de votre carte bancaire, smartphone ou lecteur de carte (quelque chose que vous possédez).