Le 18 juin, le Conseil de l’Union européenne a présenté son approche visant à établir un mandat pour la directive sur les services de paiement (DSP3). Cela ne signifie pas pour autant qu’une position définitive ait été arrêtée, mais marque le début des négociations qui aboutiront à un mandat couvrant à la fois la DSP3 et le règlement relatif aux services de paiement (PSR).
Pour ceux qui ne sont pas familiers avec le processus, le PSR transformera effectivement les règles opérationnelles et les dispositions relatives à la protection des consommateurs issues de la DSP2 en règlements contraignants. Notamment, le PSR n’inclura pas les règles relatives à l’octroi de licence et à la supervision, ni l’autorisation des établissements de paiement (EP) et des établissements de monnaie électronique (EME). Cette approche vise à offrir une plus grande flexibilité au niveau national concernant l’agrément et la supervision.
Principaux résultats de l’accord du Conseil
L’accord porte une attention particulière au renforcement des mesures de lutte contre la fraude. Il reconnaît notamment la nécessité d’impliquer davantage les fournisseurs de services de communications électroniques dans la prévention de la fraude.
Le PSR proposé par la Commission vise à rendre les prestataires de services de paiement (PSP) responsables des paiements autorisés effectués par des consommateurs induits en erreur, dans les cas où le criminel se fait passer pour le PSP – un phénomène souvent qualifié de fraude par usurpation d’identité. Le texte du Parlement d’avril 2024 proposait un élargissement substantiel de cette responsabilité aux paiements induits par « toute autre entité publique ou privée concernée ». Il est à noter que le Conseil n’a proposé aucune extension similaire de la responsabilité.
Les textes approuvés par le Conseil proposent également de prolonger le délai de remboursement des victimes de fraude par usurpation d’identité par les PSP, passant de 10 à 15 jours ouvrés. Cette proposition semble traduire la volonté du Conseil d’incorporer dans la DSP3 les enseignements tirés de l’adoption au Royaume-Uni d’un régime de remboursement plus large.
Le Conseil souhaite également clarifier l’obligation faite aux consommateurs de fournir à leur PSP les informations pertinentes relatives aux circonstances entourant le paiement contesté, comme c’est déjà le cas au Royaume-Uni.
Concernant les fournisseurs de services de communications électroniques (FSCE), les amendements du Conseil semblent viser à inclure les grandes entreprises technologiques dans le champ d’application du cadre réglementaire. Bien que cela s’aligne sur l’objectif du Parlement, le Conseil privilégie des mesures visant à renforcer la coopération intersectorielle pour prévenir et détecter la fraude. À l’inverse, le Parlement proposait de rendre les FSCE responsables vis-à-vis des PSP s’ils ne supprimaient pas les contenus frauduleux ou illégaux après en avoir été informés.
Les amendements du Conseil incluent l’obligation pour les FSCE de mettre en place des canaux de communication dédiés avec les PSP, afin de favoriser une communication efficace et un échange d’informations permettant de lutter contre les risques de fraude.
Dans une initiative comparable à celle du Royaume-Uni, qui a mis en place plusieurs chartes sectorielles, le Conseil appelle à la création d’un code de conduite volontaire au niveau de l’Union visant à promouvoir la prévention, renforcer la sécurité et combattre la fraude dans les paiements et les escroqueries financières.
Bien que le régime de remboursement du Royaume-Uni soit beaucoup plus vaste, il a permis de démontrer que 76 % des cas de fraude par virement autorisé (APP) trouvent leur origine en ligne. Le champ d’application proposé pour la DSP3 exclut les escroqueries à l’achat, qui représentent pourtant 30 % des pertes totales au Royaume-Uni. Il est toutefois notable que 16 % des cas de fraude APP au Royaume-Uni proviennent des télécommunications, dont la majorité est couverte par les dispositions de remboursement de la DSP3, celles-ci étant généralement de montants plus élevés et représentant 43 % des pertes totales.
D’autres domaines prioritaires incluent une meilleure protection des consommateurs et la transparence des frais. Il s’agit notamment de garantir une meilleure visibilité pour les consommateurs sur les frais liés aux distributeurs automatiques, aux opérations de change et aux schémas de cartes (par exemple, Visa, Mastercard).
Le Conseil souligne également la nécessité de favoriser l’innovation et les garanties technologiques en vue de protéger les consommateurs, tout en incitant les PSP à accéder aux systèmes de paiement essentiels afin de garantir des conditions de concurrence équitables.
Les crypto-actifs ne sont pas oubliés : le Conseil souhaite qu’ils soient inclus dans le champ d’application de la DSP3, ce qui signifie que les jetons de monnaie électronique, les règles d’autorisation applicables aux PSP en crypto-monnaie et la surveillance en matière de LBC/FT seront pris en compte.
Bien qu’aucune véritable surprise ne transparaisse dans la position du Conseil, les implications sont importantes pour les PSP, quelle que soit leur taille.
Étant donné que les taux de remboursement dans l’UE restent faibles par rapport à d’autres régions, les autorités nationales accordent une attention croissante au traitement des clients. Des régulateurs comme la Banque de France ont indiqué que les PSP doivent évaluer si une transaction a été réellement consentie, même lorsqu’elle a été autorisée par le consommateur.
Le Conseil semble déterminé à rappeler que la charge de la preuve incombe au PSP (comme déjà stipulé à l’article 72 de la DSP2), qui doit démontrer que la transaction a été authentifiée, enregistrée et n’a pas été affectée par une défaillance technique ou une compromission.
En résumé, le Conseil semble résolu à ce que les victimes de fraude ne soient pas exclues sous prétexte de négligence technique et à ce que les régulateurs adoptent une approche plus cohérente en matière de protection des consommateurs.
Au Royaume-Uni, le Médiateur financier a statué contre les PSP dans des cas où les mécanismes de contrôle étaient insuffisants, engageant leur responsabilité dans les pertes des consommateurs, même lorsque ceux-ci avaient, dans une certaine mesure, fait preuve de négligence.
L’idée selon laquelle les consommateurs ne devraient pas être sanctionnés pour des fraudes sophistiquées qu’ils ne pouvaient raisonnablement prévoir semble gagner du terrain. Cette position est d’autant plus justifiée que les acteurs malveillants exploitent les opportunités offertes par l’intelligence artificielle, qui améliore la qualité de leurs escroqueries tout en leur permettant d’automatiser leur exécution.
Le risque associé à ces technologies apparaît d’autant plus préoccupant dans le contexte de la promotion des paiements en temps réel dans la zone euro. Ces systèmes permettent aux criminels de transférer leurs gains à travers les frontières en moins de dix secondes.
Il est légitime de se demander si une véritable poudrière n’est pas en train de se former : la rapidité des évolutions technologiques, l’ampleur des violations de données et l’ingéniosité des criminels risquent de mettre à mal les ambitions de la DSP3 en matière de prévention de la fraude au sein de l’Union européenne.