Vous êtes ici

2ème Directive sur les services de paiement

La 2ème Directive Européenne sur les Services de Paiement, en vigueur dans l’Union Européenne depuis le 13 janvier 2018, comporte un ensemble de dispositions règlementaires visant à renforcer la sécurité des paiements, et relevant du champ de compétences de la Banque de France au niveau national.

Notifications à la Banque de France

La 2ème Directive Européenne sur les Services de Paiement, en vigueur dans l’Union Européenne depuis le 13 janvier 2018, comporte un ensemble de dispositions règlementaires visant à renforcer la sécurité des paiements, et relevant du champ de compétences de la Banque de France au niveau national.

La transposition de la directive prévoit en particulier que les prestataires de services de paiement (PSP) notifient à la Banque de France la survenance de certains événements spécifiques :

  • a) en application de l’art L. 133-17-1 du Code Monétaire et Financier, lorsqu’un PSP gestionnaire de compte bloque l’accès d’un compte de paiement en ligne qu’il gère à un PSP tiers en raison d’un accès non autorisé ou frauduleux ;
  • b) en application de l’art L.133-18 du Code Monétaire et Financier, lorsqu’un PSP n’effectue pas le remboursement immédiat d’une opération de paiement non autorisée au motif qu’il soupçonne une fraude de l’utilisateur ;
  • c) en application de l’art L. 521-10 du Code Monétaire et Financier et de l’art 249-1 de l’arrêté sur le contrôle interne, les incidents majeurs de sécurité.

Les notifications au titre du a) sont à déclarer par le prestataire de services de paiement générateur de l’évènement par courriel à l’adresse suivante : 2323-NOTIFICATIONS-UT@banque-france.fr

Les notifications au titre du b) doivent être déclarées sur une base mensuelle par le prestataire de services de paiement ou son délégataire au travers du portail ONEGATE – OSCAMPS (portail de collecte de la Banque de France). Néanmoins, jusqu’à la fin de l’année 2019, les établissements déclarants pourront les adresser au moyen du formulaire dédié (lien de téléchargement ci-dessous), par courriel à l’adresse suivante : 2323-NOTIFICATIONS-UT@banque-france.fr.

Les notifications au titre du c) sont à transmettre par le biais d’une interface sécurisée dédiée, conformément aux orientations de l’Autorité Bancaire Européenne en la matière. Les PSP sont invités à transmettre toute demande de documentation par courriel à l’adresse suivante : 2323-NOTIFICATIONS-UT@banque-france.fr

Exigences en matière de sécurité définies par l’Autorité Bancaire Européenne

La directive a mandaté l’Autorité Bancaire Européenne pour élaborer, en étroite coopération avec la Banque Centrale Européenne, deux autres textes règlementaires portant sur la sécurité des paiements :

  • des normes techniques de réglementation (RTS) définissant les exigences de sécurité applicables aux prestataires de services de paiement relatives à l’authentification des transactions, à la protection des identifiants d’accès en ligne aux services de paiement et aux interfaces d’échanges entre PSP ;
  • des orientations (guidelines) portant sur les mesures de sécurité à mettre en œuvre par les prestataires de services de paiement en vue de maitriser leurs risques opérationnels et de sécurité.

Interface dédiée d’accès aux comptes de paiement et mécanisme d’exemption

Les modalités d’application des RTS définies par le décret n° 2018-1228 du 24 décembre 2018 prévoient l’ensemble des rapports et des notifications à déclarer auprès de l’Autorité de contrôle prudentiel et de résolution. En particulier, les prestataires de services de paiement gestionnaires de comptes qui souhaitent bénéficier de l’exemption d’obligation de mettre en place un mécanisme d’urgence doivent adresser un rapport attestant de la conformité de l'interface dédiée aux dispositions sur la sécurité prévues par les RTS et détaillées par un référentiel sur la sécurité établi par la Banque de France en application de l'article L. 521-8 du Code Monétaire et Financier. Ce rapport est réalisé par un centre d'évaluation agréé par l'Agence nationale de la sécurité des systèmes d'information conformément aux dispositions du décret n° 2002-535 du 18 avril 2002.
 

Mis à jour le : 22/02/2019 16:41