La Commission européenne adoptera, avant fin novembre, les normes techniques règlementaires (RTS) finales sur l’authentification forte des clients ainsi qu'une communication commune sécurisée en matière de services de paiements, a indiqué, jeudi 16 novembre, une source européenne à EUROPE.
Pour rappel, ces RTS, élaborées dans le cadre de la directive révisée ‘services de paiement’ (PSD2), ont fait l’objet de nombreuses divergences entre banques et entreprises FinTech, industrie du commerce en ligne et associations de défense des droits des consommateurs, mais aussi entre la Commission et l’Autorité bancaire européenne (ABE). Cette bataille a eu pour conséquence de retarder l’adoption des RTS par la Commission.
Cet été, le volet ‘communication commune et sécurisée’ des RTS continuait de diviser (EUROPE 11939). La Commission souhaite en effet autoriser, comme « solution de secours », la pratique du 'screenscraping' lorsque l'interface de communication dédiée ('application programming interface' ou API) n’est pas disponible pendant plus de 30 secondes, après cinq tentatives de connexion ou si elle ne respecte pas les obligations applicables aux interfaces.
Les banques sont tenues de mettre en place cette interface pour permettre aux fournisseurs de services de paiements tiers d'avoir accès aux données bancaires d'un client après avoir reçu son consentement explicite
Cette possibilité est très critiquée par les banques car elle permet à des prestataires tiers d’accéder aux données du compte bancaire d’un consommateur qui achète un produit en ligne et lui confie son paiement, sans avoir obtenu au préalable son consentement.
Elle est également contestée par l’ABE qui avait proposé comme alternative de renforcer les exigences pour rendre les interfaces plus performantes avec notamment une obligation pour les banques de définir des indicateurs de performance et de procéder à des examens du fonctionnement des interfaces ainsi que certaines mesures d’urgence lorsque l’API est inaccessible.
Selon nos informations, les RTS finales conserveraient bel et bien une telle « solution de secours » et écarteraient les propositions alternatives de l’ABE. La Commission serait d’avis que ne pas autoriser le ‘screenscrapping’, lorsque l’API n’est pas disponible, pourrait venir freiner l’essor des entreprises FinTech proposant des nouvelles solutions de paiements.
Une fois les RTS adoptées par la Commission - probablement le 24 novembre - le Parlement européen et le Conseil auront trois mois pour émettre une objection. Selon nos informations, aucune objection ni extension du délai n’est attendue.
Les normes techniques ne commenceront néanmoins à s’appliquer que 18 mois après leur publication au Journal Officiel de l’UE, afin, notamment, de laisser aux banques le temps nécessaire pour développer les API, créant ainsi un large écart avec la date limite de transposition de la directive PSD2 par les États membres, à savoir le 13 janvier 2018. (Marion Fontana)