Face aux préoccupations soulevées par l’industrie, l’Autorité bancaire européenne (ABE) a accepté, vendredi 21 juin, de faire preuve d’une certaine flexibilité dans sa supervision de la mise en œuvre des normes techniques règlementaires (RTS) sur l’authentification forte des clients dans le cadre de la directive révisée sur les services de paiement (PSD2), applicables à partir du 14 septembre prochain.
Dans un avis, l’ABE commence par rappeler qu’elle n’est pas juridiquement en mesure de reporter une date d'application fixée par le droit de l'UE. Elle souligne aussi que l’industrie disposait de suffisamment de temps pour se préparer à la mise en place des éléments d’authentification forte des clients, puisqu’une définition figurait dans la proposition de directive PSD2 dès 2015.
L’avis reconnaît néanmoins la complexité des marchés de paiements dans l’UE et les défis posés par les changements requis, en particulier pour les acteurs qui ne sont pas des prestataires de services de paiement et ne sont donc pas directement soumis à la directive PSD2 ni aux normes techniques, comme les commerçants en ligne, ce qui pourrait conduire certains acteurs de la chaîne des paiements à ne pas être prêts en temps voulu.
Ainsi, l’ABE a accepté, à titre exceptionnel et afin d’éviter des conséquences négatives pour certains utilisateurs de services de paiement après le 14 septembre 2019, que les autorités nationales compétentes puissent décider d’accorder un « délai supplémentaire limité » à certains prestataires de services de paiements.
« Cette souplesse en matière de supervision est offerte à la condition que les prestataires de services aient établi un plan de migration, qu'ils en soient convenus avec leur autorité nationale compétente et qu'ils exécutent le plan de façon accélérée », a-t-elle précisé.
Dans le courant de l'année, l'ABE communiquera les délais dans lesquels ces prestataires devront avoir achevé leurs plans de migration vers une authentification forte des clients qui soit conforme. (Marion Fontana)