DSP3 & RSP1 : un cadre européen harmonisé, sécurisé et innovant pour les paiements

Le projet de Directive sur les services de paiement 3 (DSP3) et le Règlement sur les services de paiement 1 (RSP1) constituent un tournant majeur pour les services de paiement en Europe. Proposée par la Commission européenne en juin 2023, ces textes entrent actuellement dans leur dernière phase de négociation au niveau européen. Ce projet de DSP3 s’appuie sur l’expérience de la DSP2 pour :

• Renforcer la sécurité ;
• Améliorer l'accès aux services de paiements ;
• Protéger les consommateurs tout en ouvrant la voie à l'Open Finance et à de nouveaux services financiers.

D’un côté, la DSP3 remet d’équerre l’architecture du secteur : qui peut opérer et selon quelles exigences prudentielles et sous quel contrôle.  De l’autre, le RSP1 fixe les règles opérationnelles du quotidien : droits des utilisateurs, sécurité, open banking et transparence.  Pour les entreprises, l’enjeu est concret : sécuriser les flux, fluidifier les parcours clients et fournisseurs, et accélérer les usages numériques.

DSP3 & RSP1 : un cadre réglementaire harmonisé

Un projet structurant 

La réforme répond à trois constats simples :

• D'abord, l’interprétation hétérogène de la DSP2 selon les pays a freiné l’intégration du marché, les mêmes parcours ne produisaient pas toujours les mêmes effets.
• Ensuite, l’open banking s’est parfois heurté à des interfaces inconstantes, sources de friction et d’abandons.
• Enfin, la fraude a évolué vers des schémas de manipulations plus subtils où l’on pousse l’utilisateur à autoriser lui-même une opération.

La réponse européenne est pragmatique : une directive pour l’agrément et la supervision, que les États transposent, et un règlement directement applicable pour la conduite au quotidien. 

La DSP3 devrait être adoptée au niveau européen dans quelques mois. L’entrée en application se fera après un délai transitoire, avec un horizon indicatif de 18 à 24 mois selon les dispositions, afin de laisser aux acteurs le temps d’adapter systèmes et processus. 

Harmonisation et statut unifié pour les acteurs

La DSP3 unifie le traitement des établissements de paiements et des émetteurs de monnaie électronique, auparavant encadrés par deux textes distincts. 

Cette harmonisation permet :

• Standardisation des interfaces et meilleure interopérabilité ;
• Réduction des coûts techniques ;
• Diminution des risques liés aux solutions de contournement ;
• L'intégration des Jetons de Monnaie Electronique dans le régime des établissements de paiement.

La directive ouvre surtout la possibilité – sous condition de sécurité et de gestion des risques – d’un accès plus direct aux systèmes de paiement pour des acteurs non bancaires. Concrètement, il y aurait moins d’intermédiation « par défaut », davantage d’intermédiation « par valeur ». Pour une entreprise utilisatrice, cela signifie des offres plus variées, des mises en œuvre plus rapides.

Mise en œuvre coordonnée

La séparation des rôles entre DSP3 et RSP1 répond à une logique d’exécution. La DSP3 garde la main sur la « charpente » ; agréments, gouvernance, sauvegarde des fonds, contrôle prudentiel. Le RSP1 règle les usages : information précontractuelle, droits à remboursement, règles anti-obstacles. L’intérêt pour les entreprises est immédiat : la même règle s’applique de la même manière, au même moment dans tous les pays européens.

L’Open Finance constitue une évolution naturelle de l’Open Banking. Elle permet l’accès à un ensemble plus large de données (comptes, crédits, investissements, assurances), favorisant le développement de services intégrés et innovants.

Parmi les innovations prévues :

• Le Cashback, commerçant, et l’ouverture des DAB non bancaires, services de retrait autonomes proposés par des acteurs non traditionnels, tel que les sociétés de transport de fonds ;
• Référentiel uniforme de données (FIDA) garantissant un accès gratuit et standardisé aux données financières essentielles.

Sécurité et protection des utilisateurs

Lutte contre la fraude et authentification forte

L’authentification forte reste le socle de la sécurité, mais son application devient plus intelligente. Plutôt que de multiplier les « re-SCA » inutiles, on concentre l’effort là où il apporte réellement de la protection. Un exemple convaincant pour les équipes e-commerce et abonnement : les transactions initiées par le bénéficiaire (MIT) peuvent s’appuyer sur une authentification renforcée au moment de la mise en place du mandat, plutôt qu’à chaque occurrence. Résultat : moins de frictions pour le client, meilleure conversion, sécurité maintenue.

La réforme responsabilise toute la chaîne technique. Lorsqu’un schéma de paiement, une passerelle ou un fournisseur technologique ne supporte pas correctement les exigences de sécurité, il ne peut plus se retrancher derrière la seule banque du client : sa part de responsabilité est reconnue. Parallèlement, le partage d’informations anti-fraude entre prestataires est encouragé et encadré, pour détecter plus vite les signaux faibles. Le cadre reste conforme au RGPD : finalité exclusive de lutte contre la fraude, données pertinentes et proportionnées, durées de conservation limitées.
 

Transparence et gestion des litiges

L’ensemble DSP3-RSP1 améliore la transparence des frais, des commissions tout en clarifiant les procédures de gestion des litiges. 
Les consommateurs bénéficient désormais d’un tableau de bord centralisé, qui leur permet de visualiser quelles entreprises ou prestataires tiers ont accès à leurs données et de gérer facilement leurs consentements. Par ailleurs, la directive prévoit un droit au remboursement pour les victimes de fraude, garantissant une protection accrue des utilisateurs. Enfin, les PSP et les banques ont l’obligation d’informer et de sensibiliser leurs clients sur les nouvelles procédures, afin de leur permettre d’utiliser les services de paiement en toute sécurité et en connaissance de cause.

Pour une entreprise, c’est un levier d’auditabilité et de gouvernance : on documente les accès, on prouve le respect des consentements, on reprend la main en un clic. Cette lisibilité, longtemps attendue, simplifie les contrôles internes et réduit les litiges.

Quels impacts pour le secteur ?

Adaptations pour les banques et grandes entreprises

Avec la DSP3, les banques sont confrontées à la nécessité d’adapter leurs systèmes de validation des transactions et de mettre à jour leurs dispositifs de gestion de flux, de contrôle interne et de gouvernance, tels que le RCCI. Elles doivent également renforcer leurs mesures de lutte contre le blanchiment d’argent et le financement du terrorisme afin de mettre en conformité les nouvelles exigences réglementaires et la généralisation des nouveaux moyens de paiement, tel que le paiement instantané ou les jetons de monnaie électronique (EMT/stablecoins). Elles devront aussi revisiter les parcours d’authentification, pour retirer la friction superflue sans baisser la garde là où le risque est réel. Enfin, elles auront à considérer leurs API comme une plateforme de services : documentées, stables, disponibles, elles ne sont plus une obligation réglementaire à la marge, mais un atout commercial. Elles facilitent l’intégration avec les fintechs, les solutions de facturation, les ERP et les outils de trésorerie de leurs clients entreprises. Dans un marché où l’expérience compte autant que le prix, cette « qualité d’intégration » devient un différenciateur.
 

Nouveaux services pour les acteurs non bancaires

La DSP3 ouvre également de nouvelles opportunités pour PSP et autres acteurs non bancaires. Ces derniers peuvent désormais proposer des retraits d’espèces via des DAB non bancaires, offrir des services de cashback, ou participer directement aux systèmes de paiement, favorisant ainsi l’émergence de services fintech innovants.
 

Ouverture vers l'Open Finance

Enfin, la DSP3 prépare la transition de l’Open Banking vers l’Open Finance – avec FiDA -, en standardisant l’accès aux données financières au-delà des simples comptes bancaires, incluant crédits, investissements et assurances. Cette évolution permet de développer des services financiers intégrés, sécurisés et personnalisés, tout en créant un écosystème européen cohérent, propice à l’innovation et à la concurrence.
 

Le règlement FiDA (Financial Data Access), présentée par la Commission européenne, marque une nouvelle étape après la DSP3 en élargissant le partage de données au-delà des seuls services de paiement. Elle vise à instaurer un cadre commun d’Open Finance, permettant aux consommateurs et entreprises de partager, avec leur consentement, leurs données financières (épargne, assurance, crédit…) entre prestataires. 
FiDA complète ainsi la DSP3 en ouvrant la voie à un écosystème financier plus intégré, innovant et centré sur l’utilisateur.

La DSP3 et le RSP1 instaurent un cadre européen moderne, harmonisé et sécurisé, qui vise à renforcer la sécurité et la protection des consommateurs, tout en favorisant l’innovation et le développement de nouveaux services financiers. 

Ce cadre contribue également à améliorer la transparence des transactions et à instaurer une confiance durable entre les utilisateurs et les prestataires de paiement, tout en garantissant une concurrence équitable entre banques traditionnelles et fintechs. 

Pour tirer pleinement parti de ces évolutions, les banques et les fintechs doivent se préparer rapidement, en adaptant leurs systèmes, en assurant leur mise en conformité et en informant leurs clients sur les nouvelles procédures. Les consommateurs, quant à eux, bénéficieront d’une expérience utilisateur améliorée, de services plus innovants et d’une protection renforcée contre la fraude.