Conformité PSD2

La DSP2 (Directive sur les services de paiement) est une réglementation européenne révisée qui a transformé la sécurité des paiements en ligne et l'accès aux données.

Son objectif principal était de créer un marché des paiements plus efficace et intégré et de donner aux consommateurs un plus grand contrôle sur leurs données. En favorisant la concurrence et l'innovation dans l'industrie FinTech, la DSP2 garantit une économie numérique plus sûre et plus dynamique.

Bien que la DSP2 soit une directive européenne, elle a un impact sur les entreprises du monde entier. Avec la gouvernance des données et la sécurité au cœur de la DSP2, des entreprises comme Cyera jouent un rôle clé pour aider les organisations à se conformer et à instaurer la confiance auprès de leurs consommateurs.

Qu'est-ce que la PSD2 et pourquoi a-t-elle été introduite ?

La DSP1 a été introduite en 2007 pour harmoniser les services de paiement dans l'UE et rendre les transactions transfrontalières plus efficaces. Cependant, le secteur des paiements s'est rapidement digitalisé et la DSP1 n'était plus suffisante pour suivre l'évolution des changements.

La DSP2, introduite en 2016 et entrée en vigueur en janvier 2018, a modernisé ces règles pour les adapter à l'ère numérique.

Les principaux objectifs de la DSP2 sont de :

• Donner aux consommateurs un meilleur contrôle sur leurs données financières personnelles et renforcer la protection contre les transactions non autorisées et les frais bancaires.
• Renforcez la sécurité des données grâce à l’authentification forte du client (SCA).
• Activez les pratiques de l’open banking avec des services tiers
• Favoriser l'innovation et la concurrence en permettant aux fournisseurs tiers d'accéder à l'infrastructure bancaire.
• Harmoniser la réglementation des paiements à travers l’UE, afin de rendre les paiements transfrontaliers simples et efficaces.

Bien que la DSP2 soit une réglementation de l'UE, elle a eu un effet d'entraînement à l'échelle mondiale. Toute entreprise qui traite des paiements avec des membres de l'UE ou gère des données financières de l'UE doit s'y conformer.

Les exigences fondamentales de la conformité à la DSP2

La DSP2 intègre plusieurs exigences obligatoires pour tous les prestataires de services de paiement opérant au sein de l'UE.

Authentification forte du client

La SCA exige que les passerelles de paiement demandent à leurs utilisateurs de vérifier leur identité en utilisant au moins deux facteurs indépendants, souvent appelés authentification à deux facteurs ou authentification multifacteur.

Les prestataires doivent demander au moins deux des éléments suivants :

• Quelque chose que l'utilisateur connaît, comme un mot de passe ou les protocoles 3D Secure 2
• Quelque chose qu'ils possèdent, comme un téléphone avec vérification par SMS
• Quelque chose qu'ils sont, comme des données biométriques telles que les empreintes digitales ou la reconnaissance faciale

Open banking et accès des tiers (TPPs)

Les banques sont tenues d'ouvrir leurs API afin de permettre à des prestataires tiers agréés d'accéder à leur infrastructure financière (avec consentement).

Par exemple, les prestataires de services d'information sur les comptes (AISP) peuvent utiliser les API pour accéder aux détails des comptes, et les prestataires de services d'initiation de paiement (PISP) peuvent initier des paiements au nom d'un utilisateur.

Cela permet des services tels que l'initiation de paiement et l'agrégation de comptes par les entreprises FinTech.

Transparence des données et clarté des frais

Tous les services et produits financiers doivent désormais fournir des informations transparentes concernant les frais de transaction et les taux de conversion des devises.

Les surcharges sont désormais interdites pour des services tels que la billetterie, les services de livraison et les voyages, ainsi que pour les cartes de crédit et de débit des consommateurs de l'UE.

De plus, les accords utilisateur doivent être clairs et faciles à comprendre pour les consommateurs.

Gestion des réclamations et droits des consommateurs

Les entreprises sont désormais tenues de résoudre les problèmes de manière rapide et réglementée. Des procédures transparentes doivent être mises en place pour traiter les réclamations, avec des options de résolution des litiges accessibles.

Les entreprises doivent conserver des registres de conformité détaillés pour démontrer leur respect des règles.

Qui doit être conforme à la DSP2 ?

De nombreuses entreprises internationales supposent à tort que la DSP2 ne s'applique qu'aux pays situés dans l'Espace économique européen (EEE). Cependant, ce n'est pas le cas.

Essentiellement, la DSP2 englobe tout ce qui suit :

• Entreprises traitant des paiements au sein de l'UE.
• Entreprises mondiales ayant des utilisateurs ou des opérations basés dans l'UE.
• Fintechs, fournisseurs de paiement, places de marché en ligne et plateformes de commerce électronique.
• Même les entreprises basées aux États-Unis doivent se conformer si elles traitent des données de consommateurs de l'UE.
  
  

Par exemple, une entreprise américaine de commerce en ligne vendant des produits sur le marché allemand doit mettre en œuvre la conformité à la DSPM pour ces transactions.

Comment la DSP2 impacte les entreprises

La DSP2 peut avoir un impact sur les opérations quotidiennes d'une entreprise de plusieurs façons :

• Mises à niveau de la sécurité : Les entreprises doivent mettre en place la SCA pour protéger les données de connexion et de transaction des clients. Cela nécessite généralement une mise à jour des logiciels et des procédures.
• Investissements dans l'infrastructure : Les entreprises doivent créer des API ou améliorer celles existantes, ainsi que mettre en place des passerelles sécurisées. Elles doivent également instaurer des systèmes permettant de suivre et de signaler la conformité en temps réel.
• Modifications de l'expérience client : Les étapes d'authentification supplémentaires peuvent créer des frictions pour les clients, il peut donc être nécessaire d'ajuster les pages de paiement pour garantir une bonne expérience client.
• Évolutions stratégiques : Les banques traditionnelles doivent s’adapter à un écosystème plus ouvert et pourraient devoir collaborer avec ou rivaliser contre les FinTechs.

‍

Bien que ces changements puissent être perçus comme contraignants par une entreprise, les résultats font déjà une différence significative.

Alors que les États-Unis continuent d’enregistrer les pertes les plus élevées liées à la fraude, l’UE (grâce à la mise en œuvre de la DSPM) a réduit les siennes de 40 % à 60 %.

Défis courants pour atteindre la conformité

Lors de la mise en conformité avec la DSPM, les entreprises financières peuvent rencontrer d'importants obstacles, tant sur le plan technique que réglementaire et opérationnel.

Les problèmes les plus difficiles concernent :

• Systèmes hérités qui ne s'intègrent pas bien avec les API modernes.
• Trouver un équilibre entre l'expérience utilisateur et les améliorations de sécurité, qui peuvent avoir un impact sur les taux de conversion.
• La bonne façon d'informer les consommateurs sur les nouvelles procédures d'authentification.
• Surveillance du risque lié aux prestataires tiers (TPP), réalisation de la diligence raisonnable et garantie d'une gestion correcte des données.
• Hausse des coûts de conformité, en particulier pour les organisations de petite ou moyenne taille.

Meilleures pratiques pour rester conforme

Si vous n'êtes pas encore conforme à la DSP2, voici une liste de contrôle des actions à entreprendre :

• Adoptez des outils d'authentification contextuelle et comportementale pour la SCA.
• Intégrez la biométrie comportementale pour réduire les frictions pour les clients sans compromettre la sécurité.
• Fournir des passerelles API pour les fournisseurs tiers pouvant ajuster les mesures de sécurité en temps réel et utilisant une architecture zéro confiance.
• Tokenisez ou anonymisez les données sensibles des clients afin de minimiser leur exposition.
• Mettez en place des systèmes de surveillance continue pour la gestion et l'analyse des risques. Par exemple, Cyera offrira une visibilité complète sur la classification des données et signalera automatiquement tout risque.
• Divulguez clairement tous les frais de transaction, les taux de conversion et les conditions d'utilisation aux consommateurs.
• Auditez régulièrement vos partenaires tiers et vos intégrations.
• Inscrivez-vous auprès des autorités réglementaires compétentes et tenez-vous informé des évolutions des exigences PSD2.
• Sensibilisez les utilisateurs grâce à une intégration axée sur l'expérience utilisateur.
• Former le personnel sur les obligations PSD2.

Préparation au PSD3 et aux futures réglementations de paiement

La PSD2 n'est certainement pas la dernière version de ce cadre réglementaire. La PSD3 et les nouvelles réglementations sur les services de paiement sont imminentes, et vous devez vous y préparer.

Pour vous préparer à ces changements, un cadre agile et de conformité est essentiel.

C'est ici que Cyera peut intervenir et devenir votre partenaire à long terme pour répondre à ces exigences en constante évolution. Grâce à sa technologie adaptative, Cyera prépare votre entreprise pour l'avenir en offrant des cadres flexibles, une gouvernance des données en temps réel et une automatisation qui s'adapte à l'évolution de vos besoins.

L'utilisation d'un système comme Cyera permet à votre organisation de passer d'une conformité réactive à une résilience proactive, capable de s'adapter rapidement à l'évolution des réglementations.

Implications mondiales : la DSP2 en dehors de l’UE

Nous ne saurions trop insister sur ce point : même si votre organisation n'est pas basée géographiquement dans l'EEE, vous devez tout de même vous conformer à la DSPM si vous faites des affaires avec des consommateurs dans cette région du monde.

Les citoyens de l'UE achètent dans le monde entier, et si votre site ou application les sert, vous devez vous conformer.

En plus de rendre un mauvais service à vos clients, les conséquences de la non-conformité peuvent être graves. Vous risquez des amendes, des interruptions de paiement et, à terme, une atteinte à votre réputation en tant qu'entreprise peu fiable.

Aligner votre entreprise sur les meilleures pratiques mondiales est le meilleur moyen de prendre de l'avance sur la concurrence et de vous protéger des conséquences d'une non-conformité réglementaire.

Comment Cyera prend en charge la conformité PSD2

Pour donner à votre organisation le meilleur départ possible, il est essentiel d'investir dans une technologie moderne capable de gérer et de suivre les changements fréquents concernant la PSD2.

Cyera est votre allié pour y parvenir. Sa technologie innovante peut :

• Classifiez, surveillez et gouvernez les données financières sensibles en temps réel dans les environnements cloud, sur site et hybrides.
• Surveillez en continu l'accès aux données par des tiers et les flux d'API.
• Automatisez les contrôles de conformité et envoyez des alertes pour les violations potentielles avant qu'elles ne s'aggravent.
• Fournissez des contrôles agiles pour des environnements réglementaires en évolution.
• Informez les parties prenantes grâce à des tableaux de bord accessibles et des analyses approfondies.

En fin de compte, Cyera vous aide à élaborer une stratégie adaptable et à long terme pour la conformité et l'innovation, quels que soient les changements qui surviennent ailleurs dans le monde.

Faites de la conformité PSD2 un avantage stratégique

Essayez de considérer la conformité à la DSP2 non pas comme une contrainte réglementaire, mais plutôt comme une opportunité de moderniser vos systèmes et d’accroître la confiance et la fidélité de vos clients.

Avec le bon partenaire, vous pouvez facilement naviguer à travers les réglementations changeantes et préparer votre entreprise pour le long terme.

Nous vous invitons à découvrir les solutions de Cyera pour les services financiers et la préparation à la conformité.

Contactez-nous pour planifier une démo et effectuer une évaluation gratuite des risques d'accès aux données.

‍