Explication de la DSP3 : Principaux changements concernant les paiements et l’open banking dans l’UE
Les paiements électroniques dans l'UE représentent environ 240 000 milliards d'euros par an. La réglementation qui les encadre est en cours de réécriture.
La DSP3, troisième directive sur les services de paiement, remplace intégralement la DSP2. Elle ne se contente pas de moderniser les anciennes règles : elle l’associe à un règlement sur les services de paiement (RSP) directement applicable, éliminant ainsi les disparités nationales qui rendaient la DSP2 incohérente sur les marchés de l’UE. Parmi les principaux changements, on note un renforcement de la protection contre la fraude, la standardisation des API bancaires ouvertes et une réglementation explicite des jetons de monnaie électronique et des services de paiement en cryptomonnaies.
Un accord politique provisoire a été conclu en novembre 2025. La publication au Journal officiel de l'UE est prévue pour le deuxième trimestre 2026. L'entrée en vigueur complète interviendra aux alentours de 2028. L'écart entre ces dates est important : le règlement provisoire s'applique 20 jours après sa publication, bien avant que les États membres n'aient terminé la transposition de la directive en droit national.
Qu'est-ce que PSD3 ?
L'UE encadre son marché des paiements par des directives depuis 2007. La DSP1 a établi le cadre de base. La DSP2, lancée en 2015, a introduit l'authentification forte du client et l'accès des tiers via l'open banking. La DSP3, troisième génération, représente une transformation structurelle bien plus importante que les précédentes.
Contrairement à ses prédécesseurs, la DSP3 n'est pas une mesure isolée. Elle s'accompagne d'un règlement sur les services de paiement (RSP) qui s'applique directement dans tous les États membres de l'UE, sans transposition nationale. Avec la DSP2, l'Allemagne et la France ont transposé la même directive différemment. Une fintech devait donc comprendre chaque marché individuellement. Grâce au RSP, ces différences disparaissent : les règles de conduite sont identiques partout.
Deux autres changements structurels sont importants :
- La directive sur la monnaie électronique (EMD2), qui régissait séparément les établissements de monnaie électronique, est intégrée à la DSP3. Les EME deviennent une sous-catégorie d'établissements de paiement dans un cadre unique.
- Les jetons de monnaie électronique, c'est-à-dire les stablecoins crypto utilisés à des fins de paiement, sont intégrés pour la première fois à la réglementation des services de paiement de l'UE.
PSD3 vs PSD2 : Qu’est-ce qui a changé ?
Six domaines ont fait l'objet de mises à jour matérielles entre PSD2 et PSD3 :
| Zone | PSD2 | PSD3 |
|---|---|---|
| instrument juridique | Directive (transposition nationale) | Directive + PSR (règlement uniforme de l'UE) |
| Cadre EMI | Directive EMD2 distincte | Intégré au cadre des institutions de paiement |
| Exigences SCA | Catégories de facteurs stricts | Principe d'indépendance ; plus de flexibilité |
| API bancaires ouvertes | Formats volontaires, incohérents | Spécifications normalisées, rapports obligatoires |
| Responsabilité en cas de fraude liée à l'application | Le client supporte la majeure partie du risque | Le PSP est responsable sauf en cas de négligence grave prouvée. |
| Jetons crypto / monnaie électronique | Non couvert | Explicitement inclus dans le champ d'application du PSR |
Le passage d'une directive seule à une directive assortie d'un règlement a des conséquences plus importantes qu'il n'y paraît. Une fintech opérant en Allemagne, en France et aux Pays-Bas était auparavant confrontée à trois versions différentes de la même loi, transposées de manière distincte. Avec la DSP3/PSR, les règles de conduite sont identiques dans chaque État membre.
Vérification IBAN et responsabilité en cas de fraude liée aux applications
Deux des dispositions les plus importantes sur le plan commercial de la DSP3 ciblent la fraude, en particulier la fraude au paiement push autorisé (APP), où les clients sont manipulés pour envoyer volontairement des fonds à un compte criminel.
La vérification de la concordance du nom et de l'IBAN est le premier mécanisme. Les prestataires de services de paiement doivent s'assurer que le nom du bénéficiaire correspond à son IBAN avant d'effectuer un virement. Cette vérification, effectuée en quelques secondes, est gratuite pour les consommateurs. Ce système est similaire au système britannique de Confirmation du bénéficiaire (CoP), qui a permis de réduire considérablement la fraude aux paiements par application mobile (APP) après son déploiement en 2020. Cette obligation entrera en vigueur 24 mois après l'application de la DSP3, soit aux alentours de 2028.
Le transfert de responsabilité est le deuxième mécanisme. Dans le cadre de la DSP2, la charge de la preuve dans les affaires de fraude aux applications de paiement incombait généralement aux victimes, qui devaient démontrer qu'elles n'avaient pas consenti. La DSP3 inverse cette règle.
- Le client signale une transaction non autorisée ou obtenue frauduleusement
- PSP dispose de 14 jours ouvrables pour traiter la demande de remboursement.
- Le prestataire de services de paiement doit rembourser intégralement, sauf s'il peut prouver que le client a agi de manière frauduleuse ou avec une négligence grave.
- Les prestataires de services de paiement (PSP) qui ne mettent pas en œuvre de contrôles antifraude adéquats, notamment la vérification de l'IBAN, assument la responsabilité du défaut de paiement pour les pertes.
- Cas de manipulation des payeurs : si le prestataire de services de paiement (PSP) n’a pas signalé une incohérence entre le nom et l’IBAN, il supporte la perte indépendamment de tout autre facteur.
Les institutions qui ont ignoré l'objectif clair de la DSP2 en matière de responsabilité en cas de fraude s'exposent désormais à des sanctions financières obligatoires. Il ne s'agit pas d'une simple formalité administrative, mais d'une incitation directe à investir dans une infrastructure de lutte contre la fraude.
Normes bancaires ouvertes et API
Les ambitions de la directive PSD2 en matière d'open banking se sont heurtées à un obstacle de taille : les banques ont implémenté les API de manière disparate. Les fournisseurs tiers (TPP), ces fintechs qui exploitent les données bancaires, ont dû faire face à des dizaines d'implémentations incompatibles sur les différents marchés de l'UE. Une fintech française accédant aux données d'une banque allemande utilisait une interface totalement différente de celle employée en Espagne.
La DSP3 remédie à cela grâce à une normalisation obligatoire :
- Les prestataires de services de paiement assurant la gestion des comptes (ASPSP) doivent proposer des interfaces dédiées conformes aux spécifications normalisées de l'UE.
- Les banques doivent publier des rapports trimestriels sur la performance de leurs API, notamment en ce qui concerne la disponibilité, la latence et les taux d'erreur.
- Si l'API principale tombe en panne, les TPP bénéficient d'un accès de secours à l'interface client standard de la banque.
- Les tableaux de bord de consentement client deviennent obligatoires : les utilisateurs peuvent voir quels tiers ont accès à leurs comptes et révoquer leur autorisation en temps réel.
- Les interfaces dédiées doivent être suffisamment fiables pour éliminer le « screen scraping » comme méthode de repli.
Pour les banques, cela implique une véritable responsabilisation quant à la qualité des API, auparavant facultative et largement ignorée. Pour les fintechs, cela signifie un accès cohérent et auditable aux marchés de l'UE.
Authentification forte du client dans le cadre de la DSP3
Les règles d'authentification forte du client (SCA) de la DSP2 exigeaient deux facteurs d'authentification issus d'au moins deux catégories distinctes : quelque chose que vous connaissez (code PIN, mot de passe), quelque chose que vous possédez (appareil, carte) ou quelque chose qui vous est propre (données biométriques). La DSP3 conserve l'exigence de deux facteurs, mais supprime la règle des catégories.
La nouvelle norme est l'« indépendance », et non la séparation des catégories. Deux facteurs sont conformes tant que la compromission de l'un n'entraîne pas automatiquement la compromission de l'autre. C'est un véritable progrès pour les fournisseurs de services de paiement qui étaient contraints d'adopter une expérience utilisateur peu intuitive pour se conformer à une règle de catégorie qui n'apportait que peu de sécurité réelle.
Ce sont les transactions initiées par le commerçant qui subissent les changements les plus concrets. Sous la DSP2, les frais récurrents après la mise en place initiale de l'authentification forte du client (SCA) se trouvaient dans une zone grise : les règles n'étaient pas conçues pour la facturation par abonnement. La DSP3 lève cette ambiguïté : l'authentification forte du client lors de la création du mandat couvre la relation commerciale. Les prélèvements automatiques suivants ne nécessitent plus de réauthentification.
La tokenisation est également clarifiée. L'authentification forte du client (SCA) n'est désormais déclenchée que lorsque le titulaire de la carte participe activement à la création d'un jeton. Une fois le jeton créé, les transactions effectuées avec ce jeton ne nécessitent plus d'authentification à chaque fois.
La liaison dynamique est reprise de la DSP2 : le code d’authentification reste associé au montant et au bénéficiaire de la transaction. Par ailleurs, le règlement sur la sécurité des transactions (PSR) apporte des précisions sur les exemptions à l’authentification forte du client (SCA), ce qui devrait réduire les disparités d’un marché à l’autre quant à l’application de ces exemptions sous la seule directive.
PSD3, paiements en cryptomonnaie et jetons de monnaie électronique
La plupart des guides sur la DSP3 passent complètement sous silence cette section, ou ne l'abordent que brièvement. Le lien entre la DSP3 et les cryptomonnaies est structurel, et non périphérique : il concerne toute entreprise traitant des paiements en cryptomonnaies dans l'UE.
Le point d'entrée est constitué par les jetons de monnaie électronique. En vertu de MiCA, le règlement européen sur les crypto-actifs entré en vigueur en 2024, les stablecoins indexés sur une seule monnaie fiduciaire sont classés comme jetons de monnaie électronique lorsqu'ils sont utilisés à des fins de paiement. L'USDC était utilisé, par exemple, pour régler une facture en euros. La DSP3 intègre directement ces jetons dans le cadre des services de paiement.
Le cadre réglementaire applicable aux prestataires de services de paiement en cryptomonnaie dans l'UE :
| Type d'entité | Le règlement s'applique |
|---|---|
| institution de paiement traditionnelle | PSD3 + PSR |
| institution de monnaie électronique | PSD3 (cadre EMD2 fusionné) |
| PSP crypto utilisant des jetons de monnaie électronique | MiCA + PSD3/PSR (application simplifiée) |
| fournisseur BNPL | PSD3 + règles d'adéquation des fonds propres |
| fournisseur de portefeuilles crypto | Cadre de portefeuille numérique PSD3 |
La question de la double réglementation est un point sur lequel la plupart des équipes de conformité sous-estiment la complexité. Un prestataire de services de crypto-actifs (CASP) agréé MiCA et émettant des jetons de monnaie électronique n'a pas automatiquement besoin d'une autorisation PSD3 distincte. Toutefois, s'il propose également des services de paiement (envoi, réception, traitement), une procédure PSD3 simplifiée s'applique. Les deux régimes ne se couvrent pas mutuellement par défaut.
Le BNPL (Buy Now, Pay Later) constitue une autre catégorie nouvellement intégrée. Les prestataires qui opéraient dans une zone grise réglementaire sur les marchés de l'UE sont désormais soumis à des exigences formelles d'agrément d'établissement de paiement et à des règles de fonds propres. Le coût de la mise en conformité pour le secteur augmente sensiblement.
Pour les entreprises qui développent une infrastructure de paiement en cryptomonnaie, Plisio est un exemple de passerelle de paiement en cryptomonnaie qui s'adapte à cet environnement réglementaire, permettant aux commerçants d'accepter les cryptomonnaies à mesure que le cadre de conformité des paiements de l'UE évolue dans le cadre de la DSP3 et de MiCA.
À qui s'applique la PSD3 ?
La directive PSD3 et le règlement PSR s'appliquent à toute entité fournissant des services de paiement au sein de l'UE, quel que soit son lieu d'établissement. Champ d'application :
- établissements de crédit (banques) fournissant des services de paiement
- Établissements de paiement — prestataires de services de paiement non bancaires, y compris les fintechs, les néobanques et les opérateurs de transfert d'argent
- Les établissements de monnaie électronique — désormais intégrés au cadre des établissements de paiement
- Fournisseurs de BNPL — nouvellement inclus dans le champ d'application, soumis aux exigences d'autorisation et de capital
- Les prestataires de services de paiement en crypto-actifs sont soumis à une double réglementation (MiCA + PSD3).
- Fournisseurs tiers (TPP) — fournisseurs de services d'information sur les comptes (AISP) et fournisseurs de services d'initiation de paiement (PISP)
Les plateformes et les places de marché sont confrontées aux changements les plus perturbateurs. Sous la DSP2, nombre d'entre elles ont échappé à l'agrément de prestataire de services de paiement grâce à l'« exemption d'agent commercial », arguant qu'elles agissaient en tant qu'agents pour l'acheteur et le vendeur plutôt qu'en tant que processeurs de paiement. La DSP3 restreint considérablement cette exemption. La plupart des plateformes qui s'y appuyaient devront désormais se soumettre à une agrément formel de prestataire de services de paiement, à des exigences de fonds propres et à une surveillance réglementaire continue – un bouleversement opérationnel majeur pour les places de marché qui ont bâti leur infrastructure sur cette exemption.
Entités basées au Royaume-Uni : la DSP3 relève uniquement du droit de l’UE. Après le Brexit, le Royaume-Uni applique son propre cadre réglementaire, géré par la FCA. La réglementation britannique sur le BNPL (entrée en vigueur en juillet 2026) et le système de confirmation du bénéficiaire suivent une orientation similaire, mais les entreprises opérant dans les deux juridictions sont soumises à des obligations de conformité totalement distinctes.
Calendrier PSD3 : Quand entre-t-il en vigueur ?
La DSP3 sera déployée par phases, et non comme une simple mesure d'un seul coup :
- 28 juin 2023 — La Commission européenne a publié les propositions relatives à la DSP3 et au PSR
- 27 novembre 2025 — Accord politique provisoire conclu entre le Parlement européen et le Conseil
- Deuxième trimestre 2026 (estimation) — Publication au Journal officiel de l'Union européenne ; le règlement relatif au statut des services publics (RSSP) entre en vigueur 20 jours plus tard.
- 18 mois après l'entrée en vigueur — Délai imparti aux États membres pour transposer la directive PSD3 en droit national
- 24 mois après son entrée en vigueur — l’exigence de vérification de l’IBAN/du nom du bénéficiaire devient obligatoire (~2028)
- 24 à 30 mois après l'entrée en vigueur — Les autorisations PSD2 existantes sont maintenues ; une extension à 30 mois est possible.
- 2e et 3e trimestres 2028 (estimation) — Mise en application intégrale des directives PSD3 et PSR ; remplacement intégral des directives PSD2 et EMD2
Le délai de transposition de 18 mois n'est pas une période d'attente. Les règles de conduite du règlement sur la sécurité des produits (RSP) s'appliquent à l'ensemble de l'UE dès le 20e jour de sa publication. Une analyse des écarts par rapport au RSP – portant sur la mise en œuvre de l'authentification forte du client (SCA), la lutte contre la fraude, l'infrastructure API et l'octroi de licences de cryptomonnaies dans le cadre des règles de coordination de MiCA – devrait être menée dès maintenant.
