obOpen Banking Lab
GlossaireSTETBlogContact
Réglementation

DSP2

Directive sur les Services de Paiement 2 (PSD2)

Directive européenne entrée en vigueur en 2018 qui a créé l'Open Banking en Europe : obligation pour les banques d'ouvrir leurs API et naissance des AISP, PISP, CBPII.

Voir aussi :DSP3FIDARTSPSRSCAAISPPISPCBPIITPPASPSP

Définition

La DSP2 (Directive sur les Services de Paiement 2, ou PSD2 en anglais) est la directive européenne qui a créé l'Open Banking.

Adoptée le 25 novembre 2015 et appliquée à partir du 13 janvier 2018, elle oblige les banques à ouvrir leurs API, fait naître les rôles AISP, PISP et CBPII, et impose l'authentification forte (SCA) sur les paiements en ligne.

DSP1 vs DSP2 vs DSP3

Trois générations, chacune un cran plus loin :

  • DSP1 (2007) — harmonise les paiements en zone euro et crée le statut d'établissement de paiement (EP).
  • DSP2 (2015 → 2018) — ajoute l'Open Banking obligatoire, les TPP, la SCA et un régime de responsabilité renforcé.
  • DSP3 + PSR (proposés en 2023, application 2026-2027) — renforcent la lutte anti-fraude et la qualité d'API, refondent le CBPII et font passer la directive en règlement (PSR).

La DSP2 reste le cadre en vigueur : tout ce qui se construit en fintech repose dessus.

Les 4 apports majeurs

  • Accès tiers obligatoire (XS2A) : toute banque tenant un compte de paiement doit exposer une API ouverte aux TPP agréés.
  • Trois statuts TPP : AISP (lecture), PISP (initiation), CBPII (vérification de fonds carte).
  • Authentification forte (SCA) : 2 facteurs sur 3 pour tout paiement et accès sensible (RTS de septembre 2019).
  • Régime de responsabilité : en cas de fraude, la banque (ASPSP) rembourse en premier, à charge pour elle de se retourner contre le PISP responsable.

Ce que la DSP2 ne couvre pas

  • Les autres comptes financiers (épargne, assurance-vie, crédit, investissement) : c'est l'objet de FIDA.
  • Les crypto-actifs : c'est MiCA.
  • La résilience opérationnelle IT : c'est DORA.
  • Les cartes Visa/Mastercard : la DSP2 encadre l'écosystème sans créer d'alternative directe, sinon via les PISP qui contournent la carte.

Calendrier clé

  • 25 novembre 2015 — adoption par le Parlement et le Conseil.
  • 13 janvier 2018 — entrée en application (transposée en France par l'ordonnance du 9 août 2017).
  • Septembre 2019 — application des RTS-SCA.
  • 2022 — passage à 180 jours pour le renouvellement de consentement AIS (contre 90 à l'origine).
  • Juin 2023 — proposition DSP3 + PSR.
  • 2026-2027 (estimation) — entrée en vigueur de DSP3.

Dans l'écosystème PSD2

La DSP2 est le socle de tous les autres concepts du glossaire (AISP, PISP, ASPSP, TPP, SCA, QWAC, QSealC). Elle a structuré un marché européen qui pèse aujourd'hui plusieurs milliards d'euros.

Exemples concrets

  • Sans DSP2, ces apps n'existeraient pas : Bankin', Linxo, Pennylane, Qonto (en partie), Bridge, Tink, Fintecture, Trustly — tout l'écosystème AISP/PISP est né de cette directive.
  • Impact sur les banques : obligation d'opérer des API publiques documentées, disponibles 24/7 (cible EBA > 99 %), conformes aux standards STET ou Berlin Group.
  • Impact UX : la SCA imposée a fait basculer le marché du 3DS1 (peu sûr, mauvaise UX) vers le 3DS2 (biométrie, push) sur tous les paiements en ligne.
  • Limites observées : implémentations fragmentées entre banques, qualité d'API variable, absence des données comptables (épargne, crédit) — des manques que DSP3, PSR et FIDA visent à corriger.
  • Veille utile : suivre les opinions et discussion papers de l'EBA, et le tableau de bord de performance des API publié par l'ACPR.

Voir aussi : Manuel STET

Sources

Retour au glossaire