La DSP2, ou Directive (UE) 2015/2366, est le cadre réglementaire européen qui redéfinit les règles des paiements en ligne en matière de sécurité, d’innovation et d’ouverture du marché. Concrètement, elle vous concerne chaque fois que vous payez sur internet, consultez vos comptes via une application tierce ou recevez un code de confirmation sur votre téléphone.
Dans cet article, nous vous proposons de passer en revue :
- ce qu’est vraiment la DSP2 et pourquoi elle a été créée
- qui elle concerne (banques, fintechs, commerçants, particuliers)
- comment fonctionne l’authentification forte (SCA)
- ce que changent concrètement l’agrégation de comptes et l’initiation de paiement
- comment les certificats, la PKI et l’identité digitale sécurisent techniquement tout l’écosystème
Que vous soyez étudiant en école de commerce, professionnel de la finance ou simplement curieux de comprendre ce qui se passe quand vous tapez votre code de confirmation, ce guide est fait pour vous.
Définition de la DSP2 (Directive (UE) 2015/2366)
La DSP2, ou Directive sur les Services de Paiement 2, est une directive européenne adoptée en 2015 et entrée en vigueur en 2018. Elle succède à la DSP1 (Directive 2007/64/CE) et actualise profondément le cadre réglementaire applicable aux prestataires de services de paiement au sein de l’Union européenne.
Son objectif : harmoniser les règles applicables aux paiements à l’échelle des 27 États membres, tout en intégrant les transformations profondes du marché (montée des fintechs, explosion du e-commerce, émergence de l’open banking). Elle s’applique à toute transaction de paiement électronique réalisée en euros dans l’espace économique européen.
Pourquoi la DSP2 a été mise en place : sécurité, innovation et concurrence
La directive repose sur deux piliers complémentaires.
La sécurité et la protection des consommateurs : en 2023, la fraude aux paiements en ligne représentait encore plus de 1,8 milliard d’euros de pertes en Europe selon la Banque centrale européenne. La DSP2 répond à ce problème en imposant des mécanismes de vérification renforcés, notamment l’authentification forte, afin de réduire les risques d’usurpation d’identité et de transactions non autorisées.
L’innovation et la concurrence : avant la DSP2, les banques traditionnelles détenaient un quasi-monopole sur les données de paiement de leurs clients. La directive oblige désormais les établissements bancaires à ouvrir leurs systèmes à des tiers certifiés, ce qui a permis l’essor de nouveaux acteurs comme Bankin’, Lydia ou Tink. Résultat : un marché plus compétitif, plus innovant et davantage centré sur l’expérience utilisateur.
Quels acteurs sont concernés par la DSP2 (banques, PSP, fintechs et commerçants)
La DSP2 s’adresse à un écosystème large :
| Acteur | Rôle dans la DSP2 |
|---|---|
| Banques et établissements de crédit | Ouvrent leurs API aux tiers autorisés |
| Prestataires de services de paiement (PSP) | Gèrent les flux de paiement (ex. Stripe, PayPal) |
| Fintechs agrégateurs (AISP) | Accèdent aux données bancaires avec consentement |
| Initiateurs de paiement (PISP) | Déclenchent des virements depuis un compte tiers |
| Commerçants en ligne | Doivent intégrer les protocoles SCA dans leur tunnel d’achat |
| Clients particuliers | Sont protégés et impliqués dans le processus d’authentification |
Tous ces acteurs doivent être enregistrés ou agréés auprès d’une autorité nationale compétente (en France, l’ACPR — Autorité de Contrôle Prudentiel et de Résolution).
L’authentification forte (SCA) : principe, facteurs et cas d’usage
L’authentification forte, ou SCA (Strong Customer Authentication), est la mesure phare de la DSP2 côté sécurité. Elle impose de vérifier l’identité du payeur à partir d’au moins deux éléments distincts parmi trois catégories :
- Ce que vous savez : un mot de passe, un code PIN
- Ce que vous possédez : votre smartphone, une clé physique
- Ce que vous êtes : empreinte digitale, reconnaissance faciale
Un achat en ligne de 150 € déclenche ainsi une double vérification : votre application bancaire vous envoie une notification, vous validez via votre empreinte. En cas de vol de votre téléphone sans code biométrique, la transaction reste bloquée.
La SCA s’applique notamment lors de la connexion à un espace bancaire en ligne, lors d’un paiement à distance supérieur à 30 € et lors de toute opération jugée à risque par le système de scoring de la banque.
DSP2 : ce qui change concrètement pour les clients (connexion, paiements en ligne, parcours bancaire)
Pour l’utilisateur final, les changements sont visibles dans le quotidien. Prenons l’exemple de La Banque Postale :
- Si vous vous connectez via l’application mobile avec votre mot de passe, l’authentification forte est gérée automatiquement en arrière-plan : aucune action supplémentaire visible.
- Si vous vous connectez via l’Espace Client Internet ou par biométrie, une confirmation supplémentaire peut être demandée une fois tous les 180 jours.
- Sans cette validation périodique, l’accès aux services en ligne peut être bloqué.
Ce changement a parfois surpris des utilisateurs habitués à une connexion fluide. La réalité est simple : cette friction légère est le prix d’une protection significativement accrue.
Agrégation de comptes (AISP) : accès aux données bancaires et nouveaux usages
Les AISP (Account Information Service Providers) sont des services qui, avec votre consentement explicite, peuvent consulter les données de vos comptes bancaires hébergés dans différents établissements. Concrètement, une application comme Bankin’ peut afficher votre compte courant au Crédit Agricole, votre livret A à La Banque Postale et votre compte titre chez Boursorama, sur un seul écran.
Ces services permettent également de catégoriser vos dépenses, d’analyser vos habitudes financières ou de préparer un dossier de crédit. Avant la DSP2, ces pratiques existaient mais reposaient souvent sur du "screen scraping" (copie illégale de données). La directive les encadre désormais via des API sécurisées et un consentement formalisé.
Initiation de paiement (PISP) : payer via un service tiers, sans carte bancaire
Les PISP (Payment Initiation Service Providers) vont plus loin : ils peuvent déclencher un virement depuis votre compte bancaire, sans que vous ayez à sortir votre carte. Lors d’un achat en ligne, au lieu de saisir vos 16 chiffres de carte, vous autorisez directement un virement depuis votre compte. C’est plus rapide, moins exposé au risque de vol de données de carte, et potentiellement moins coûteux pour le commerçant.
Des solutions comme Paylib, Vyne ou Lemonway s’appuient sur ce modèle. Pour le commerçant, les frais d’interchange liés aux cartes disparaissent. Pour le client, le paiement est instantané et tracé.
Open Banking et API : comment s’échangent les données et les ordres de paiement
L’open banking est la philosophie sous-jacente à la DSP2 : les données bancaires appartiennent au client, pas à la banque. Pour rendre cela opérationnel, les banques doivent exposer des API (Application Programming Interface) standardisées, que les tiers certifiés peuvent interroger.
Une API joue le rôle de passerelle sécurisée : elle définit précisément ce que le tiers peut demander (solde, historique, initiation de virement), dans quelles conditions et selon quels protocoles de sécurité. En Europe, le standard BERLIN Group NextGenPSD2 est l’une des implémentations de référence.
Consentement et protection des données : droits du client et contrôle des accès
La DSP2 s’articule avec le RGPD sur un point fondamental : le consentement. Aucun AISP ni PISP ne peut accéder à vos données ou initier un paiement sans votre accord explicite, révocable à tout moment. Vous pouvez consulter la liste des tiers autorisés depuis votre espace bancaire et révoquer un accès en quelques clics.
Cette transparence est essentielle : elle remet le client au centre de son parcours financier et renforce la confiance dans les nouvelles solutions de paiement.
Sécurisation technique : certificats DSP2, TLS, authentification mutuelle et PKI
Derrière l’expérience utilisateur, une infrastructure technique robuste garantit la fiabilité des échanges. Les banques et les tiers autorisés utilisent des certificats électroniques DSP2, délivrés par des autorités de certification qualifiées comme CertEurope (groupe InfoCert).
Ces certificats servent à :
- prouver l’identité de chaque acteur dans les échanges via API
- chiffrer les communications grâce au protocole TLS (Transport Layer Security)
- authentifier mutuellement les deux parties d’un échange (la banque et le service tiers)
L’ensemble repose sur une PKI (Public Key Infrastructure) — une infrastructure à clés publiques qui gère la création, la distribution et le cycle de vie des certificats. Sans PKI fiable, l’écosystème DSP2 serait techniquement vulnérable.
Conformité et mise en œuvre : exemptions SCA, supervision et responsabilités en cas de fraude
La SCA ne s’applique pas systématiquement. Des exemptions sont prévues, notamment pour :
- les transactions inférieures à 30 € (dans la limite de 5 transactions consécutives ou 100 € cumulés)
- les bénéficiaires de confiance préalablement enregistrés
- les paiements récurrents de montant fixe (abonnements)
- les transactions jugées à faible risque par les systèmes d’analyse en temps réel (TRA)
En cas de fraude, la responsabilité est clairement définie : si la SCA a été correctement appliquée, c’est en principe le commerçant ou le PSP qui supporte le risque. Si la banque a failli à ses obligations, sa responsabilité peut être engagée. L’ACPR assure la supervision de l’ensemble des acteurs agréés en France.
DSP2 et solutions de confiance numérique : identité digitale, signature électronique et preuves associées
La DSP2 a ouvert la voie à un écosystème plus large de confiance numérique. Pour sécuriser des parcours entiers — ouverture de compte, signature de contrat, validation d’identité — les acteurs s’appuient sur des solutions complémentaires :
- La signature électronique qualifiée (QES eIDAS) : niveau le plus élevé de signature en Europe, elle possède la même valeur légale qu’une signature manuscrite. Des plateformes comme GoSign permettent de l’intégrer dans n’importe quel parcours client.
- L’onboarding et la vérification d’identité (KYC) : vérification documentaire, selfie en temps réel, vidéo-identification pour s’assurer que le client est bien qui il prétend être.
- L’horodatage : preuve certifiée de la date et de l’heure d’un événement numérique, indispensable en cas de litige.
- Le recommandé électronique (ex. GoNotice) : équivalent numérique du courrier recommandé, avec force probante.
La logique est la même qu’en DSP2 : identifier, authentifier, prouver. Ces briques de confiance numérique s’imposent désormais dans tous les secteurs où la sécurité des échanges est critique — banque, assurance, santé, ressources humaines.
La DSP2 n’est pas qu’une contrainte réglementaire : c’est une transformation profonde de la relation entre les utilisateurs, les banques et les nouveaux acteurs du paiement. Comprendre ses mécanismes, c’est mieux maîtriser votre sécurité financière et anticiper les évolutions d’un marché qui n’a pas fini de se réinventer.