Le 14 septembre 2019, les mesures phares de la DSP 2 devaient entrer en application : mais en guise de grand moment, cette date marque, en matière de communication sécurisée, la publication, en France, d'une liste des établissements exemptés de l'obligation de mettre en place des mesures de secours; surtout, l'exigence d'authentification forte du client a été reportée.

Opinion of the European Banking Authority on the elements of strong customer authentication under PSD2, EBA-Op-2019-06, 21 June 2019.

Liste de publication des établissements exemptés de l'obligation de disposer d'un mécanisme de secours d'API, publiée le 12 septembre 2019

Introduction par Myriam Roussille

De l'optimisme contrarié. La réalité économique s'accommode décidément bien mal de la tyrannie normative. Et quand les textes entendent imposer des changements aux implications pratiques fortes, supposant notamment des investissements techniques ou des avancées technologiques, il n'est pas rare que les calendriers plient sous la contrainte des faits.

L'histoire récente des grands textes « révolutionnaires » du droit bancaire et financier le prouvent. MIF, EMIR et désormais la DSP 2 ont ainsi conduit les autorités à devoir reporter, parfois à de nombreuses reprises, l'entrée en application des textes.

Ce report est parfois le résultat « mécanique » du laps de temps pris pour arrêter les mesures d'applications. L'adoption des standards techniques, dits aussi « RTS », fait en amont l'objet de consultations et de négociations souterraines entre les parties prenantes ; or, la guerre des lobbies est chronophage et trancher entre les conflits d'intérêts l'est tout autant. En outre, on sait que les autorités européennes de surveillance (EBA en matière de paiement ou ESMA pour ce qui relève de la finance de marché) n'ont pas de pouvoir normatif direct, leurs propositions de RTS devant être formellement adoptées par la Commission, le Parlement ayant un droit de veto, ce qui peut d'autant en retarder la mise en place.

Quand nécessité fait loi... Mais le report d'entrée en application des grands textes, et ainsi des mesures structurelles qui y sont associées, résulte souvent d'un constat: les acteurs, parfois même publics, qui doivent mettre en place les mesures décrétées à Bruxelles ne sont pas prêts. La supériorité de la règle européenne dans la hiérarchie des normes n'y change rien: si la migration opérationnelle vers de nouveaux dispositifs est trop lourde, les autorités sont bien obligées de se résigner à laisser passer du temps. Et là, curiosité, plutôt que d'instituer un calendrier unique – report de la date de bascule – les autorités laissent aux autorités nationales des possibilités d'aménagement peu compatibles avec la volonté d'unification des règles et d'égalité entre les acteurs.

Du pouvoir des autorités. En outre, la lourdeur des nouveaux dispositifs combinée à l'approche par les risques – nouveau credo des autorités européennes – pousse les autorités européennes à reconnaître aux autorités nationales une faculté d'exemption. La DSP 2 signe ainsi le « tout pouvoir » des autorités de supervision: l'harmonisation par la règle laisse place à la modulation par l'administration

Au 14 septembre 2019, date à laquelle les nouvelles mesures de la DSP 2, communication sécurisée et authentification forte, devaient entrer en application partout dans l'Union, on constate donc une mosaïque de situations : outre les différences entre les pays, les acteurs relevant d'un même État d'origine ne sont en réalité pas tous dans des positions identiques, certaines bénéficiant d'exemption d'autres non, qui étant déjà prêts au prix de lourds investissements qui profitant de la tolérance des autorités pour se conformer

To view the full article click here.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.