Skip to content
Tous les articles

Conformité PSD2 : ce que chaque banque doit savoir

Conformité PSD2 : ce que chaque banque doit savoir
Point clé Explication
Définition PSD2 La PSD2 est la deuxième directive européenne sur les services de paiement, en vigueur depuis janvier 2018, imposant des règles strictes aux banques et prestataires de paiement.
Authentification forte (SCA) Toute transaction électronique doit être validée par au moins deux facteurs d’authentification indépendants (connaissance, possession, inhérence).
Open Banking Les banques doivent ouvrir leurs API aux tiers agréés (AISP, PISP) pour permettre l’accès aux données de compte et l’initiation de paiements.
Transition vers PSD3 La PSD3 et le règlement PSR sont en cours de finalisation au niveau européen ; les banques doivent anticiper dès maintenant les nouvelles exigences.
Enjeux opérationnels La conformité PSD2 nécessite des investissements techniques (API, systèmes d’authentification) et organisationnels (processus, formation) significatifs.
Solutions sur mesure Des plateformes technologiques adaptées aux contraintes sectorielles permettent de réduire les coûts de mise en conformité et d’accélérer le déploiement.

La conformité PSD2 banques n’est plus un sujet réservé aux équipes juridiques. C’est une réalité opérationnelle qui touche les systèmes d’information, les processus client et la stratégie de chaque établissement. La PSD2 (Payment Services Directive 2, ou Deuxième Directive sur les Services de Paiement) est le cadre réglementaire européen qui régit les paiements électroniques depuis janvier 2018 [1]. Elle impose aux banques des obligations précises en matière de sécurité, d’ouverture des données et de protection des consommateurs. Dans cet article, vous trouverez une analyse complète des exigences, des mécanismes techniques, des pièges à éviter et des bonnes pratiques à adopter pour rester conforme en 2026.

Équipe bancaire travaillant sur la conformité PSD2 banques dans un environnement numérique moderne

Qu’est-ce que la conformité PSD2 pour les banques ?

La conformité PSD2 banques désigne l’ensemble des obligations légales, techniques et organisationnelles qu’un établissement de crédit doit respecter pour se conformer à la directive européenne 2015/2366. Entrée en vigueur le 13 janvier 2018, elle s’applique à tout prestataire de services de paiement opérant dans l’Union européenne.

Périmètre et acteurs concernés

La PSD2 ne concerne pas uniquement les grandes banques systémiques. Elle s’applique à l’ensemble des établissements qui gèrent des comptes de paiement ou traitent des transactions électroniques [2]. Concrètement, sont visés : This is particularly relevant for conformité PSD2 banques.

  • Les banques de détail et banques régionales (Caisses d’Épargne, Banques Populaires, banques privées indépendantes)
  • Les établissements de paiement agréés par l’ACPR (Autorité de Contrôle Prudentiel et de Résolution)
  • Les émetteurs de monnaie électronique
  • Les prestataires tiers, dits TPP (Third Party Providers), agréés comme AISP (Account Information Service Provider) ou PISP (Payment Initiation Service Provider)

En pratique, une banque régionale avec 50 à 300 collaborateurs est soumise aux mêmes exigences fondamentales qu’un grand groupe. La taille de l’établissement n’allège pas les obligations, même si les modalités de mise en œuvre peuvent varier.

Les trois piliers de la directive

La PSD2 repose sur trois axes structurants, chacun portant des implications techniques et organisationnelles distinctes [3] :

  • La sécurité des paiements : obligation d’implémenter l’authentification forte du client (SCA, Strong Customer Authentication), définie par les normes techniques de réglementation (RTS) publiées par l’EBA (Autorité Bancaire Européenne)
  • L’ouverture des données : obligation de fournir des interfaces de programmation (API) sécurisées aux tiers agréés, dans le cadre de l’open banking
  • La protection des consommateurs : transparence tarifaire, droits de remboursement renforcés, responsabilité limitée en cas de fraude

Selon la Banque de France, la directive vise à « stimuler la concurrence et l’innovation tout en renforçant la sécurité des paiements » [1]. Ce double objectif crée une tension réelle pour les établissements : ouvrir leurs données tout en les protégeant.

Pro Tip : Avant de lancer un chantier de mise en conformité, cartographiez précisément les flux de paiement de votre établissement. Tous ne sont pas soumis aux mêmes obligations SCA — certaines transactions bénéficient d’exemptions (paiements récurrents, montants faibles, bénéficiaires de confiance). Identifier ces cas dès le départ évite une surconformité coûteuse.

Comment fonctionne la PSD2 : mécanismes et obligations concrètes

La PSD2 fonctionne en imposant des normes techniques précises, publiées par l’EBA sous forme de RTS (Regulatory Technical Standards), que les banques doivent implémenter dans leurs systèmes opérationnels.

L’authentification forte du client (SCA)

La SCA est l’obligation la plus visible de la PSD2 pour les clients finaux. Elle exige que toute transaction électronique soit validée par au moins deux des trois facteurs suivants [4] : When considering conformité PSD2 banques, this point stands out.

  1. Connaissance : quelque chose que l’utilisateur connaît (mot de passe, code PIN)
  2. Possession : quelque chose que l’utilisateur possède (téléphone mobile, token physique)
  3. Inhérence : quelque chose que l’utilisateur est (empreinte digitale, reconnaissance faciale)
Je recherche une financement

Ces facteurs doivent être indépendants : la compromission de l’un ne doit pas compromettre les autres. En pratique, la majorité des banques françaises ont déployé des solutions de type OTP (One-Time Password) envoyé par SMS, combiné à un mot de passe. Toutefois, les analystes du secteur soulignent que cette approche est progressivement remplacée par des applications mobiles d’authentification plus robustes [5].

Des exemptions à la SCA existent et sont encadrées par les RTS. Parmi les plus utilisées :

  • Transactions de faible montant (moins de 30 euros, avec des plafonds cumulatifs)
  • Paiements récurrents d’un même montant vers un même bénéficiaire
  • Bénéficiaires de confiance inscrits par le client
  • Analyse de risque transactionnel (TRA, Transaction Risk Analysis) pour les transactions jugées à faible risque

Les API d’open banking et l’accès aux données

La PSD2 oblige les banques à ouvrir des interfaces dédiées aux TPP agréés. Ces interfaces, généralement des API REST (interfaces de programmation applicative suivant l’architecture REST), permettent à des tiers d’accéder aux données de compte (AISP) ou d’initier des virements (PISP) avec le consentement explicite du titulaire [3].

La Commission européenne a précisé que « les banques devront mettre en place un canal de communication qui permette aux PSP d’accéder de manière conforme à la PSD2 aux données dont ils ont besoin » [3]. Ce canal doit être disponible 24h/24, documenté, testé et accompagné d’un environnement sandbox pour les développeurs tiers.

Type de TPP Acronyme Fonction principale Obligation pour la banque
Agrégateur de comptes AISP Accès en lecture aux données de compte Fournir une API de consultation sécurisée
Initiateur de paiement PISP Initiation de virements au nom du client Permettre l’initiation de paiements via API
Émetteur de carte CISP Confirmation de disponibilité des fonds Répondre aux requêtes de confirmation de solde

Selon les analyses de Varonis, « la DSP2 vise à stimuler l’innovation dans le domaine de la banque numérique tout en renforçant la sécurité et les droits des consommateurs » [5]. Cette double ambition explique pourquoi la conformité technique seule ne suffit pas : il faut aussi adapter les processus client et les politiques de consentement. For those exploring conformité PSD2 banques, this matters.

Bénéfices de la conformité PSD2 banques en 2026

La conformité PSD2 banques génère des avantages concrets au-delà de la simple obligation réglementaire : elle renforce la confiance des clients, réduit l’exposition à la fraude et ouvre de nouveaux modèles de revenus.

Infographie des bénéfices de la conformité PSD2 banques : réduction de la fraude, open banking et confiance client

Réduction de la fraude et sécurisation des transactions

L’impact de la SCA sur la fraude aux paiements en ligne est documenté. Depuis son déploiement généralisé, les établissements qui ont correctement implémenté l’authentification forte rapportent une baisse significative des transactions frauduleuses [4]. La logique est simple : un fraudeur qui dispose du numéro de carte d’un client ne peut pas valider la transaction sans accéder à son téléphone ou à ses données biométriques.

Les bénéfices opérationnels de la conformité incluent :

  • Réduction des litiges liés à la fraude et des coûts de gestion associés
  • Diminution des rétrofacturations (chargebacks) pour les banques émettrices
  • Amélioration du taux d’acceptation des transactions légitimes grâce aux exemptions bien calibrées
  • Renforcement de la réputation de l’établissement auprès des clients et des régulateurs

Opportunités commerciales liées à l’open banking

La PSD2 n’est pas qu’une contrainte. Pour les banques qui l’abordent avec une vision stratégique, elle constitue un levier commercial réel. En exposant des API conformes, un établissement peut :

  • Proposer ses propres services d’agrégation de comptes multi-banques à ses clients
  • Développer des partenariats avec des fintechs pour enrichir son offre sans développement interne lourd
  • Accéder à des données de comportement financier plus riches pour affiner le scoring crédit ou les offres commerciales
  • Se positionner comme banque de référence dans l’écosystème open banking régional

Selon les analyses de Fabrick, « la norme PSD2 a favorisé la naissance de l’open banking, en transformant le monde des paiements et de la gestion de l’argent » [6]. Les banques régionales qui ont investi dans des API de qualité constatent que ces interfaces deviennent progressivement des actifs stratégiques.

Le rapport du BIS (Bank for International Settlements) souligne que « les technologies innovantes peuvent aider les établissements financiers à respecter les exigences réglementaires et à poursuivre leurs objectifs » [7]. En d’autres termes, la conformité bien exécutée devient un avantage concurrentiel. This directly impacts conformité PSD2 banques outcomes.

Pro Tip : Traitez votre API PSD2 comme un produit, pas comme un simple canal de conformité. Documentez-la soigneusement, proposez un environnement sandbox aux développeurs partenaires et mesurez son taux d’utilisation. Les banques qui adoptent cette posture génèrent des partenariats fintechs plus rapidement que celles qui se contentent du minimum réglementaire.

Défis et erreurs fréquentes dans la mise en conformité PSD2

La mise en conformité PSD2 concentre plusieurs difficultés techniques et organisationnelles que les établissements sous-estiment régulièrement, en particulier ceux qui ne disposent pas d’une DSI interne structurée.

Les obstacles techniques les plus fréquents

En pratique, les chantiers de conformité PSD2 butent souvent sur les mêmes problèmes :

  • Systèmes legacy incompatibles : les cœurs bancaires anciens (parfois datant des années 1990) ne supportent pas nativement les protocoles d’authentification modernes ni les architectures API. Adapter ces systèmes sans les remplacer intégralement est un exercice délicat.
  • Gestion des exemptions SCA : calibrer correctement les seuils d’analyse de risque transactionnel (TRA) pour maximiser les exemptions légitimes sans exposer l’établissement à des fraudes supplémentaires demande une expertise fine.
  • Disponibilité et performance des API : la réglementation exige que les interfaces dédiées aux TPP soient disponibles avec un niveau de service équivalent aux canaux client. Un taux de disponibilité insuffisant expose la banque à des sanctions.
  • Gestion du consentement client : les flux de consentement pour les accès AISP doivent être clairs, traçables et révocables à tout moment, ce qui implique des développements front-end et back-end spécifiques.
Je recherche une financement

Une erreur courante consiste à traiter la conformité PSD2 comme un projet ponctuel avec une date de fin. En réalité, c’est un processus continu : les RTS évoluent, les menaces de fraude se transforment, et la transition vers la PSD3 implique de nouveaux ajustements dès 2026 [8].

Les erreurs organisationnelles à éviter

Au-delà des aspects techniques, les défis organisationnels sont souvent sous-estimés :

  • Silotage entre équipes : la conformité PSD2 touche la DSI, la conformité réglementaire, le marketing (parcours client) et les opérations. Un projet géré uniquement par les équipes IT sans implication des métiers produit des solutions techniquement conformes mais peu utilisables.
  • Formation insuffisante des équipes front : les conseillers clientèle doivent comprendre les nouvelles règles d’authentification pour répondre aux questions des clients. Une formation insuffisante génère de la friction et des réclamations inutiles.
  • Sous-estimation des délais de test : les environnements sandbox requis par la PSD2 nécessitent des cycles de test longs avec les partenaires TPP. Les projets qui minimisent cette phase accumulent des retards.

Pideeco, cabinet spécialisé en conformité financière, note que « la directive PSD2 exige une authentification forte des consommateurs pour les paiements électroniques, ce qui nécessite des investissements significatifs » [9]. Ces investissements sont d’autant plus élevés que la banque a tardé à initier sa transformation. This is particularly relevant for conformité PSD2 banques.

Bonnes pratiques pour la conformité PSD2 en 2026

Réussir sa conformité PSD2 en 2026 suppose d’adopter une approche structurée, combinant gouvernance claire, choix technologiques adaptés et anticipation de la PSD3.

Structurer le programme de conformité

Les établissements qui gèrent le mieux leur conformité PSD2 suivent généralement une démarche en quatre étapes :

  1. Cartographie des flux de paiement : identifier tous les flux entrants et sortants, les canaux (web, mobile, agence) et les cas d’usage soumis à la SCA ou bénéficiant d’exemptions.
  2. Évaluation des écarts (gap analysis) : comparer l’état actuel des systèmes et processus aux exigences des RTS EBA, en priorisant les non-conformités à risque élevé.
  3. Planification des chantiers techniques : définir une feuille de route réaliste, avec des jalons mesurables, en tenant compte des contraintes des systèmes legacy et des ressources disponibles.
  4. Mise en place d’un dispositif de surveillance continue : monitorer les taux de fraude, les performances des API, les taux d’exemption et les évolutions réglementaires pour ajuster en permanence.

Notre équipe chez Keria.tech a observé, dans le cadre de projets avec des banques régionales, que la phase de cartographie est systématiquement sous-estimée. Pourtant, c’est elle qui conditionne la qualité de tout ce qui suit.

Anticiper la transition vers la PSD3

La PSD3 et le règlement PSR (Payment Services Regulation) sont en cours de finalisation au niveau européen. Comme le souligne Mollie dans son guide complet, « pour rester en conformité sans avoir à vous soucier d’une licence bancaire, vous devrez faire appel à un partenaire réglementé » [8]. Les changements attendus incluent :

  • Renforcement des règles de responsabilité en cas de fraude à l’identité (spoofing)
  • Harmonisation accrue des standards d’API entre États membres
  • Extension du périmètre à de nouveaux types de paiements (portefeuilles numériques, paiements instantanés)
  • Exigences renforcées en matière de résilience opérationnelle, en cohérence avec le règlement DORA

Les banques qui ont structuré leur conformité PSD2 avec une architecture modulaire sont mieux positionnées pour absorber ces évolutions sans refonte complète. C’est précisément ce que permettent les plateformes développées sur mesure : adapter un module sans toucher à l’ensemble du système. When considering conformité PSD2 banques, this point stands out.

Pro Tip : Intégrez dès maintenant les exigences DORA (Digital Operational Resilience Act, applicable depuis janvier 2025) dans votre programme de conformité PSD2. Les deux cadres partagent des exigences communes sur la résilience des systèmes et la gestion des tiers. Traiter ces chantiers conjointement évite des redondances coûteuses et simplifie les audits réglementaires.

La conformité PSD2 banques n’est pas un projet isolé. Elle s’inscrit dans un continuum réglementaire qui inclut DORA, le RGPD, les exigences KYC/AML et demain la PSD3. Les établissements qui adoptent une vision intégrée de leur programme de conformité réduisent les coûts globaux et gagnent en agilité face aux évolutions réglementaires futures [7].

Website screenshot
Feuille de route réglementaire PSD2 vers PSD3 pour la conformité PSD2 banques européennes

Sources et références

  1. Banque de France, « 2ème Directive sur les services de paiement », 2018
  2. Entrust, « Tout savoir sur le règlement PSD2 et comment vous y conformer », 2024
  3. Commission européenne, « DSP2 : Normes techniques de réglementation permettant aux PSP d’accéder aux données », 2017
  4. France Num, « Paiements en ligne : l’authentification forte DSP2 pour sécuriser vos transactions », 2023
  5. Varonis, « En quoi consiste la conformité à la DSP2 et qu’implique-t-elle pour les entreprises ? », 2023
  6. Fabrick, « PSD2 : définition et son importance pour les entreprises », 2024
  7. BIS / BCBS, « Implications des évolutions de la technologie financière pour les banques et les superviseurs bancaires », 2018
  8. Mollie, « Le guide complet sur la PSD3 et la PSR », 2024
  9. Pideeco, « Directive sur les services de paiement PSD2 – Crime financier », 2024
  10. Signicat, « Comment la PSD2 affecte le secteur financier », 2024

Questions fréquentes sur la conformité PSD2 banques

1. Qu’est-ce que la conformité PSD2 banques exactement ?

La conformité PSD2 banques désigne l’ensemble des obligations qu’un établissement de crédit doit respecter au titre de la Deuxième Directive Européenne sur les Services de Paiement (2015/2366). Cela inclut l’implémentation de l’authentification forte du client (SCA), l’ouverture d’API sécurisées aux tiers agréés et le renforcement de la protection des consommateurs. En France, le respect de ces obligations est supervisé par l’ACPR.

2. Quelles banques sont concernées par la PSD2 ?

Toutes les banques et tous les prestataires de services de paiement opérant dans l’Union européenne sont concernés, quelle que soit leur taille. Cela inclut les banques de détail, les banques régionales et mutualistes, les établissements de paiement agréés et les émetteurs de monnaie électronique. La taille de l’établissement n’allège pas les obligations fondamentales, même si les modalités de mise en œuvre peuvent s’adapter au contexte opérationnel.

3. Quelles sont les sanctions en cas de non-conformité PSD2 ?

Les sanctions varient selon les États membres, mais en France, l’ACPR peut prononcer des avertissements, des blâmes, des interdictions d’exercice temporaires ou permanentes, et des sanctions pécuniaires pouvant atteindre 10% du chiffre d’affaires annuel. Au-delà des sanctions réglementaires, une non-conformité expose l’établissement à des risques opérationnels (fraude non couverte) et à des atteintes réputationnelles significatives.

4. La SCA s’applique-t-elle à toutes les transactions ?

Non. Les normes techniques de réglementation (RTS) de l’EBA prévoient plusieurs exemptions à la SCA. Les transactions de faible montant (moins de 30 euros, avec un plafond cumulatif de 100 euros ou 5 transactions consécutives), les paiements récurrents d’un même montant, les virements vers des bénéficiaires de confiance et les transactions jugées à faible risque via l’analyse TRA peuvent bénéficier d’une exemption. La gestion fine de ces exemptions est un levier important pour réduire la friction client.

5. Quelle est la différence entre PSD2 et PSD3 ?

La PSD3, dont la finalisation est attendue courant 2026-2027, vise à corriger les limites de la PSD2 et à mieux encadrer les nouvelles réalités du marché. Elle renforce la responsabilité des banques en cas de fraude à l’identité (notamment le spoofing téléphonique), harmonise davantage les standards API entre pays membres et étend le périmètre aux portefeuilles numériques et aux paiements instantanés. Les banques conformes PSD2 avec une architecture modulaire sont mieux positionnées pour absorber cette transition.

6. Comment les API open banking doivent-elles être mises en œuvre ?

Les API PSD2 doivent permettre aux AISP et PISP agréés d’accéder aux données de compte et d’initier des paiements avec le consentement du client. Elles doivent être disponibles 24h/24, documentées, testables via un environnement sandbox et performantes à un niveau équivalent aux canaux client existants. Les standards les plus utilisés en Europe sont Berlin Group NextGenPSD2 et STET (en France), qui définissent les formats d’échange et les protocoles d’authentification. For those exploring conformité PSD2 banques, this matters.

7. Combien coûte une mise en conformité PSD2 pour une banque régionale ?

Le coût dépend fortement de l’état des systèmes existants et du périmètre à couvrir. Pour une banque régionale avec des systèmes legacy, les estimations sectorielles varient entre 500 000 et plusieurs millions d’euros pour une mise en conformité complète. Les établissements qui optent pour des solutions sur mesure adaptées à leur architecture existante réduisent significativement ces coûts par rapport à des déploiements de plateformes génériques qui nécessitent de lourdes adaptations.

8. La conformité PSD2 est-elle liée au RGPD ?

Oui, les deux réglementations se croisent sur plusieurs points, notamment sur la gestion du consentement et la protection des données personnelles. Les accès AISP reposent sur un consentement explicite du client, qui doit être géré conformément aux exigences du RGPD (traçabilité, révocabilité, durée limitée). Une banque qui gère mal ces consentements s’expose à des risques de double non-conformité, à la fois PSD2 et RGPD.

Conclusion

La conformité PSD2 banques est un chantier structurant, pas un simple exercice réglementaire. Elle touche les systèmes d’information, les parcours client, les processus internes et la stratégie commerciale. Les établissements qui l’abordent avec rigueur et vision stratégique en tirent des bénéfices concrets : réduction de la fraude, nouvelles opportunités commerciales via l’open banking et meilleure résilience face aux évolutions réglementaires à venir.

En 2026, la pression réglementaire s’intensifie avec la transition vers la PSD3 et les exigences DORA. Les banques qui ont investi dans des architectures modulaires et des outils adaptés à leurs contraintes spécifiques sont celles qui absorbent ces évolutions avec le moins de friction.

Chez Keria.tech, nous développons des plateformes technologiques sur mesure pour les banques régionales et les acteurs du secteur financier, en intégrant les contraintes réglementaires dès la conception. Chaque solution est calibrée sur vos workflows réels, pas sur un produit générique que vous devrez plier à vos besoins. Si votre établissement fait face à un chantier de conformité PSD2 ou prépare la transition vers la PSD3, notre équipe est disponible pour analyser votre situation et définir une feuille de route réaliste.

About the Author

Cet article a été rédigé par l’équipe technique et réglementaire de Keria.tech, forte de plusieurs années d’expérience dans le développement de solutions numériques sur mesure pour les banques, agences immobilières, promoteurs et notaires. Notre approche combine expertise technique approfondie et compréhension des enjeux métier pour délivrer des résultats concrets et mesurables, adaptés aux contraintes réglementaires spécifiques de chaque secteur.

Articles recommandés

Découvrez d’autres articles :