Ce projet de loi vise à transposer partiellement la directive 2015/2366/UE concernant les services de paiement dans le marché intérieur (« PSD 2 »).
Pour rappel, cette directive a notamment pour objectif de renforcer la concurrence ainsi que l’innovation en tenant compte de l’évolution du marché des services de paiement tout en offrant aux consommateurs un niveau élevé de protection dans l’utilisation de ces services dans l’ensemble de l’Union.
Le volet prudentiel de la directive ayant d’ores et déjà été transposé en droit belge par une loi du 11 mars 2018, il s’agit désormais du volet protection des consommateurs auquel le gouvernement s’est attelé par le dépôt de ce projet de loi.
A cet effet, le Code de droit économique et en particulier le livre VII dudit Code ont été revus.
Les principales modifications apportées sont détaillées ci-dessous selon qu’elles concernent le devoir d’information et de transparence, les responsabilités et enfin, la protection des données à caractère personnel.
*
1. Devoir d’information et de transparence du service
Le projet de loi prévoit d’imposer aux prestataires de services d’initiation de paiement l’obligation de communiquer différentes informations concernant des intermédiaires et représentants éventuels ainsi qu’au sujet des autorités de contrôle compétentes.
Différentes informations devront encore être communiquées après l’initiation ou la réception d’un ordre de paiement et après l’exécution de la transaction. Ces informations consistent principalement en la confirmation de la réussite de l’initiation de l’ordre de paiement, une référence permettant au payeur d’identifier l’opération de paiement, le montant de l’opération et enfin, le montant des frais éventuels payables au prestataire de services d’initiation de paiement.
Il sera de surcroît interdit au bénéficiaire de demander au payeur de payer des frais au commerçant pour l’utilisation de tout instrument de paiement. Il ne sera donc plus possible de facturer des frais aux consommateurs pour toutes les transactions effectuées par carte de débit et de crédit. Cette interdiction vaudra également pour les achats à distance.
Les obligations d’information pourront être allégées pour les opérations de faible valeur.
Il doit en dernier lieu être noté que des règles relatives à la manière dont les prestataires de services d’initiation de paiement peuvent avoir accès au compte de paiement auprès du prestataire de services de paiement gestionnaire du compte devront être établies afin de renforcer la transparence du service.
2. Responsabilité
La responsabilité des risques est principalement mise à charge des opérateurs y compris les initiateurs de paiement et les agrégateurs de compte.
En ce qui concerne l’autorisation de l’opération, cette dernière ne sera réputée autorisée que si le payeur a donné son consentement à son exécution au prestataire de services de paiement. Ce consentement peut être accordé par l’intermédiaire du bénéficiaire ou du prestataire de services d’initiation de paiement. Il peut également être retiré de manière à annuler l’ordre de paiement jusqu’au moment où celui-ci est devenu irrévocable.
La correction d’une opération de paiement non autorisée ou mal exécutée ne sera obtenue par l’utilisateur de services de paiement par le prestataire de services que si l’utilisateur de services en informe sans délai le prestataire de services de paiement au moment où il constate une telle opération donnant lieu à une réclamation. Il s’agit du prestataire de services de paiement gestionnaire du compte qui procédera aux corrections à la demande de l’utilisateur.
Le prestataire de services de paiement du payeur devra ainsi rembourser immédiatement au payeur le montant de l’opération non autorisée et ce, au plus tard à la fin du premier jour ouvrable suivant sauf si le prestataire a de bonnes raisons de soupçonner une fraude et qu’il communique ces raisons par écrit au SPF Economie.
En pratique, cette obligation sera très difficile à exécuter pour les prestataires…
En ce qui concerne la charge de la preuve, il incombera à l’intermédiaire d’un prestataire de services d’initiation de paiement de prouver que l’opération a été correctement authentifiée et enregistrée en cas de contestation d’une opération de paiement qu’il aurait initiée.
Qui plus est, dans l’hypothèse d’une perte ou d’un vol, le payeur supportera les pertes liées à toute opération de paiement non autorisée consécutive à l’utilisation de l’instrument de paiement à concurrence d’un montant de 50,00 EUR au lieu de 150,00 EUR auparavant. Dans certains cas, le payeur ne supportera aucune perte. A contrario, le payeur supportera toutes les pertes qui résulteraient d’un agissement frauduleux de sa part ou du fait qu’il n’ait pas satisfait, intentionnellement ou à la suite d’une négligence grave, à des obligations qui lui incombaient.
Enfin, des procédures appropriées et élaborées devront être misent en place en cas de plaintes des utilisateurs de services de paiement. Le prestataire de services de paiement devra de cette manière mettre en œuvre les moyens nécessaires à répondre à tous les points soulevés dans la plainte dans les quinze jours ouvrables suivant la réception de la réclamation avec une possibilité de délai complémentaire.
3. Protection des données à caractère personnel
Le livre VII prévoira au demeurant que la communication aux personnes d’informations sur le traitement des données à caractère personnel et le traitement de ces données devront être effectués conformément à la loi relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel ainsi qu’au Règlement relatif à la protection des données (« RGPD »).
En outre, les prestataires de services de paiement n’auront accès qu’aux données à caractère personnel nécessaires à l’exécution de leurs services de paiement (conformément au principe de minimisation des données dudit Règlement) et ne les traiteront et conserveront qu’avec le consentement explicite de l’utilisateur du service.