La troisième directive sur les services de paiement (PSD3) est imminente – et elle ne constituera pas une simple mise à jour routinière. Ce qui a commencé en 2018 avec la PSD2 comme tremplin vers l’open banking devient désormais un programme de modernisation à grande échelle, tant sur le plan règlementaire qu’opérationnel. L’UE relève nettement le niveau d’exigence en matière d’open banking, de protection des consommateurs et de prévention de la fraude. En interaction avec la nouvelle règlementation sur les services de paiement (PSR), il en résulte un cadre normatif visant à rendre les paiements non seulement plus sûrs, mais aussi plus numériques, plus transparents et plus compétitifs.
Qu’est-ce qui change ?
La PSD3 introduira vraisemblablement, à partir de la mi-2027, des exigences plus strictes en matière d’autorisation et de reporting, ainsi qu’un régime de licence harmonisé pour les établissements de paiement et de monnaie électronique. L’actuelle directive sur la monnaie électronique sera remplacée. La PSR rend les interfaces techniques plus contraignantes, harmonise les standards de sécurité (notamment en matière d’authentification forte du client) et facilite l’exercice des droits d’accès aux données de compte.
Pour les intermédiaires financiers, cela signifie que les modèles établis sont remis en question. Les interfaces doivent devenir plus ouvertes, les processus plus agiles et l’authentification des clients plus robuste. Les priorités règlementaires portent sur un renforcement de la surveillance, des standards IT convergents et une interopérabilité fluide des données. Ce qui peut sembler purement technique affecte en réalité en profondeur les modèles d’affaires et les architectures de conformité.
Implications opérationnelles
Concrètement, ces évolutions exigent des adaptations majeures des systèmes IT et des processus opérationnels.
- Intégration des systèmes : les systèmes de paiement et de données clients doivent être davantage intègres afin de satisfaire automatiquement aux nouvelles obligations de reporting.
- Authentification des clients : l’adaptation des parcours d’authentification est techniquement complexe et concerne souvent les front-ends, les applications mobiles et les interfaces avec des prestataires tiers.
- Gestion des API : des API uniformes et robustes ne constituent plus un avantage concurrentiel, mais une obligation règlementaire, avec des implications en termes de gouvernance, de tests et de monitoring.
- Reporting de conformité : une qualité de données élevée et des capacités en temps réel deviennent indispensables. Les processus de détection et de correction des erreurs doivent être automatisés et permettre un accès transversal entre les fonctions métier et l’IT.
- Risques lies aux systèmes legacy : les systèmes existants ne peuvent souvent pas être adaptés aux nouveaux standards de sécurité sans interventions profondes, en particulier lorsque les interfaces se sont développées de manière historique.
Calendrier
Le 27 novembre 2025, le Parlement européen et le Conseil de l’UE sont parvenus à un accord politique, ouvrant ainsi la voie à l’adoption formelle du Payment Services Package. Cet acte formel est attendu au cours du premier semestre 2026. Les grandes lignes du paquet étant déjà connues, les intermédiaires financiers peuvent utiliser ce délai pour lancer des projets de transformation appropriés.
La préparation à la PSD3 constitue un véritable test de résistance opérationnelle. Elle exige une coopération interdisciplinaire entre les équipes de conformité, d’IT et de produits, ainsi qu’une conception end-to-end des processus. Les entreprises doivent donc débuter la mise en œuvre au plus tard en 2026 afin de finaliser les phases de test et d’audit dans les délais.
Ceux qui lancent tôt des analyses d’écarts et des simulations de processus ne se contentent pas d’assurer la conformité règlementaire, mais se dotent également d’un avantage en matière d’innovation. En effet, la PSD3 ouvre des perspectives, notamment en termes de nouvelles stratégies API, de services à valeur ajoutée bases sur les données et d’expériences clients plus intégrés.
Conclusion
La PSD3 et la PSR marquent une évolution majeure du paysage européen des paiements et imposent des exigences élevées en matière de capacite opérationnelle et de planification stratégique pour les établissements financiers. Une préparation précoce et interdisciplinaire facilite le respect des exigences applicables à partir de 2027 et pose simultanément les bases de structures durables, en particulier grâce à des interfaces standardisées, une meilleure interopérabilité des données et des processus de conformité résilients. Le temps restant jusqu’à l’adoption formelle doit être mis à profit afin de réduire les risques réglementaires et de mettre en œuvre de manière ciblée les ajustements opérationnels nécessaires.