Le 24 avril 2024, le Parlement européen s’est prononcé sur une série d’amendements à apporter à la proposition de Règlement concernant les services de paiement dans le marché intérieur[1] (Payment Services Regulation ou « PSR »), dont l’un des objectifs consiste à renforcer davantage la prévention de la fraude en matière de paiements.

Les règles actuelles issues du Code de droit économique[2] prévoient de façon générale qu’en cas d’opérations de paiement non autorisées, le prestataire de services de paiement (« PSP ») doit rembourser le payeur[3], sauf en cas de négligence grave ou de fraude dans le chef du payeur[4]. En l’absence de définition légale, la notion de négligence grave est laissée à l’appréciation des cours et tribunaux[5].

L’un des objectifs clefs du PSR consiste à renforcer la protection des consommateurs face aux nouvelles formes de fraudes plus sophistiquées, telles que les cas d’usurpation d’identité (spoofing) et d’ingénierie sociale.

Le PSR reprendrait, d’une part, largement le régime de responsabilité actuel. Le Parlement européen propose toutefois de rajouter de nouveaux exemples de « négligence grave », à savoir notamment (i) effectuer un paiement sans pouvoir confirmer légitimement l’identité du bénéficiaire ou (ii) demander à sa banque, sur les conseils d’une personne tierce et inconnue, de débloquer son compte bancaire à la suite d’une alerte pour fraude[6]. En outre, le Parlement européen suggère de mandater l’Autorité Bancaire Européenne afin de préparer des lignes directrices visant à interpréter la notion de négligence grave[7].

D’autre part, le PSR introduirait de nouveaux régimes de responsabilité :

• Responsabilité en cas d’application incorrecte du service de vérification de la concordance. Le PSR introduirait une nouvelle obligation pour les PSP de vérifier la concordance entre l’identifiant unique et le nom du bénéficiaire fournis par le payeur[8]. Au cas où le PSP du payeur omettrait de notifier l’existence d’une divergence, il engagerait sa responsabilité et serait tenu de rembourser le payeur[9]. Toutefois, aucune responsabilité du PSP ne serait engagée au cas où le payeur aurait agi de manière frauduleuse ou s’il a renoncé à ce service[10].

• Responsabilité en cas d’usurpation d’identité (spoofing). Sous le PSR, le PSP serait tenu de rembourser le consommateur au cas où ce dernier aurait été manipulé par un tiers prétendant être un employé de son PSP afin de procéder à des opérations de paiement autorisées de façon frauduleuse[11]. Le Parlement européen suggère d’étendre l’application de cette règle aux cas où le fraudeur se ferait également passer pour l’employé d’autres entités, comme par exemple une entité gouvernementale ou une banque centrale. Comme en cas de phishing, ce régime de responsabilité ne serait pas applicable en cas de fraude ou de négligence grave. Le Parlement européen propose également d’exclure toute responsabilité du PSP lorsque le consommateur refuserait de prêter son concours à l’enquête du PSP ou de fournir les informations pertinentes.

Par ce vote, le Parlement européen clôture sa première lecture du PSR. Les travaux législatifs se poursuivront après les élections européennes de juin 2024 avec le début des trilogues.

[1] Proposition de Règlement du Parlement européen et du Conseil concernant les services de paiement dans le marché intérieur et modifiant le règlement (UE) nº 1093/2010, 28 juin 2023, COM(2023) 367 final, 2023/0210(COD).

[2] Les articles VII.43 à VII.45 du Code de droit économique transposent en droit belge les articles 73 et 74 de la Directive 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, J.O.U.E., L 337/35, 23 décembre 2015 (PSD II).

[3] Article VII.43, §1^er du CDE. Toutefois, l’article VII.44, §1er, alinéa 1^er prévoit que le payeur doit supporter, jusqu’à la notification faite à son PSP, les pertes liées à l’opération de paiement non autorisées à concurrence d’un montant de 50 euros. Cette règle est elle-même soumise à certaines exceptions visées à l’alinéa 2 de ce même article.

[4] Article VII.44, §1er, alinéa 4 du CDE.

[5] Le considérant 72 de PSD II prévoit toutefois que la négligence grave devrait impliquer plus que de la simple négligence et comporter un défaut de vigilance caractérisé.

[6] Considérant 82 du PSR.

[7]  Article 59, §5c et considérant 82a du PSR.

[8] Article 50, §1 du PSR.

[9] Article 57, §1 du PSR.

[10] Article 57, §5 du PSR.

[11] Article 59 du PSR.