C’est donc avec intérêt que les acteurs du secteur ont suivi les progrès du projet de loi appelé à mettre en œuvre la Directive n°2015/2366 du 25 novembre 2015 dite «PSD2». Intérêt doublé d’anxiété au fur et à mesure qu’approchait la date de mise en œuvre exigée par la PSD2, soit le 13 janvier 2018. Non que les autorités luxembourgeoises aient fait preuve de manque d’anticipation: dès les 12 et 24 janvier 2018, la Commission de surveillance du secteur financier luxembourgeoise (CSSF) émettait deux circulaires portant sur l’obtention de deux nouveaux statuts créés justement par la PSD2. Ce n’est pourtant que par une loi du 20 juillet 2018 que le Luxembourg a transposé la PSD2.
La nouvelle loi permet, sous certaines conditions, l’accès à un compte bancaire par des prestataires de services tiers, ni affiliés, ni liés contractuellement à la banque elle-même, introduisant des cas de «third party access». La PSD2 et la loi en font même le modèle technologique et économique de nouveaux prestataires.
Les banques seront affectées par l’arrivée sur le marché des prestataires de services d’initiation de paiement ou d’information sur les comptes de leurs clients. Elles devront concéder cet accès, symboliquement violent vis-à-vis de la relation banque-client. Elles devront repenser leurs modèles juridique et technique pour permettre cet accès en maîtrisant les risques associés. Leur modèle économique devra lui aussi évoluer soit vers une diversification, soit à l’inverse vers un recentrage sur les activités pour lesquelles elles ont un monopole. Il sera crucial d’en maîtriser les conséquences juridiques et la coordination avec le fameux Règlement général sur la protection des données personnelles.
Les nouveaux entrants qui se glissent dans les nouveaux statuts créés par la loi seront avisés de suivre de près la réglementation de leurs activités. Des questions pratiques non encore résolues par la loi ou les RTS ne manqueront pas d’apparaître.
Quant aux acteurs existants, la question s’est posée de savoir si les nouvelles exigences portées par la loi du 20 juillet 2018 nécessiteraient un nouvel agrément de la CSSF; la loi fixait au 13 juillet la date pour convaincre la CSSF de la conformité aux nouvelles règles.
Les utilisateurs voient leurs droits accrus et la sécurité des opérations renforcée. La loi met en œuvre le principe désormais célèbre d’authentification forte ou «strong customer authentication», qui exige l’identification par au moins deux des trois moyens envisageables (knowledge, possession, inherence).
Du point de vue de la technique juridique, enfin, la nouvelle loi conserve l’exclusion des «établissements de paiement» des activités «financières» régies par la loi de 1993 sur le secteur financier et ses règles complexes reflétant les directives MIF et MIF2.