PSD3 banque privée Luxembourg : impacts sur les services de paiement

Au 22 juin 2026, le paquet européen repose sur le projet de directive sur les services de paiement et les services de monnaie électronique (la « PSD3 ») et le projet de règlement sur les services de paiement (le « PSR »), dans leur version de compromis final. Le droit applicable au Luxembourg reste la loi modifiée du 10 novembre 2009 relative aux services de paiement, à l’activité d’établissement de monnaie électronique et au caractère définitif du règlement dans les systèmes de paiement et les systèmes de règlement des opérations sur titres (la « Loi de 2009 sur les Services de Paiement »).

À retenir : pour une banque privée, l’impact principal ne vient pas seulement de PSD3, mais surtout du futur PSR, qui concentre les règles de conduite, de transparence, de fraude et d’accès aux comptes.

La PSD3 traite surtout l’agrément, la surveillance et le cadre prudentiel des établissements de paiement et de monnaie électronique. Le PSR porte les changements opérationnels les plus visibles : information des utilisateurs, droits et obligations, transparence des frais, lutte contre la fraude, accès aux comptes et open banking. Pour une banque privée, les conséquences pratiques peuvent concerner plusieurs points du parcours client. Les conditions générales relatives aux comptes et aux services de paiement devront être revues afin de vérifier que les informations précontractuelles, les frais, les délais d’exécution et les droits des utilisateurs restent conformes aux nouvelles exigences. Les interfaces digitales et les applications bancaires pourraient également nécessiter des adaptations pour afficher certaines informations de manière plus claire ou pour intégrer de nouveaux contrôles liés à la prévention de la fraude. Les équipes opérationnelles devront examiner les procédures de traitement des paiements, des réclamations et des incidents de sécurité, tandis que les fonctions conformité et juridique devront suivre l’évolution des règles applicables à l’accès aux comptes par des prestataires tiers. Pour une banque privée, le sujet est donc moins institutionnel que documentaire, digital, opérationnel et organisationnel.

Trois contrôles s’imposent.

Premier contrôle : cartographier les services de paiement réellement fournis. Comptes espèces, cartes, virements, accès aux informations de compte et parcours digitaux doivent être reliés aux obligations actuelles de la Loi de 2009 sur les Services de Paiement.

Deuxième contrôle : isoler les changements probables sur la fraude. Le paquet PSD3 / PSR renforce plusieurs mécanismes de prévention et de détection. Les sujets à suivre incluent notamment le partage d’informations liées à la fraude entre prestataires, la vérification de cohérence entre le nom du bénéficiaire et l’IBAN, le traitement des fraudes par usurpation de l’identité du prestataire de services de paiement (« spoofing »), ainsi que certains ajustements des règles de responsabilité et de remboursement. Pour une banque privée, ces évolutions peuvent avoir des conséquences sur les contrôles internes, les parcours de validation des paiements et l’information fournie aux clients.

Troisième contrôle : revoir les frais, les taux de change, les libellés visibles par le client et les accès open banking. À ce stade, il est généralement préférable de ne pas rédiger immédiatement une nouvelle clause contractuelle définitive, car les textes européens ne sont pas encore pleinement finalisés et transposés. Il est plus utile de préparer un document interne recensant les différences (« registre d’écarts ») entre les exigences actuelles de la Loi de 2009 sur les Services de Paiement, les contrats actuellement utilisés par la banque et les changements susceptibles de résulter du futur paquet PSD3 / PSR. Ce travail permet d’identifier à l’avance les adaptations qui pourraient être nécessaires lorsque les nouvelles règles entreront effectivement en vigueur.

Connectez-vous avec Bertrand Mariaux sur LinkedIn. Vous pouvez écouter le podcast associé sur ApplePodcast, Spotify, YouTube ou sur votre plateforme d’écoute préférée.

Références :

• Conseil de l’Union européenne, communiqué du 27 novembre 2025, Payment services: Council and Parliament agree to step up the fight against fraud and increase transparency (https://www.consilium.europa.eu/en/press/press-releases/2025/11/27/payment-services-council-and-parliament-agree-to-step-up-the-fight-against-fraud-and-increase-transparency/)

• Conseil de l’Union européenne, document ST 8220/26, Confirmation of the final compromise text with a view to agreement (https://data.consilium.europa.eu/doc/document/ST-8220-2026-INIT/en/pdf)

• Conseil de l’Union européenne, document ST 8222/26, projet de directive PSD3 (https://data.consilium.europa.eu/doc/document/ST-8222-2026-INIT/en/pdf)

• Conseil de l’Union européenne, document ST 8221/26, projet de règlement PSR (https://data.consilium.europa.eu/doc/document/ST-8221-2026-INIT/en/pdf)

• Legilux, version consolidée de la loi modifiée du 10 novembre 2009 relative aux services de paiement (https://legilux.public.lu/eli/etat/leg/loi/2009/11/10/n1/consolide/20250411)