I. Thèmes généraux
Ne dites plus « néobanque » !
L’ACPR est une autorité relativement peu diserte par rapport à d’autres sur le continent européen. Aussi, quand elle sort de sa réserve pour proscrire, vigoureusement, l’usage du terme « néobanque », c’est qu’elle doit avoir une bonne raison en tête (voir « Rappel des règles d’usage du terme “néobanque” », Revue ACPR, avr. 2021).
Parler de « néobanque » à propos d’établissements non bancaires (établissements de paiement, établissements de monnaie électronique, ainsi que leurs agents ou distributeurs) est-il plus condamnable que d’évoquer l’open banking porté par la DSP 2, texte qui n’est pas davantage bancaire ? Sans doute que des affaires récentes font craindre à l’ACPR un risque de confusion.
Mais cette confusion, l’ACPR ne l’entretient-elle pas elle-même lorsque, étudiant le modèle d’affaires (ou, plutôt, l’absence de celui-ci) des néobanques, elle place sur le même plan les initiatives développées tant par des établissements de crédit que par des établissements de paiement ? Quoi qu’il en soit, l’emploi du terme « Fintech » mettrait tout le monde d’accord, à l’image de la Charte pour l’instruction des dossiers d’autorisation « Fintech » que vient de publier l’ACPR.
Cf. « Usage du terme “néobanque” : l’ACPR souffle inutilement le froid », Banque & Droit n° 197, mai-juin 2021, p. 32.
Un texte fondateur codifié
Le droit des paiements prend sa source principale dans les DSP 1 puis 2. Mais il existe, à la périphérie, d’autres textes importants, sous forme de règlements en particulier : le règlement (CE) n° 924/2009 du 16 septembre 2009 concernant les paiements transfrontaliers dans la Communauté, le règlement (UE) n° 260/2021 du 14 mars 2012 établissant des exigences techniques et commerciales pour les virements et les prélèvements en euros et le règlement (UE) 2015/751 du 29 avril 2015 relatif aux commissions d’interchange pour les opérations de paiement liées à une carte.
Lorsque l’un de ces textes, le premier en l’occurrence, est abrogé au profit de sa codification dans un autre, l’information, en soi, fait l’actualité. Aussi faut-il avoir en tête que la matière des paiements transfrontaliers dans l’Union fait désormais l’objet du règlement (UE) 2021/1230 du 14 juillet 2021.
Cf. « Paiements transfrontaliers : le règlement (CE) n° 924/2009 devient le règlement (UE) 2021/1230 » , Revue Banque n° 861, nov. 2021, p. 78.
Les évolutions du contrôle interne
L’hydre du contrôle interne, aux obligations duquel tous les établissements assujettis à la supervision de l’ACPR sont tenus, a connu quelques évolutions notables en 2021, qui méritent que l’on y revienne.
Le texte qui le coiffe, en effet : l’arrêté du 3 novembre 2014 « relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution », s’est vu modifié significativement par deux fois.
C’est d’abord un arrêté du 6 janvier 2021 « relatif au dispositif et au contrôle interne en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme et de gel des avoirs et d'interdiction de mise à disposition ou d'utilisation des fonds ou ressources économiques » qui a rompu l’unité de la réglementation du contrôle interne, en faisant sortir la LCB-FT de l’arrêté du 3 novembre 2014 où elle logeait jusqu’alors.
Cf. « Le contrôle interne en matière de LCB-FT fait dissidence » , Revue Banque n° 853, févr. 2021, p. 81.
À rebours de cette dissidence, le risque informatique a intégré l’arrêté du 3 novembre 2014, dont les article 270-1 à 270-5 nouveaux composent désormais un titre VI bis intitulé « Gestion du risque informatique ».
On doit cette création à un arrêté du 25 février 2021, qui insère notamment cette définition du risque informatique (qui est un risque opérationnel : « risque de perte résultant d’une inadéquation ou d’une défaillance affectant l’organisation, le fonctionnement, le changement ou la sécurité du système d’information » (Arr. 3 nov. 2014, art. 10, as) nouv.). Cyber-risque et cyber-résilience sont les enfants terribles du risque informatique avec lesquels il faudra composer.
Cf. « Le risque informatique fait son entrée dans l’arrêté du 3 novembre 2014 relative au contrôle interne » , Revue Banque n° 855, avr. 2021, p. 87.
II. Moyens de paiement
Droit monétaire de l’Union
Ce fut, assurément, un moment fort de l’année 2021, lorsque la Cour de Justice de l’Union européenne, réunie en grande chambre, rendit son arrêt Hessischer Rundfunk (CJUE, grde ch., 26 janv. 2021, aff. Jointes C-422/19 et C-423-19, concl. M. G. Pitruzzella). C’est qu’il y a exposé, magistralement, le droit monétaire de l’Union ; exposé à partir duquel bien des idées reçues peuvent être combattues. Faut-il vous inviter à aller puiser à la source de ce magistral arrêt ?
Cf. « Précis de droit monétaire de l’Union » , Banque & Droit n° 196, mars-avr. 2021, p. 4.
Crypto-actifs par-ci et par-là
La fin de l’année 2020 fut marquée par le paquet « Finance numérique » avec, en ce qui concerne les paiements, une Communication de la Commission sur une stratégie en matière de paiements de détail pour l’UE (COM (2020) 592 final) et la proposition de règlement MiCA (acronyme de Markets in Crypto-assets), où il était question, mais mal à propos, de monnaie électronique. Comme si la monnaie électronique pouvait servir, grossièrement, de qualification commode, au rabais, à ces monnaies virtuelles dont on n’ose plus dire le nom.
Cf. « La monnaie électronique, angle mort de la qualification des crypto-actifs (à propos du règlement MiCA) » , Banque & Droit n° 195, janv.-févr. 2021, p. 26
La toute fin de l’année 2020 vit encore la publication de l’ordonnance n° 2020-1544 du 9 décembre 2020 renforçant le cadre de la LCB-FT applicable aux actifs numériques. La lecture du Rapport au président de la République accompagnant l’ordonnance nous apprend que celle-ci « vise à mettre en conformité le cadre réglementaire national relatif aux actifs numériques avec les recommandations du Groupe d'Action Financière (GAFI) en matière de lutte contre le blanchiment et le financement du terrorisme (LCB-FT) et à renforcer les mesures de lutte contre l'anonymat dans les transactions en actifs numériques ».
Cf. « La LCB-FT appliquée aux actifs numériques ou le droit “cul par-dessus tête” », Revue Banque n° 851-852, janv. 2021, p. 158.
Du GAFI il en a été encore question dans le paquet européen « LCB- FT » du 20 juillet 2021, dont l’un des volets portait sur une proposition de refonte du règlement (UE) 2015/847 sur les transferts de fonds, afin d’élargir les exigences de traçabilité aux crypto-actifs, par suite de la révision de la recommandation 15 du GAFI.
Voici donc que le considérant 3 de la proposition prévoit que « le règlement (UE) 2015/847 ne s'appliquant actuellement qu’aux transferts de fonds, c’est-à-dire de billets de banque et de pièces, de monnaie scripturale et de monnaie électronique au sens de l’article 2, point 2), de la directive 2009/110/CE, il convient d'en élargir le champ d'application pour qu’il couvre également le transfert d'actifs virtuels ».
Cf. « Paquet européen LCB-FT : les crypto-actifs, des fonds pas comme les autres » , Bulletin Joly Bourse nov. 2021, n° 200i9, p. 12.
Et puis 2021 a vu la Banque centrale européenne (BCE) se livrer à un exercice que l’on eût cru, un temps, de science-fiction : la rédaction d’un rapport sur un euro numérique ! Se profilerait ainsi une nouvelle représentation de « monnaie souveraine », de monnaie de banque centrale, non plus sous la forme unique de pièces et billets (qui demeureraient), mais en forme numérique. Que de chemin parcouru depuis les premières invectives à l’endroit du bitcoin…
Cf. « À propos du Rapport de la BCE sur un euro numérique » , Revue Banque n° 856, mai 2021, p. 84.
III. Services de paiement
Les exclusions du champ d’application de la DSP 2
Assurément, l’arrêt rendu par la chambre commerciale de la Cour de cassation, le 30 juin 2021 (n° 19-21.418 F-B), sera de ceux qui comptent, car il comble un vide, le vide du « en dehors », du « en dehors de la DSP 2 ». La directive compte en effet quinze cas où elle se déclare, expressément, inapplicable alors que, sans cela, elle aurait eu vocation à s’appliquer. Parmi ces différentes hypothèses d’exclusion (souvent appelées, peut-être à tort, exemptions), la plus pratiquée serait sans doute celle de l’article 3, k), de la DSP 2, transposée aux articles L. 521-3 (services de paiement) et L. 525-5 et L. 525-6 du CMF : l’exclusion de réseau ou éventail limité, dont la liste des entreprises bénéficiaires ne cesse de s’étendre ; dont les disparités d’application d’un pays européen à l’autre ont conduit l’Autorité bancaire européenne, qui n’en avait pourtant pas reçu le mandat, à rédiger un projet d’orientations en la matière.
Mais quel droit appliquer à des opérateurs qui, précisément, se placent « hors de », en l’espèce hors du droit des paiements ? Voici que la Cour de cassation nous a livré ces enseignements précieux : « Si, selon l'article L. 521-3, I, du code monétaire et financier, par exception au monopole des prestataires de services de paiement, une entreprise peut fournir des services de paiement fondés sur des moyens de paiement qui ne sont acceptés, pour l'acquisition de biens ou de services, que dans les locaux de cette entreprise ou, dans le cadre d'un accord commercial avec elle, dans un réseau limité de personnes acceptant ces moyens de paiement, ou pour un éventail limité de biens ou de services, cette entreprise n'appartient pas pour autant à la catégorie des prestataires de services de paiement, de sorte que, par application de l'article L. 133-1 du code monétaire et financier, les dispositions de l'article L. 133-19 de ce code ne lui sont pas applicables ».
Cf. « Le paiement hors les murs » , Banque & Droit n° 198, juill.-août 2021, p. 32.
L’utilisation du compte de paiement
Le compte de paiement est un paradoxe à lui tout seul : au second rang des notions fondamentales du droit des paiements, mais omniprésent en pratique, avant qu’il ne le devienne dans les esprits, dès lors que l’open banking porté par la DSP 2 signifie l’accès aux comptes de paiement par d’autre que ceux qui les tiennent.
Aussi faut-il relever cette décision (Cass. com., 30 juin 2021, 19-14.313, FS-B) qui éclaire d’un jour inédit ce qu’il faut entendre par l’utilisation d’un compte de paiement. Où l’on apprend, au visa de l’article L. 312-1, IV, 1°, du CMF, que « constitue une utilisation délibérée du compte, au sens de ce texte, le fait, pour son titulaire, d'en communiquer les coordonnées à un cocontractant afin qu'il effectue un paiement par virement sur ce compte ».
Cf. « À partir de quand, ou de quoi, un compte de paiement est-il réputé utilisé ? » , Revue Banque n° 859, sept. 2021, p. 59.
IV. Opérations de paiement
À mauvaise pratique, mauvais arrêt
L’étudiant en droit apprend à vénérer les textes, mais surtout la loi, et à adorer la jurisprudence, au moins celle de la Cour de cassation. N’étant plus tout à fait un étudiant, et n’ayant sous les yeux qu’un arrêt d’appel, on passera outre la tradition des facultés de droit afin de franchement dire ce que nous a inspiré la lecture d’une récente décision de la Cour d’appel d’Amiens (CA Amiens, 1re ch. civ., 16 sept. 2021, n° 20/05282), qui s’est tout bonnement pris les pieds dans l’analyse juridique de la pratique aussi bien extra legem que contra legem, du chargeback (ou rétrofacturation, selon une traduction aussi malheureuse que le terme original).
Voici ce que l’on peut lire : « Par ailleurs, les directives européennes préconisent concernant l'utilisation de cartes bancaire la mise en place d'une procédure dite de chargeback ou rétrofacturation qui permet à un consommateur de revenir sur son ordre de paiement et d'être remboursé directement et gratuitement par la banque lorsqu'il y a eu vol ou piratage de la carte bancaire, faillite du bénéficiaire de l'ordre de paiement ou lorsque le professionnel bénéficiaire de l'ordre de paiement ne respecte pas les droits du consommateur et notamment lorsque les produits payés par carte bancaire n'ont pas été reçus.
En l'état du droit français, cette procédure de rétro facturation a été mise en œuvre par l'ensemble des organismes bancaires en cas de fraudes à l'utilisation d'une carte bancaire résultant de vol ou de piratage de la carte bancaire.
En revanche, dans les autres cas et notamment en cas de non-respect par le professionnel bénéficiaire de l'ordre de paiement des droits du consommateur et notamment lorsque les produits payés par carte bancaire n'ont pas été reçus, la procédure de rétro facturation ne s'applique que si la convention liant la banque à son client prévoit cette garantie ».
Rien à ajouter, tout est faux.
Cf. « Pour en finir avec la fausse promesse du chargeback » , Revue Banque n° 862, déc. 2021, p. 60.
Le moment du paiement
On tient là sans nul doute l’un des grands arrêts de 2021, qui devrait d’ailleurs avoir les honneurs du rapport annuel de la Cour de cassation (Cass. com., 30 juin 2021, n° 20-18.759 FS-B+R).
Sachant (i) que le jugement qui prononce la liquidation judiciaire emporte de plein droit, à partir de sa date, dessaisissement pour le débiteur de l'administration et de la disposition de ses biens et interdiction de tout règlement, (ii) de sorte que les actes de disposition effectués postérieurement à ce jugement sont inopposables à la procédure collective, (iii) la Haute Juridiction, pour la première fois, affirme qu’« une opération de paiement est autorisée si le payeur a donné son consentement à son exécution », si bien que « l'émetteur d'un ordre de paiement dispose des fonds dès la date à laquelle il consent à cette opération ».
Le moment du paiement est donc celui de son autorisation par le consentement donné à l’exécution de l’opération de paiement.
Cf. « Le moment du paiement » , Banque & Droit n° 199, sept.-oct. 2021, p. 18.
Droit des opérations de paiement non autorisées
Le sujet des opérations de paiement non autorisées continue non seulement à faire l’actualité mais, encore, à la faire sur des terrains plus qu’originaux.
Il y a d’abord cet arrêt de la CJUE, qui est en deux temps. Le premier est que le régime de responsabilité du prestataire de services de paiement en cas d’opérations de paiement non autorisées est exclusif, en ce sens que la DSP 1 (ou la DSP 2 mutatis mutandis) ne permet pas à l’utilisateur « d’intenter une action en responsabilité dudit prestataire en cas d’opération non autorisée, à l’expiration de ce délai [maximal de treize mois] » ; à l’inverse, et c’est le second temps, rien n’empêche la caution, qui n’est pas un utilisateur de services de paiement, d’engager la responsabilité contractuelle de droit commun du prestataire (CJUE, 2 sept. 2021, aff. C-337/20, DM, LR c/ Caisse régionale de Crédit Agricole mutuel (CRCAM) – Alpes-Provence, concl. av. gén. H. Saugmandsgaard Øe)
Cf. « Opérations de paiement non autorisées : quand l’utilisateur ne peut plus, la caution peut encore » , Revue Banque n° 860, oct. 2021, p. 68.
Vient ensuite une décision fort intéressante de la chambre commerciale de la Cour de cassation, qui viendrait bousculer la pratique comptable bancaire de la « contre-passation ». Et bien, nous est-il dit, la contre-passation d’une opération de paiement, initialement portée au crédit du bénéficiaire mais remboursée par la suite au payeur, nécessite l’autorisation du premier. Autrement dit, « sauf stipulations contractuelles contraires, lorsque le montant d'un virement a été remboursé au payeur par son prestataire de services de paiement en application de l'article L. 133-18 du code monétaire et financier, serait-ce en raison de l'existence d'une fraude, le prestataire de services de paiement du bénéficiaire, s'il a déjà inscrit le montant de ce virement au crédit du compte de son client, ne peut contre-passer l'opération sur le compte de celui-ci sans son autorisation, quand bien même il aurait lui-même restitué le montant du virement au prestataire de services de paiement du payeur » (Cass. com., 24 nov. 2021, n° 20-10.044 FB).
Cf. « Opération de paiement remboursée : contre-passation sans autorisation ne vaut » , Revue Banque n° 863-864, janv. 2022, p. 114.
V. Données de paiement
Les données à caractère personnel sont devenues un thème à part entière du droit des paiements ; les acteurs ont même largement « surjoué » la question, si l’on en croit l’hypertrophie des clauses « Données personnelles » des contrats de services de paiement.
Au moins trois informations, de nature fort différente, méritent d’être relevées en ce domaine. Une belle décision du Conseil d’État, d’abord, rendue fin 2020 au sujet de la pratique, popularisée par Amazon, du paiement « en un clic » ou one-click payment. Sans surprise, il est jugé, au regard de l’article 6, paragraphe 1, du RGPD, que « la CNIL a pu à bon droit estimer que, de façon générale, devait être soumise au consentement explicite de la personne concernée la conservation des numéros de cartes bancaires des clients des sites de commerce en ligne pour faciliter des achats ultérieurs » (CE, 10e et 9e ch. réunies, 10 déc. 2020, n° 429571, société Cdiscount, concl. M. Alexandre Lallet). Ne tient plus l’argument selon lequel la conservation du numéro de carte du client qui a procédé à un achat en ligne caractériserait l’intérêt légitime de faciliter des paiements ultérieurs par dispense du client de le ressaisir à chacun de ses achats.
Cf. « Le paiement “en un clic” devant le Conseil d’État » , Banque & Droit n° 196, mars-avr. 2021, p. 26.
Illustration, s’il en est, que les données sont au cœur des paiements, et vice et versa, tel se présente le Livre blanc que la CNIL en fait paraître en septembre 2021. On s’y réfèrera avec intérêt, même si l’on attend encore la même réflexion, menée cette fois par l’ACPR… (CNIL, Quand la confiance paie, Les moyens de paiement d’aujourd’hui et de demain au défi de la protection des données, Collection Livre blanc n° 2, sept. 2021).
Cf. « À propos du Livre blanc de la CNIL sur les données de paiement » , Banque & Droit n° 200, nov.-déc. 2021, p. 13.
Disons un mot, enfin, d’une toute récente délibération de la CNIL ; disons plutôt notre étonnement de lire à propos d’un établissement de paiement surpris en défaut de protection des données de ses clients, qu’il agissait en qualité de sous-traitant de ceux-ci… (CNIL, Délibération n° SAN-2021-020, 28 déc. 2021).
Cf. « Où la CNIL qualifie de sous-traitant de ses clients un prestataire de services de paiement… », Revue Banque n° 865, janv. 2022, p. 74.
Achevé de rédiger le 13 janvier 2022.
