Quelle réglementation pour les FinTech ? La question, de prime abord, peut sembler curieuse. Elle sous-entend déjà que les FinTech doivent être régulées. Ce qui en soit est déjà une question. Mais elle conduit ensuite à s’interroger sur le mode de régulation à appliquer à ces nouveaux acteurs de la finance.
Tout d’abord, les FinTech doivent-elles être régulées ? La réponse dépend bien sûr des activités exercées. Autrement dit, ce n’est pas le fait d’être une FinTech qui conduit ou non à se voir appliquer une régulation ou une autre. D’abord parce que le mot FinTech est déjà par lui-même chargé de différents sens et ambigu. Si l’on s’en tient à la définition de l’association France Fintech, les entreprises répondant à ce qualificatif doivent utiliser « des modèles opérationnels, technologiques ou économiques innovants et disruptifs, visant à traiter des problématiques existantes ou émergentes de l’industrie des services financiers ». Comme on le voit, il ne s’agit pas forcément de start-up, pas plus que de sociétés sur des segments d’activités nouvelles ; ce qui distingue une FinTech d’une autre entreprise traditionnelle du secteur financier, c’est d’une part son mode de fonctionnement interne où les collaborateurs adoptent et utilisent en priorité les pratiques collaboratives et sociales issues de la sphère privée, et d’autre part l’utilisation des canaux numériques et des technologies digitales qui modifient en profondeur la relation client et le mode d’acquisition de la clientèle. En deux mots, une FinTech est une entreprise digitale du monde financier. Entendue comme cela, la définition ne conduit pas à ce que toutes ces sociétés tombent ipso facto dans le champ de la réglementation financière, c’est-à-dire de l’industrie bancaire, assurance, gestion ou services financiers. En effet, certaines FinTech peuvent se concentrer sur des prestations de nature plus informatique que de vente de produits ou services financiers. En fait, tout dépend du mode de relations avec les clients, celui-ci étant entendu comme un « consommateur de services financiers », dans la mesure où un client de prestations informatiques dans le secteur financier ne sera pas considéré ici comme rentrant dans le champ de ces réflexions.
Réglementation européenne
Le droit européen dispose de textes de maturités différentes régissant ces activités. Certains de ces textes, comme les directives DSP ou DSP2, c’est-à-dire les plus récents, prévoient des statuts légers pour l’exercice restreint de certaines activités réglementées. Il est dès lors possible pour des nouveaux acteurs de choisir un statut (celui d’agent de prestataire de service de paiement (PSP) par exemple ou encore celui de distributeur de monnaie électronique) aux contraintes peu nombreuses et qui permet de disposer d’un agrément permettant non seulement l’exercice en France en toute quiétude de l’activité exercée, mais aussi son exercice au sein de l’Union européenne (UE) dans la mesure où ces « mini statuts » sont éligibles au passeport européen. Tel n’est pas le cas d’autres statuts allégés, comme celui de conseil en investissement financier (CIF) ou d’IOBSP, du fait que la directive pertinente ne prévoit pas un tel statut, malgré le fait parfois qu’il s’agisse d’une directive récente (tel est le cas de la directive MIF II), ou plus ancienne (comme les textes sur l’activité bancaire ou assurance) ; en effet, ces statuts ressortent de réglementations locales qui de ce fait ne bénéficient pas du régime du passeport. Le choix pour une start-up consistera d’abord à déterminer le bon statut qui lui convient pour se lancer.
Mais au-delà de la question du type de statut, c’est la manière dont chaque régulateur va appliquer ces derniers qui peut aussi déterminer le choix de localisation d’une start-up. L’environnement réglementaire et le mode de fonctionnement du régulateur constituent des éléments de décision dans le choix du pays d’accueil. Bien sûr, les niveaux 2 et 3 de la réglementation européenne ont pour objectif d’harmoniser les réglementations, mais chaque régulateur national garde un mode de fonctionnement qui lui est propre. Ainsi, malgré des textes européens harmonisés, la façon dont la réglementation est appliquée dépend pour une large part de chaque régulateur. Pour être caricatural, certains régulateurs vont être plus « laxistes » et d’autres moins, ou plus « business friendly » que d’autres.
Deux approches possibles
On retrouve ce débat dans le mode opératoire des régulateurs. De ce point de vue, deux approches au moins sont possibles. La première, que nous appellerons britannique, et celle dite du « bac à sable » (ou Sandbox), et la deuxième, française, est celle dite de l’« accompagnement ».
La première approche a été formellement mise en place par la Financial Conduct Authority (FCA) en Grande Bretagne. Il s’agit d'offrir un cadre réglementaire adapté facilitant le déploiement rapide d'un concept innovant, dans des conditions réelles mais sur un périmètre réduit (auprès d'un nombre limité de clients, par exemple). L'objectif est de permettre aux FinTech de tester de nouvelles idées sans devoir rentrer immédiatement dans le cadre réglementaire auquel correspond l’activité exercée. Il s’agit, en quelque sorte, de voir dans quelle mesure le projet envisagé est viable. C’est ce que l’on appelle la « proof of concept ».
Ce principe du « bac à sable » (un endroit où les enfants peuvent jouer tranquillement) ne concerne pas uniquement les start-up. Toutes les entreprises du secteur financier, y compris celles bénéficiant de statuts sectoriels lourds (à l’exception près des start-up dont le business model nécessite une licence bancaire : elles ne sont pas éligibles à cette dérogation et doivent alors répondre d’un autre dispositif) peuvent demander à en bénéficier. Pour rentrer dans ce « bac à sable », il faut en demander l’autorisation à la FCA, en formulant une demande. Le « bac à sable » ne peut concerner que des concepts dont le caractère innovant et l'apport de valeur aux consommateurs doivent être démontrés.
Une fois l'accord des autorités obtenu, les entreprises bénéficiaires ne seront pas pour autant totalement libres de leurs mouvements. Les expérimentations seront suivies de près pendant tout leur déroulement. La conclusion des tests doit donner lieu à l'établissement d'un bilan complet. L’objectif, au-delà du cas particulier, est de capitaliser sur les expériences des entreprises intégrées dans le programme et d'en partager les résultats avec l'ensemble de l'industrie.
C’est une approche un peu similaire, quoique différente, qu’a adopté la FINMA en Suisse et la CSSF au Luxembourg. S’agissant de la FINMA, tout en poussant elle aussi à la reconnaissance du principe du bac à sable, elle considère en amont de ceci que l’innovation est, par principe, neutre à l’égard des modèles d’affaires ou technologies. Dans ce contexte, elle a vérifié si des dispositions, dans ses ordonnances et ses circulaires, pourraient s’avérer discriminatoires pour certaines technologies, ce qui n’est pas le cas à de très rares exceptions près. C’est au titre de cette approche que la FINMA a récemment accepté par exemple une évolution de la procédure d’identification du client par voie numérique.
Droit commun
La deuxième approche est celle que mettent en place l’AMF et l’ACPR en France, à savoir celle d’un accompagnement personnalisé des start-up et autres nouveaux acteurs, mais sans régime dérogatoire par rapport au droit commun. Ici, l’idée est donc à l’opposé de celle du « bac à sable » : toute entreprise doit se conformer à la réglementation dès le départ ; et à l’ensemble de la réglementation qui lui est applicable. Autrement dit, il n’y a pas de régime de faveur pour les start-up. On rétorquera que cette réglementation est justement trop lourde pour des jeunes sociétés qui ne disposent pas des moyens pour embaucher les experts ou rémunérer les consultants externes. Et que dès lors, appliquer de façon indifférenciée l’ensemble de cette réglementation conduit à créer une « barrière à l’entrée » favorisant les acteurs en place et diminuant les chances pour les nouveaux entrants. La réponse est double. Tout d’abord, la protection de l’investisseur/épargnant ne doit pas être à géométrie variable selon le degré de maturité d’une société ; tous les clients ont droit au même régime de protection que leur offrent la loi et la réglementation ; celles-ci doivent s’appliquer de la même manière pour tous. C’est donc une différence ontologique fondamentale entre cette approche et celle développée par la Grande-Bretagne, la Suisse ou le Luxembourg. Deuxième élément de réponse : l’approche française vise à aider, à accompagner les start-up (et uniquement elles) dans leurs choix, non pas en se substituant aux conseils externes, mais en créant un environnement au sein de chaque régulateur où les start-up trouvent des personnes attentives à leurs préoccupations et leurs spécificités. Par exemple en appliquant une approche plus entrepreneuriale lors des demandes d’agrément, ou des contrôles sur place ou sur pièces. L’idée est la suivante : il ne faut pas créer de rupture qualitative entre une période de « bac à sable » et la période d’adulte. C’est donc en éduquant dès le départ les start-up à l’environnement réglementaire applicable à leurs activités que celles-ci passeront le cap des deux ou trois ans, sans risque de mise à niveau réglementaire lourd.
Que penser de cette approche française ? Tout dépend de la réalité du terrain. Derrière les paroles et déclarations de l’AMF et de l’ACPR, il faut voir les actes : les agréments seront-ils délivrés plus rapidement qu’actuellement, l’étude des dossiers plus « souples » s’agissant de structures naissantes, et plus généralement, cette « responsabilisation » à la réglementation sera-t-elle appliquée de façon adaptée aux situations particulières ? Il est encore trop tôt pour répondre.
En conclusion, il est difficile de déterminer le « non modèle » de régulation pour les start-up. Il s’agit de concilier deux impératifs pas forcément alignés : favoriser l’apparition et le développement des nouveaux acteurs, tout en gardant le même niveau de protection pour la clientèle.
