Droit des moyens et services de paiement

Notice explicative de l’ordonnance de transposition de la DSP 2 (et appendice)

La voici donc, publiée au JO du 10 août***, l’ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (la « DSP 2 »).



[1]On se rappellera que la 1re directive sur les services de paiement (dir. 2007/64/CE, 13 nov. 2007,la « DSP ») fut elle-même transposée par une ordonnance d’été : ordonnance n° 2009-866 du 15 juillet 2009 relative aux conditions régissant la fourniture de services de paiement et portant création des établissements de paiement.

DSP2

L'auteur

  • Pierre Storrer
    • Avocat au Barreau de Paris
      Kramer Levin Naftalis & Frankel LLP
* L’auteur invite les lecteurs à lui faire parvenir leurs réactions ou éléments d’actualité inédits : pstorrer@kramerlevin.com** Les propos de l’auteur n’engagent que celui-ci.

Revue de l'article

1. Méthodologie

Là où nous avions fait le choix de présenter la DSP 2 sous forme d’abécédaire [1], nous détournerons ici le modèle de la « notice explicative » qui accompagne désormais décrets et arrêtés réglementaires [2].

Aux rubriques standards – « Publics concernés », « Objet », « Entrée en vigueur », « Notice » et « Références » – sera seulement ajoutée une relative au champ d’application du droit nouveau des services de paiement.

Nous renvoyons sinon au rapport au président de la République qui accompagne l’ordonnance, et présente celle-ci suivant les quatre grandes thématiques composant, selon lui, la DSP 2 : les conditions d’exercice des prestataires de services de paiement (PSP), les droits et obligations des utilisateurs et des PSP, les exigences en matière d’information relatives aux services de paiement, et les exigences de sécurité renforcées pour les paiements électroniques et la protection des données financières des consommateurs.

Enfin, cette notice explicative de l’ordonnance de transposition de la DSP 2 est annoncée avec « appendice », car l’ordonnance du 9 août 2017 s’accompagne de sept textes d’application, datés du 31 août 2017 et parus au JO du 2 septembre, qu’il faudra balayer rapidement.

2. Publics concernés

Lato sensu, les publics concernés sont les utilisateurs de services de paiement [3] et les PSP que sont les établissements de crédit, les établissements de monnaie électronique (EME) et les établissements de paiement (EP), auxquels s’ajoute cette catégorie « bâtarde » (on y reviendra) : les « prestataires de services d’information sur les comptes » (PSIC), qui sont PSP mais sans être EP [4].

Si l’on resserre un peu l’objectif, l’on dirait volontiers que sont principalement concernés les utilisateurs titulaires de compte ainsi que les établissements de crédit teneurs de compte qui, lorsqu’ils se trouvent en concurrence avec les prestataires de services d’initiation de paiement (PSIP) ou les PSIC, se muent en prestataires de services de paiement gestionnaires de compte (PSPGC). Il est significatif que le teneur devienne gestionnaire de compte en présence des nouveaux entrants PSIP et PSIC, comme si le compte se détachait de sa personne. Quoi qu’il en soit – et sans céder à trop de facilité de langage –, l’ère de l’open banking est annoncée, du compte ouvert à d’autres que ceux qui le tiennent.

3. Objet

L’objet de l’ordonnance du 9 août 2017 est tout entier dans son intitulé [5] : transposition de la DSP 2, texte d’harmonisation totale, sans préjudice de la bonne dizaine d’options ouvertes par l’article 107 de la directive.

Si l’on veut en dire davantage, sans pour autant empiéter sur la suite, l’on ajouterait que l’ordonnance de transposition a pour objet d’établir un droit nouveau de l’accès aux comptes de paiement en ligne, un droit nouveau de la banque en ligne somme toute.

Sont ainsi insérés dans notre Code monétaire et financier (CMF), de manière spectaculaire :

  • de nouvelles règles relatives à l’accès aux comptes de paiement (nouvel intitulé du chapitre III du titre III du livre Ier : « Les règles applicables aux autres instruments de paiement et à l’accès aux comptes ») ;
  • deux nouveaux services de paiement au II de l’article L. 314-1 : le 7°, les services d’initiation de paiement, et le 8°, les services d’information sur les comptes, dont la définition figure à l’article D. 314-2 du CMF (voir Appendice) ;
  • la réglementation exogène de l’enregistrement des PSIC aux articles L. 522-11-2 et s. du CMF.

4. Champ d’application

L’organisation du CMF (mais c’était vrai du temps de la DSP) oblige à doublonner la circonscription du champ d’application du droit des services de paiement. Aux articles L. 133-1 et L. 133-1-1 (opérations de paiement) répondent ainsi les articles L. 342-2 et L. 342-2-1 (services de paiement), qui s’ouvrent par cette même déclaration (sensiblement remaniée : on parle de « services » plutôt que d’« opérations ») : « Les dispositions du présent chapitre s’appliquent aux services de paiement fournis par les prestataires de services de paiement mentionnés au livre V dans le cadre des activités définies au II de l’article L. 314-1. »

Ratione loci, on renvoie à la lecture des textes ci-dessus qui mélangent géographies française et européenne. Ratione materiae (et outre le champ des services de paiement fournis par les PSP), on renvoie également aux exclusions que nous traitons ci-dessous (voir Notice).

5. Entrée en vigueur

La chose devrait être simple : « Les dispositions de la présente ordonnance entrent en vigueur le 13 janvier 2018 » [6], conforme en cela au point 2 de l’article 115 de la DSP 2, qui commande que les États membres appliquent ses dispositions « à partir » de cette date.

Mais ce serait sans compter que la DSP 2 ne se suffit plus à elle-même et qu’elle doit composer avec ces fameuses normes techniques de second niveau ou RTS, dont les très fameux RTS de l’article 98 concernant l’authentification (forte) et la communication (entre PSP). Si bien qu’en son point VIII, l’article 34 de l’ordonnance du 9 août 2017 dispose que, par dérogation à la date d’entrée en vigueur du 13 janvier 2018, le 4° du II et le 1° du III de l’article L. 133-40 (initiation de paiement), le 3° du II et le 1° du III de l’article L. 133-41 (information sur les comptes), ainsi que les I, II et III de l’article L. 133-44 (authentification forte) n’entreront en vigueur que 18 mois (sic !) après l’entrée en vigueur du règlement délégué de la Commission européenne sur l’authentification et la communication, que l’on attend toujours…

Quel paradoxe tout de même, car voilà que les dispositions les plus novatrices de la DSP 2 (et de son texte de transposition) vont se trouver paralysées de (très) longs mois durant ! Et PSIP et PSIC, faute de pouvoir être reconnus par les établissements gestionnaires de compte, continueront à œuvrer en web ou screen scraping [7] !

Étrange période transitoire (trou noir plutôt), en conséquence, qui verra une rédaction intermédiaire de l’article L. 133-44, IV, aux termes duquel les PSPGC devront autoriser PSIP et PSIC (dûment agréés ou enregistrés) à se fonder sur leurs procédures d’authentification lorsqu’ils agissent pour l’un de leurs utilisateurs ; qui interdira lesdits gestionnaires de comptes à se prévaloir de la non-conformité des nouveaux entrants pour bloquer ou entraver l’utilisation de leurs services [8].

Et l’on peut encore y ajouter cette autre période transitoire jusqu’à l’entrée en application du règlement général sur la protection des données (25 mai 2018), imposant une rédaction intermédiaire des articles L. 521-6 et L. 521-7, afin qu’ils continuent à viser la loi Informatique et Libertés de 1978.

6. Notice

Où nous retrouvons les trois lieux principaux des dispositions insérées dans le CMF : articles L. 133-1 et suivants (opérations de paiement), L. 314-1 et suivants (services de paiement) et L. 519-1 et suivants (PSP).

6.1. Opérations de paiement

En opérant un choix très arbitraire tellement le droit des opérations de paiement est remanié par la DSP 2, on abordera les trois thèmes suivants.

6.1.1. Accès aux comptes. Deux nouveaux services d’accès aux comptes de paiement [9] (en ligne), sont rangés sous une section 13 nouvelle, précisément intitulée « Modalités d’accès aux comptes de paiement » :

  • le premier au profit partagé du payeur et du bénéficiaire (du bénéficiaire avant tout peut-être [10]) : le service d’initiation de paiement de l’article L. 133-40 (issu de DSP 2, art. 66) ;
  • le second au bénéfiie immédiat du titulaire de compte : le service d’information sur les comptes de l’article L. 133-41 (issu de DSP 2, art. 67).

À quoi s’ajoute, en faveur des émetteurs d’instruments de paiement liés à une carte sans compte, la faculté octroyée à ces derniers de demander au gestionnaire de compte confirmation de la disponibilité des fonds (cf. CMF, art. L. 133-39, issu de DSP 2, art. 65).

Nous n’en dirons pas plus (il faut lire et relire les dispositions précitées), sinon que le consentement « explicite » (il est dommage que le CMF emploie tantôt « explicite », tantôt « exprès ») du payeur (ou utilisateur de services de paiement) est exigé [11], dessinant par-là les contours de nouvelles clauses à insérer dans les conventions de compte, contrats de banque en ligne out contrats-cadres de services de paiement.

6.1.2. Relations entre PSP. L’intrusion de nos nouveaux entrants oblige désormais à s’intéresser aux relations « horizontales » entre PSP [12], que le CMF aborde sous un intitulé particulièrement raté, celui de « relation entre les prestataires de services de paiement respectivement parties avec l’utilisateur de services de paiement » ; dans une sous-section composée d’un article L. 133-17-1, qui encadre strictement les conditions dans lesquelles un PSPGC peut refuser à un PSIP ou PSIC l’accès à son compte (refus, soit dit en passant, caractéristique d’un « incident » à relayer auprès de la Banque de France).

Outre ce texte, deux autres encore, les articles L. 133-18 et L. 133-22-1 du CMF, commandent qu’en cas d’opération de paiement non autorisée ou mal exécutée initiée par l’intermédiaire d’un PSIP, ce soit le gestionnaire de compte qui rembourse au premier chef, quitte à se retourner ensuite vers le PSIP responsable.

6.1.3. Authentification. On ne peut bien sûr omettre d’évoquer (pas davantage, c’est tout l’enjeu des RTS de l’article 98 et de la paralysie à venir : voir Entrée en vigueur) la nouvelle section 15 « Authentification », composée d’un article unique : l’article L. 133-44, dont le I dispose que « le prestataire de services de paiement applique l'authentification forte du client définie au f de l'article L. 133-4 [13] lorsque le payeur : 1° Accède à son compte de paiement en ligne ; 2° Initie une opération de paiement électronique ; 3° Exécute une opération par le biais d'un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse ».

6.2. Services de paiement

Ce n’est pas la partie la plus riche en innovations, mais celles-ci méritent que l’on s’y arrête.

6.2.1. Nouveaux services. L’innovation spectaculaire est bien sûr l’amendement porté à la fameuse liste des 7 services de paiement, désormais 8, avec la suppression de l’ancien service 7° au bénéfice d’un 7° nouveau : les services d’initiation de paiement, suivi d’un 8° inédit : les services d’information sur les comptes (CMF, art. L. 314-1, II) [14]. On saluera au passage la disparition de l’ancien service 7°, dont la formulation nous avait toujours parue brumeuse et dont l’article 34 de l’ordonnance sous commentaire nous apprend que les EP qui étaient à ce jour agréés pour fournir ledit service sont désormais réputés agréés pour la fourniture des services 3° et 5°. Dont acte.

6.2.2. Exclusions. Il serait trop long de les commenter toutes, mais notons que le point III de l’article L. 314-1 du CMF (« N’est pas considéré comme un service de paiement : ») s’enrichit notablement des exclusions suivantes (qu’il fallait aller rechercher, pour certaines d'entre elles, dans la DSP), dont chacune pourrait mériter une étude à part entière :

  • « 3° La réalisation d'opérations de paiement allant du payeur au bénéficiaire, par l'intermédiaire d'une personne habilitée par contrat à négocier ou à conclure la vente ou l'achat de biens ou de services pour le compte du payeur uniquement ou du bénéficiaire uniquement » ;
  • « 4° La réalisation d'opérations de paiement entre une entreprise mère et sa filiale, ou entre filiales d'une même entreprise mère, ou au sein d'un groupe au sens du h de l'article L. 133-4, sans qu'aucun autre prestataire de services de paiement qu'une entreprise du même groupe ne fasse office d'intermédiaire, ainsi que la centralisation des ordres de paiement pour le compte d'un groupe par une entreprise mère ou sa filiale pour transmission ultérieure à un prestataire de services de paiement » ;
  • « 5° La fourniture de services de retrait d'espèces proposés, au moyen de distributeurs automatiques de billets, par des prestataires agissant pour le compte d'un ou de plusieurs prestataires de services de paiement émetteurs de cartes, qui ne sont pas parties au contrat-cadre avec le client retirant de l'argent d'un compte de paiement, à condition que ces prestataires de fourniture de services de retrait d'espèces ne soient pas eux-mêmes prestataires de services de paiement. Le cas échéant, l'utilisateur est informé de tous frais dans les conditions prévues au premier alinéa du I et du V de l'article L. 314-11 et au IV de l'article L. 314-7 avant de procéder au retrait, ainsi que lors de la réception des espèces au terme de l'opération de retrait » ;
  • « 6° La fourniture de services pour lesquels des espèces sont fournies par le bénéficiaire au bénéfice du payeur dans le cadre d'une opération de paiement, à la demande expresse de l'utilisateur de services de paiement formulée juste avant l'exécution de l'opération de paiement via un paiement pour l'achat de biens ou de services » ;
  • « 7° La fourniture de services par un prestataire de services techniques à l'appui de la fourniture de services de paiement, sans qu'il entre, à aucun moment, en possession des fonds à transférer et consistant notamment dans le traitement et l'enregistrement des données, les services de protection de la confiance de la vie privée, l'authentification des données et des entités, les technologies de l'information et la fourniture de réseaux de communication, ainsi que la fourniture et la maintenance des terminaux et dispositifs utilisés aux fins des services de paiement, à l'exception des services d'initiation de paiement et des services d'information sur les comptes ».

6.2.3. Contrat-cadre de services de paiement. Disposition évidemment importante que celle-ci : « Un contrat-cadre de services de paiement doit également être conclu lorsque les services de paiement mentionnées aux 7° et 8° du II de l’article L. 314-1 sont fournis » (CMF, art. L. 314-12, I, 2e al.).

C’est là, pour partie, une exception à la règle posée à l’article L. 314-2, V, qui veut que le chapitre sur les services de paiement ne s’applique pas aux services fournis par les PSIC ; c’est là aussi révélateur d’une contradiction, que l’information sur les comptes est un service de paiement sans en être…

6.3. PSP

Les innovations sont nombreuses et obligent à faire un tri.

6.3.1. Principes directeurs. Oui, il s’agit bien de principes directeurs (on n'en a pas l’habitude) de l’activité des PSP, à lire et relire, qui sont ajoutés aux articles L. 521-5 à L. 521-10 du CMF, ainsi rédigés :

  • article L. 521-5 : « Les prestataires de services de paiement n'ont accès à des données à caractère personnel nécessaires à l'exécution de leurs services de paiement, ne les traitent et ne les conservent qu'avec le consentement exprès de l'utilisateur de services de paiement » : c’est tout à fait nouveau et rejoint ce que nous disions plus haut au sujet du consentement explicite ou (exprès), requis de manière générale de l’utilisateur de services de paiement pour donner accès tant à ses données de compte qu’à ses données à caractère personnel ;
  • article L. 521-6 : « Les systèmes de paiement et les prestataires de services de paiement sont autorisés à traiter des données à caractère personnel lorsque cela est nécessaire pour garantir la prévention, la recherche et la détection des fraudes en matière de paiements. La communication aux personnes d'informations sur le traitement des données à caractère personnel et le traitement de ces données à caractère personnel ainsi que tout autre traitement de données à caractère personnel sont effectués conformément aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil et du règlement (CE) 45/2001 du Parlement européen et du Conseil » : rapidement dit, on voit dans la lutte contre la fraude une autorisation légale de traitement des données à caractère personnel ;
  • article L. 521-7 : « Par dérogation aux dispositions de l'article L. 612-1, la Commission nationale de l'informatique et des libertés veille au respect des dispositions des articles L. 521-5 et L. 521-6 en utilisant les compétences qui lui sont reconnues par le règlement (UE) 2016/679 du Parlement européen et du Conseil. À cette fin, elle peut notamment recevoir, par tous moyens, les plaintes relatives aux infractions aux dispositions des articles L. 521-5 et L. 521-6 » (voir infra) ;
  • article L. 521-8 : « La Banque de France s'assure de la sécurité de l'accès aux comptes de paiement et à leurs informations dans le cadre de la fourniture des services de paiement mentionnés au 7° et 8° du II de l'article L. 314-1 par tout prestataire de services de paiement et de la pertinence des normes applicables en la matière. Pour l'accomplissement de cette mission, la Banque de France dispose des mêmes pouvoirs auprès de ces prestataires que ceux prévus aux quatrième et cinquième alinéas du I de l'article L. 141-4 » (voir infra) ;
  • article L. 521-9 : « Les prestataires de services de paiement mettent en place des procédures prévoyant des mesures d'atténuation et des mécanismes de contrôle appropriés en vue de gérer les risques opérationnels et de sécurité, liés aux services de paiement qu'ils fournissent. Un arrêté du ministre en charge de l'économie et des finances précise le contenu de ces procédures » (voir Appendice) ;
  • article L. 521-10 : « I. Les prestataires de services de paiement informent sans retard injustifié l'Autorité de contrôle prudentiel et de résolution de tout incident opérationnel majeur. / II. Les prestataires de services de paiement informent sans retard injustifié la Banque de France de tout incident de sécurité majeur. La Banque de France évalue l'incident et prend au besoin des mesures appropriées et si elle l'estime nécessaire, elle en informe l'Autorité de contrôle prudentiel et de résolution en application de l'article L. 631-1. / III. Lorsque l'incident a ou est susceptible d'avoir des répercussions sur les intérêts financiers de ses utilisateurs de services de paiement, le prestataire de services de paiement informe sans retard injustifié ses utilisateurs de services de paiement de l'incident et de toutes les mesures disponibles qu'ils peuvent prendre pour atténuer les effets dommageables de l'incident. / IV. Dès réception de la notification visée au I ou au II, l'Autorité de contrôle prudentiel et de résolution ou la Banque de France communique sans retard injustifié les détails importants de l'incident à l'Autorité bancaire européenne et à la Banque centrale européenne, et, après avoir évalué la pertinence de l'incident pour d'autres autorités nationales concernées, informe celles-ci en conséquence. / V Les modalités des notifications prévues aux I à III sont précisées par arrêté du ministre de l'économie et des finances » (voir Appendice).

6.3.2. Agrément allégé d’EP et d’EME. Jadis qualifié de limité, l’agrément désormais « allégé » d’EP (CMF, art. L. 523-11-1) ou d’EME (CMF, art. L. 526-19) sera délivré à la condition que l’établissement dispose de « dispositifs à même d’assurer la sécurité des services […] fournis et la protection des données de paiement sensibles ». L’accent mis sur la sécurité et la protection des données (sensibles [15]) est une nouveauté de la DSP 2.

6.3.3. PSIC. Les PSIC sont comme une scorie [16] dans le droit des EP, dont le point II ajouté à l’article L. 522-1 dispose : « Les prestataires de services d'information sur les comptes sont les personnes physiques ou morales, autres que les établissements de crédit, les établissements de monnaie électronique, les établissements de paiement et les personnes mentionnées au II de l'article L. 521-1, qui fournissent à titre de profession habituelle le service d'information sur les comptes mentionnés au 8° du II de l'article L. 314-1 à l'exclusion de tout autre service de paiement ». Où l’on apprend que les PSIC, au contraire des PSP, et des EP en particulier, peuvent être des personnes physiques.

C’est à l’évidence une innovation de la DSP 2 et de son ordonnance de transposition : l’enregistrement, plutôt que l’agrément, des PSIC. Sans même attendre l’arrêté qui définira les informations requises dans la demande d’enregistrement (Voir Arrêtés), on sait déjà qu’elles emprunteront pour partie aux conditions d’un agrément (CMF, art. L. 522-11-2, II, al. 1er). On sait encore que les PSIC seront traitées comme des EP à l’égard des dispositions sur le passeport européen d’une part, de celles relatives au secret professionnel, à la comptabilité et au contrôle légal des comptes, d’autre part (CMF, art. L. 522-11-2, II, in fine) [17].

Retenons enfin [18] que les PSIC ne pourront pas recourir à des agents, si l’on comprend bien le sens du point II de l’article L. 523-1 : « Les prestataires de services de paiement autre[s] que les prestataires de services d'information sur les comptes mentionnés au II de l'article L. 522-1 font enregistrer auprès de l'Autorité de contrôle prudentiel et de résolution les agents auxquels ils entendent recourir » [19].

6.3.4. Passeport européen. S’il y avait à ériger une autre innovation d’importance à côté de la création des services d’initiation de paiement et d’information sur les comptes, ce serait celle-ci, telle qu’ainsi décrite par le rapport au président de la République : « En matière de supervision des activités transfrontalières, la directive organise une procédure de coopération entre les autorités compétentes et renforce les pouvoirs de l'État membre d'accueil. Ainsi est-il prévu dans le cadre de la présente ordonnance la désignation d'un point de contact central pour les établissements de paiement ayant recours à des agents en libre établissement et remplissant les conditions qui seront fixées par un règlement délégué de l'Autorité bancaire européenne » (p. 1).

De l'article L. 522-13 du CMF réécrit, on retient en effet que lorsqu’un EP européen « entend recourir à des agents et remplit les critères prévus par l'acte délégué adopté en vertu de l'article 29.5 et 29.7 de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 susvisée, il désigne un point de contact central établi sur le territoire de la France métropolitaine, en Guadeloupe, en Guyane, en Martinique, à La Réunion, à Mayotte ou à Saint-Martin. Ce point de contact central est en charge de la communication d'informations relatives au respect des dispositions de la section 5 du chapitre II du titre Ier du livre Ier, du chapitre III du titre III du livre Ier, du chapitre IV du titre Ier du livre III et du chapitre Ier du titre II du livre V afin de faciliter la surveillance des autorités compétentes de l'État d'origine et de l'Autorité de contrôle prudentiel et de résolution » (CMF, art. L. 522-13, II, 1°, al. 2).

6.3.5. EME. Bien que directive sur les services de paiement, la DSP 2, par jeu de renvois, modifie assez sensiblement la réglementation des EME. On consultera à cet égard aux articles 15 et 16 de l’ordonnance du 9 août 2017.

6.3.6. Autorités. On l’a vu plus haut (Principes directeurs), une compétence exceptionnelle (« par dérogation ») est reconnue à la CNIL, par application des compétences qui lui sont reconnues par le règlement général sur la protection des données du 27 avril 2016, de veiller au respect des articles L. 521-5 et L. 521-6 du CMF (CMF, art. L. 521-7). C’est là une réelle immixtion du droit des données à caractère personnel (et de son autorité de supervision) dans le droit des services de paiement, dont les PSP devront prendre toute la mesure.

Et que dire du rôle majeur nouvellement attribué à la Banque de France, spécialement chargée de s’assurer de la sécurité de l’accès aux comptes de paiement par les PSIP et PSIC, d’une part (CMF, art. L. 521-8) ; destinataire de toute information concernant un incident de sécurité majeur remonté par un PSP, d’autre part, à concurrence de l’ACPR qui, elle, aura connaissance des incidents opérationnels majeurs (CMF, art. L. 521-10).

6.3.7. LCB-FT. Un mot pour dire que nos nouveaux PSIP et PSIC seront exonérés de toute obligation de lutte contre le blanchiment des capitaux et le financement du terrorisme (la « LCB-FT ») : les seconds en vertu d’un nouvel article L. 561-2-3 du CMF qui dispose que les établissements de crédit, les EP et les EME, y compris lorsqu’ils exercent sur le territoire national par voie d’agents ou de distributeurs, ne sont pas soumis aux dispositions relatives à la LCB-FT lorsqu’ils exercent le service 8° ; les premiers, moins évidemment toutefois, en application d’un nouvel article R. 561-16, 10° (voir ci-dessous Décrets).

7. Références

On l’a vu plus haut : l’ordonnance de transposition de la DSP 2 modifie le CMF (quasi exclusivement) en trois endroits principaux : chapitre III du titre III du livre Ier (droit des opérations de paiement), chapitre IV du titre Ier du livre III (droit des services de paiement) et chapitres I et suivants du titre II du livre V (droit des PSP).

Par ailleurs, le rapport au président de la République relatif à l’ordonnance sous commentaire précise utilement qu’elle s’accompagnera d’un décret en Conseil d’État, d’un décret simple et de cinq arrêtés, tous parus depuis.

8. Appendice

Les textes infra-législatifs (en vigueur le 13 janvier 2018) sont donc au nombre de sept.

8.1. Décrets

Sont parus au JO du 2 septembre deux décrets n° 2017-1313 et n° 2017-1314 du 31 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.

Le premier décret est de peu d’intérêt dans le cadre de ce commentaire, sinon pour sa disposition relative à la LCB-FT concernant les PSIP : « En application du II de l’article L. 561-9, les personnes mentionnées à l’article L. 561-2 ne sont pas soumises aux obligations de vigilance prévues aux articles L. 561-5 et L. 561-6, pour autant qu’il n’existe pas de soupçons de blanchiment de capitaux ou de financement du terrorisme, lorsque l’opération porte sur les produits ou services suivants : […] 11° Les services mentionnés au 7 du II de l’article L. 341-1 » (CMF, art. R. 561-16).

Le second est en revanche riche d’un nouvel article D. 314-2, portant un certain nombre de définitions inédites – et parfois maladroites [20] – des services de paiement, dont celle particulièrement bienvenue du service d’acquisition d’opérations de paiement : « un service fourni par un prestataire de services de paiement convenant par contrat avec un bénéficiaire d'accepter et de traiter des opérations de paiement, de telle sorte que les fonds soient transférés au bénéficiaire » (CMF, art. D. 314-2, 4°).

Et, bien sûr, l’on ne peut omettre les définitions de nos nouveaux services 7° et 8° :

  • « Service d'initiation de paiement, un service consistant à initier un ordre de paiement à la demande de l'utilisateur de services de paiement concernant un compte de paiement détenu auprès d'un autre prestataire de services de paiement » (CMF, art. D. 314-2, 6°) ;
  • « Service d'information sur les comptes, un service en ligne consistant à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l'utilisateur de services de paiement soit auprès d'un autre prestataire de services de paiement, soit auprès de plus d'un prestataire de services de paiement » (CMF, art. D. 314-2, 7°).

8.2. Arrêtés

Il y a d’abord l’arrêté du 31 août 2017 modifiant l'arrêté du 29 juillet 2009 relatif aux relations entre les prestataires de services de paiement et leurs clients en matière d'obligations d'information des utilisateurs de services de paiement et précisant les principales stipulations devant figurer dans les conventions de compte de dépôt et les contrats-cadres de services de paiement. Point besoin de s’attarder, son intitulé parle de lui-même, les modifications sont significatives, notamment concernant les PSIP, on y renvoie.

Vient ensuite l’arrêté du 31 août 2017 modifiant l'arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution. On y retient cette définition intéressante de l’incident de sécurité, dont on a vu qu’il justifiait la compétence de la Banque de France plutôt que celle de l’ACPR (voir Autorités) : « un événement ou une série d'événements imprévus résultant de processus internes inadaptés ou défaillants ou d'événements extérieurs affectant la disponibilité, l'intégrité, la confidentialité et la continuité des systèmes d'information et de communication et/ou les informations utilisées pour la fourniture de services de paiement. Ceci inclut les incidents provenant de cyber-attaque ou de la non-pertinence des mesures de sécurité physique » (art. 10, ak) [21].

Nous passerons sur l’arrêté du 31 août 2017 modifiant l'arrêté du 20 mai 2015 portant réglementation prudentielle et comptable en matière bancaire et financière en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna, et terminerons en énonçant seulement que deux derniers arrêtés du 31 août 2017, évidemment importants en pratique [22], modifient l’un l'arrêté du 2 mai 2013 portant sur la réglementation prudentielle des établissements de monnaie électronique, l’autre l'arrêté du 29 octobre 2009 portant sur la réglementation prudentielle des établissements de paiement. Retenons de ce dernier :

  • un nouvel article 2-2 précisant le détail de la demande d’enregistrement des PSIC ;
  • la création d’un chapitre 2 bis portant sur le montant minimal de l’assurance de responsabilité civile professionnelle ou d’une autre garantie comparable requise des PSIP ou des PSIC.

Achevé de rédiger le 18 septembre 2017.

 

[1] Cf. P. Storrer, « Abécédaire de la DSP 2 », Revue Banque n° 793, févr. 2016, p. 88.

[2] Notice explicative telle que définie par une circulaire du Premier ministre du 7 juillet 2011 relative à la qualité du droit.

[3] Utilisateur de services de paiement que la DSP 2 définit comme une personne physique ou morale qui utilise un service de paiement en qualité de payeur, de bénéficiaire, ou des deux (art., 4, 10).

[4] Cf. CMF, art. L. 522-1, II. En ce sens, rapport au président de la République, p. 2 : « […] une nouvelle catégorie de prestataires de services de paiement est créée, les prestataires de services d’information sur les comptes ».

[5] Comp. Circ. 7 juill. 2011 relative à la qualité du droit, Production d’une notice explicative à l’appui des décrets réglementaires : « La rubrique “Objet” caractérise, en un nombre limité de mots-clés, l'objet du texte. Sa mise au point ne dispense pas le rédacteur de prêter une attention particulière à l'intitulé du texte qui est un élément déterminant pour sa compréhension. »

[6] Ord. n° 2017-1252, 9 août 2017, art. 34, I.

[7] Comp. Manifesto for the impact of PSD2 on the future of European Fintech, p. 3: « Secure Authenticated Direct Access (screen scraping combined with TPP identification) is fully PSD2 compliant […] ».

[8] Ord. n° 2017-11252, 9 août 2017, art. 34, XI.

[9] On se souviendra que fut envisagé un temps que les PSIC accèderaient également aux données de comptes sur livret, comptes à terme et comptes d’épargne. Mais la disposition fut retirée du projet d’ordonnance de transposition, dans la mesure où elle ne pouvait à l’évidence se prévaloir ni de la lettre, ni de l’esprit de la DSP 2, limités par définition aux services et comptes de paiement.

[10] Cf. rapport au président de la République, p. 2 : « […] les services d’initiation de paiement, qui permettent aux consommateurs de payer leurs achats en ligne par simple virement, tout en donnant aux commerçants l’assurance que le paiement a été initié de sorte que les biens peuvent être livrés ou les services fournis sans délai ».

[11] Cf. P. Storrer, « Du consentement explicite à l’accès au compte dans la DSP 2 », Revue Banque n° 808, mai 2017, p. 70.

[12] En ce sens, M. Roussille, « Opérations de paiement dans la DSP 2 : clarifications et modernisation », hors-série Banque & Droit « DSP 2 : le futur du paiement », juill.-août 2016, p. 24.

[13] f de l’article L. 133- 4 qui dispose : « Une authentification forte du client s'entend d'une authentification reposant sur l'utilisation de deux éléments ou plus appartenant aux catégories “connaissance” (quelque chose que seul l'utilisateur connaît), “possession” (quelque chose que seul l'utilisateur possède) et “inhérence” (quelque chose que l'utilisateur est) et indépendants en ce sens que la compromission de l'un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification. »

[14] Notons encore qu’au service 5°, les mots « ordres de paiement » sont remplacés par « opérations de paiement ». On parlera donc dorénavant d’« acquisition d’opérations de paiement ».

[15] « Les données de paiement sensibles s'entendent des données, y compris les données de sécurité personnalisées, qui sont susceptibles d'être utilisées pour commettre une fraude. En ce qui concerne les activités des prestataires de services de paiement fournissant le service d'initiation de paiement et des prestataires de services de paiement fournissant le service d'information sur les comptes, le nom du titulaire du compte et le numéro de compte ne constituent pas des données de paiement sensibles » (CMF, art. L. 133-4, g).

[16] Nous en avions déjà fait l’observation : cf. P. Storrer, « Du droit de donner libre accès à son compte de paiement », hors-série Banque & Droit « DSP 2 : le futur du paiement », juill.-août 2016, p. 14.

[17] Et que les PSIC, à l’instar des PSIP, doivent disposer d’une assurance de responsabilité civile (CMF, art. L. 522-7-1), dont l’ABE est chargée de définir les contours.

[18] On peut encore observer que le client consommateur d’un PSIC aura droit de recourir à un médiateur dans les conditions du Code de la consommation (CMF, art. L. 316-1, al. 1).

[19] Comp. DSP 2, art. 19, 1 : « Tout établissement de paiement qui entend fournir des services de paiement par l’intermédiaire d’un agent communique les informations suivantes […] ».

[20] Sont ainsi définis, à l’instar de la DSP 2 elle-même, un « service de virement » et un « service de prélèvement », qui nous semblent constituer un raccourci maladroit des services 3° ou 4°.

[21] On relève encore la modification portée à l’article 273 de l’arrêté du 3 novembre 2014, aux termes de laquelle « les prestataires de services d'information sur les comptes ne sont pas soumis aux dispositions relatives au risque de blanchiment des capitaux et de financement du terrorisme prévues aux articles 43 à 73 et 246 ».

[22] Chacun contient par exemple un nouvel article 2 sur le contenu de la demande d’agrément d’EME et d’EP.

 

Articles du(des) même(s) auteur(s)

Sur le même sujet