Archive

Droit des moyens et services de paiement

Abécédaire de la DSP 2

Créé le

18.01.2016

-

Mis à jour le

28.01.2016

La DSP 2 de A à (presque) Z, telle est l’ambition, non systématique, de cet exposé de la future loi fondamentale du droit des services de paiement.

Abécédaire de la DSP 2
Pierre Storrer
  • Avocat au Barreau de Paris Storrer & Associés

La méthode de l’abécédaire manque peut-être d’ambition mais a fait ses preuves. Elle présente le mérite de permettre un accès simple et rapide à l’information. Le temps de la systématisation viendra plus tard.

La voici donc, publiée au Journal officiel de l’Union européenne du 23 décembre 2015, la directive 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, dont l’acronyme est déjà entré dans le langage courant des acteurs du paiement : la DSP 2.

La voici donc, cette nouvelle loi fondamentale des services de paiements, forte de 113 considérants (DSP : 63) et 117 articles (DSP : 96), divisés en six titres :

  • I. Objet, champ d’application et définitions ;
  • II. PSP ;
  • III. Transparence des conditions et exigences en matière d’informations régissant les services de paiement ;
  • IV. Droits et obligations liés à la prestation et à l’utilisation de services de paiement ;
  • V. Actes délégués et normes techniques de réglementation ;
  • VI. Dispositions finales.
1. ABE. Un rôle majeur de coordination est confié à l’ABE, telle qu’instituée par le règlement n° 1093/2010 du 24 novembre 2010 (cons. 91). Son action va de la rédaction de projets de normes techniques de réglementation au règlement des différends entre autorités compétentes des États membres. Elle est par ailleurs chargée de la tenue d’un registre central électronique alimenté des informations enregistrées dans les registres publics des différentes autorités compétentes (Voir Registre central de l’ABE).

Les mesures techniques que l’ABE est censée prendre sont dites de « second niveau » (Regulatory technical standards – RTS). La DSP 2 étant truffée de renvois à celles-ci, on craint que la substance du futur droit des paiements soit davantage de second que de premier niveau, que les normes techniques prennent le pas sur les règles juridiques. Quoi qu’il en soit, et c’est assez considérable, les services de paiement intègrent le champ du système européen de surveillance financière (dit SESF), cependant que les PSP (et les EME) rejoignent la catégorie des « établissements financiers » au sens du règlement n° 1093/2010 précité (art. 112).

Pour l’heure, l’ABE a rendu publics les documents suivants :

  • Discussion Paper on future Draft Regulatory Technical Standards on strong customer authentification and secure communication under the revised Payment Services Directive (PSD2) (8 déc. 2015) ;
  • Consultation Paper – Draft Regulatory Technical Standards on separation of payment card schemes and processing entities under Article 7 (6) of Regulation (EU) 2015/751 (8 déc. 2015) ;
  • Consultation Paper – Draft Regulatory Technical Standards on the framework for cooperation and exchange information between competent authorities for passport notifications, under PSD2 (11 déc. 2015).
En attendant, ont été publiées, le 19 décembre 2014, les orientations finales de l’ABE – qui prolongent elles-mêmes les recommandations du Forum européen SecuRe Pay : Recommandations for the security of internet payments de janvier 2013 et Recommandations for the security of payments account access services de mai 2014 –, sur lesquelles nous devrions «  vivre » d’ici la transposition de la DSP 2. Où s’avère d’ores et déjà qu’un droit de second niveau l’est aussi en termes de qualité de rédaction.

2. Accès (aux comptes bancaires). Voici, nous semble-t-il, une disposition inédite en forme de droit au compte : « Les États membres veillent à ce que les établissements de paiement aient un accès objectif, non discriminatoire et proportionné aux services de comptes de paiement des établissements de crédit. Cet accès est suffisamment étendu pour permettre aux établissements de paiement de fournir des services de paiement de manière efficace et sans entraves.

L'établissement de crédit communique à l'autorité compétente les raisons de tout refus » (art. 36).

Nous ne savons trop ce que sont ces « services de comptes de paiement des établissements de crédit ». Cela concernerait-il, entre autres, l’ouverture de comptes de cantonnement qui, on le sait, n’est pas toujours aisée pour les EP ou EME ? Le considérant 39 de la directive ne paraît pas l’exclure.

3. Accès (aux systèmes de paiement). Depuis leur création, ou presque, les établissements para-bancaires (paiement, monnaie électronique) se plaignent de leur droit d’accès seulement indirect aux systèmes de paiement (i. e. traitement, compensation et/ou règlement des opérations de paiement). Le Livre vert s’était saisi de la question, mettant en avant que ces établissements ne pouvaient concurrencer les banques sur un pied d’égalité, dès lors qu’ils étaient obligés de recourir à leurs services pour régler les paiements (p. 12).

Alors, cette DSP 2, accorde-t-elle aux EP (et EME) un droit d’accès direct aux systèmes de paiement ? La lecture des quatre considérants que la directive réserve à ce sujet (cons. 49 à 52) ne permet pas de répondre simplement. Celle de l’article 35 n’est guère plus éclairante, qui nous fait conclure que, manifestement, la DSP 2 n’apporte rien de neuf qui soit substantiel.

4. Agents (Point de contact central). C’est une nouveauté de la DSP 2, qui octroie aux États accueillant des agents exerçant pour le compte d’un EP d’un autre État, la possibilité d’exiger de l’établissement qu’il désigne un point de contact central sur leur territoire, en charge – sans préjudice de toute disposition relative à la LCB-FT [1] – d’assurer bonnes communication et information concernant la conformité avec les titres III (Transparence des conditions et exigences en matière d’information régissant les services de paiement) et IV de la directive (Droits et obligations liés à la prestation et à l’utilisation des services de paiement). Il s’agit de faciliter la surveillance des réseaux d’agents, selon des critères à déterminer par l’ABE (cons. 44 et art. 29, 4).

5. Agent commercial. Voir 31. Place de marché.

6. Agrément. Les futures demandes d’agrément d’EP (on serait tenté d’ajouter « de droit commun » afin d’isoler les PSIP et les PSIC) seront sensiblement plus lourdes à instruire que celles qui ont cours aujourd’hui [2] : aux douze exigences de la DSP succèderont dix-sept issues de la DSP 2. Seront ainsi requis, en sus :

  • une description de la procédure en place pour assurer la surveillance, le traitement et le suivi des incidents de sécurité et des réclamations de clients liées à la sécurité, y compris un mécanisme de signalement des incidents (art. 5, 1, f) ;
  • une description du processus en place pour enregistrer, surveiller et restreindre l'accès aux données de paiement sensibles et garder la trace de ces accès (art. 5, 1, g) ;
  • une description des dispositions en matière de continuité des activités, y compris une désignation claire des activités essentielles, des plans d'urgence appropriés et une procédure prévoyant de soumettre ces plans à des tests et de réexaminer périodiquement leur adéquation et leur efficience (art. 5, 1, h) ;
  • une description des principes et des définitions appliqués pour la collecte de données statistiques relatives aux performances, aux opérations et à la fraude (art. 5, 1, i) ;
  • un document relatif à la politique de sécurité, comprenant une analyse détaillée des risques en ce qui concerne les services de paiement proposés et une description des mesures de maîtrise et d'atténuation prises [3] pour protéger les utilisateurs de services de paiement de façon adéquate contre les risques décelés en matière de sécurité, y compris la fraude et l'utilisation illicite de données sensibles ou à caractère personnel (art. 5, 1, j).
7. Authentification forte du client. Celle-ci se définit (la définition est savoureuse) comme «  une authentification reposant sur l'utilisation de deux éléments ou plus appartenant aux catégories “connaissance" (quelque chose que seul l'utilisateur connaît), “possession" (quelque chose que seul l'utilisateur possède) et “inhérence” (quelque chose que l'utilisateur est) et indépendants en ce sens que la compromission de l'un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification » (art. 4, 30) [4] .

Le siège de son régime se trouve à l’article 97 de la directive, aux termes duquel un PSP applique l’authentification forte du client lorsque (conditions cumulatives ?) le payeur :

  • accède à son compte de paiement en ligne ;
  • initie une opération de paiement électronique [5] ;
  • et exécute une action en ligne à risque (de fraude)… donc presque toujours.
On aurait ainsi tort de réserver l’exigence d’authentification forte aux activités des PSIP et PSIC, même si ceux ceux-ci y sont soumis presque par nature (davantage pour les premiers que pour les seconds), comme les Orientations finales de l’ABE ont pu le prescrire : «  L’initiation de paiement sur internet, ainsi que l’accès aux données sensibles de paiement, doivent être protégés par une authentification forte du client » (p. 14).

Une double règle importante figure par ailleurs au point 2 de l’article 74, au titre de la responsabilité du payeur en cas d’opérations de paiement non autorisées : « Lorsque le prestataire de services de paiement du payeur n’exige pas une authentification forte du client, le payeur ne supporte aucune perte financière éventuelle à moins qu’il ait agi frauduleusement. Lorsque le bénéficiaire ou son prestataire de services de paiement n’accepte pas une authentification forte du client, il rembourse le préjudice financier causé au prestataire de services de paiement du payeur ».

L’article 98 de la DSP 2 mandate l’ABE afin de prendre des normes techniques de réglementation. À l’heure où ces lignes sont écrites, celles-ci font l’objet d’un Discussion Paper on future Draft Regulatory Technical Standards on strong customer authentification and secure communication under the revised Payment Services Directive (PSD2), publié le 8 décembre 2015.

8. Capital initial. Les montants sont les suivants (art. 7) :

  • 20 000 euros : service 6 : transmission de fonds,
  • 50 000 euros : service 7 : initiation de paiement et
  • 125 000 euros : services 1 à 5.
D’où il ressort qu’aucun capital initial n’est exigé de la part des PSIC, pour cela, sans doute, qu’ils n’ont pas à être agréés mais seulement enregistrés.

9. Champ d’application territorial. L’élément notable est celui de l’extension de l’essentiel des obligations d’information (titre III de la DSP 2) et des droits et obligations liés à la prestation et à l’utilisation des services de paiement (titre IV) aux opérations dites « leg out » [6] ainsi qu’aux opérations dans des devises autres que l’euro (art. 2).

10. Contrat-cadre de services de paiement. Le droit des contrats-cadres de services de paiement demeure relativement stable. Tout au plus remarque-t-on ces quelques nouveautés :

  • la mention dans le contrat-cadre de la procédure sécurisée applicable par le PSP pour la notification à l’utilisateur en cas de soupçon de fraude, de fraude avérée ou de menaces pour la sécurité (art. 52, 5, b) ;
  • la résiliation du contrat-cadre n’entraîne aucun frais pour l’utilisateur sauf si le contrat est en vigueur depuis moins de six mois (art. 55, 2).
11. Données à caractère personnel. Avancée timide de la DSP 2 en regard de la DSP (art. 79), qui double l’exigence de finalité (lutte contre la fraude) du traitement de données à caractère personnel par le recueil du consentement : «  Les prestataires de services de paiement n'ont accès à des données à caractère personnel nécessaires à l'exécution de leurs services de paiement, ne les traitent et ne les conservent qu'avec le consentement explicite de l'utilisateur de services de paiement » (art. 94, 2). La lecture du considérant 89 permet d’en saisir l’esprit : «  En particulier, lorsque des données à caractère personnel font l'objet d'un traitement aux fins de la présente directive, la finalité devrait être précisée, la base juridique pertinente devrait être visée et les exigences de sécurité applicables de la directive 95/46/CE satisfaites, et les principes de nécessité, de proportionnalité, de limitation de la finalité et de la durée proportionnée de conservation devraient être respectés. De même, la protection des données dès la conception et la protection des données par défaut devraient être intégrées dans tous les systèmes de traitement des données développés et utilisés dans le cadre de la présente directive ».

Point, cependant, de prohibition des données personnelles à des fins commerciales, comme celle-ci figure désormais dans les 4es directive et règlement anti-blanchiment [7] , ce qui est à l’évidence regrettable.

12. Données de paiement sensibles. Nous avons à maintes fois regretté que les données de paiement (ou de transaction) ne soient pas considérées comme sensibles, tant par les textes généraux sur la protection des données à caractère personnel que par la réglementation bancaire et financière. On a pu alors se féliciter que le droit anti-blanchiment nouveau compose désormais avec l’impératif de protection des données [8] . Las, la DSP 2 nous réserve une définition (les considérants sont quant à eux muets) – voire une place – décevante des (aux) « données de paiement sensibles », entendues comme celles « qui sont susceptibles d’être utilisées pour commettre une fraude » (art. 4, 32) [9] . Nous voilà bien avancés, si ce n’est que la catégorie recouvre les données de sécurité personnalisées et exclut, mais seulement vis-à-vis de l’activité de certains (PSIP et PSIC) le nom du titulaire du compte et le numéro dudit compte.

Quant au régime des données de paiement sensibles, il se résume à une règle générale et deux particulières aux deux nouveaux acteurs des services de paiement. En premier lieu, l’obtention de l’agrément d’EP suppose, entre autres, une description du processus en place pour enregistrer, surveiller et restreindre l’accès à de telles données et garder la trace de ces accès (art. 5, 1, g). Les PSIP, ensuite, ne sont pas autorisés à stocker de données de paiement sensibles concernant l’utilisateur de services de paiement (art. 66, 3, e). Enfin, les PSIC ne peuvent demander de données de paiement sensibles liées à un compte de paiement (art. 67, 2, e). Tout cela est bien beau, sauf que l’on ne sait quelles sont ces données qu’ils ne peuvent stocker ou auxquelles ils ne peuvent avoir accès. L’ABE nous le dira peut-être…

13. Données de sécurité personnalisées. La notion ne figurait pas dans la DSP. Elle couvre désormais les « données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification » (art. 4, 31). L’expression « données de sécurité personnalisées » se substitue à celle, employée dans la DSP, de « dispositifs de sécurité personnalisés » [10] . L’utilisateur prend toute mesure raisonnable pour préserver la sécurité desdites données (art. 69 2), qui peuvent être des données de paiement sensibles au sens de l’article 4, 32 de la DSP 2.

Elles sont généralement délivrées par le PSPGC et utilisées par les PSIP ou les PSIC (cons. 30), dès lors soumis à certaines règles relatives à l’accès au compte de paiement (art. 66 : PSIP) ainsi qu’à l’accès aux données des comptes de paiement (art. 67 : PSIC). Une indication importante figure au considérant 69 : l’impératif de préserver la sécurité des données de sécurité personnalisées ne devrait pas empêcher ou compliquer le recours à des PSIC ou PSIP.

À quoi l’on ajoute qu’un peu de constance des instances européennes serait appréciable en cette période de législation. Car, sauf erreur, les règles en vigueur sur la sécurité des paiements sur internet (les orientations finales de l’ABE, donc) ignorent la notion comme l’expression de « données de sécurité personnalisées » (sont-ce les « données d’authentification » dont parlent l’ABE ?). Un peu de cohérence ferait du bien…

14. Établissement de monnaie électronique et de paiement. EMEP : aurait pu se cacher derrière cet acronyme un statut unifié d’établissement de monnaie électronique et de paiement. On se souvient toutefois que bien qu’ayant fait le constat que la frontière entre EP et EME tendait de plus en plus à « se brouiller sous l’effet de la convergence des technologies et des modèles d’entreprise », la proposition de DSP 2 avait écarté la fusion entre les deux statuts, faute de recul suffisant sur l’application de la DME 2, (trop) tardivement transposée dans certains États membres, dont la France.

15. Émetteurs d’instruments de paiement liés à une carte. Et si une troisième catégorie de PSP (i. e. en plus des PSIP et PSIC) était créée par la DSP 2, sans qu’on l’ait bien vue venir ? La question est liée à la « confirmation de la disponibilité des fonds », telle que la règle en est posée à l’article 65 de la directive : « Les États membres veillent à ce qu'un prestataire de services de paiement gestionnaire du compte, à la demande d'un prestataire de services de paiement qui émet des instruments de paiement liés à une carte, confirme immédiatement si le montant nécessaire à l'exécution d'une opération de paiement liée à une carte est disponible sur le compte de paiement du payeur […] » [11] .

Troisième catégorie d’acteurs (que l’on nomme volontiers Card-based payment instrument issuers), sans doute pas ; mais activité intermédiaire nouvelle, à l’évidence : l’émission d’un instrument de paiement lié à une carte par un PSP mérite selon le législateur européen d’être promue dès lors qu’elle émane d’un PSP non gestionnaire du compte (cf. cons. 67, 68 et 75) [12] . Nous sommes bien là au cœur de l’« idéologie » de la DSP, la 1 comme la 2 au demeurant.

La confirmation prend la forme d’un simple « oui » ou « non » et ne permet pas au PSPGC de bloquer des fonds sur le compte de paiement du payeur (art. 65).

16. Émission et acquisition. Mais, au fait qu’est-ce qu’au juste, l’émission d’un instrument de paiement ? l’acquisition d’une opération de paiement ? se demande parfois le praticien (ou le professeur), confronté à la mise en œuvre du « service 5 ». Nous n’en avions pas de définition, ou presque [13] , avant la DSP 2.

Il y a peu à dire sur l’émission d’instruments de paiement, définie comme « un service de paiement fourni par un prestataire de services de paiement convenant par contrat de fournir au payeur un instrument de paiement en vue d'initier et de traiter les opérations de paiement du payeur » (art. 5, 45).

Plus diserte est la directive quant à l’acquisition d’opérations de paiement, dont une définition neutre est introduite afin de dépasser le seul modèle de l’acquisition d’opérations par carte (cons. 10) : « un service de paiement fourni par un prestataire de services de paiement convenant par contrat avec un bénéficiaire d'accepter et de traiter des opérations de paiement, de telle sorte que les fonds soient transférés au bénéficiaire » (art. 5, 44). Étant précisé qu’une prestation technique de stockage de données ou de gestion des terminaux, parfois offerte aux PSP, ne doit pas être considérée comme de l’acquisition (cons. précit.).

17. Esprit de la loi. Huit ans, presque jour pour jour, séparent la DSP de la DSP 2. La première posa les fondements du marché unique des services de paiement ; la seconde entend les intégrer au sein d’un environnement bien plus large (et mouvant), celui du commerce électronique et, au-delà encore, de l’économie numérique. Cela était clairement exprimé dans le document intermédiaire qu’a été le Livre vert : « […] le commerce est en train de basculer du monde réel vers le monde virtuel. La manière d’acheter des biens et des services en Europe est en train de se transformer fondamentalement ».

L’objectif fut alors de donner les moyens à l’Europe de « gérer les évolutions futures de l’“acte de payer” » (Livre vert) et lui permettre de « créer un environnement de paiement qui nourrisse la concurrence, favorise l’innovation et garantisse la sécurité », pour reprendre les termes de l’exposé des motifs de la proposition de DSP 2 du 24 juillet 2013 (p. 4). Proposition qui ajoutait à propos de la DSP : « Globalement, la directive reste adaptée à sa finalité ; en même temps, le cadre législatif de l’UE doit évoluer pour tenir compte des dernières évolutions technologiques et commerciales dans le domaine des paiements de détail » (p. 10). On retrouve cette idée au considérant 3 de la DSP 2, soulignant que « le marché des paiements de détail a connu d’importantes innovations techniques qui mettent à l’épreuve le cadre actuel ».

Un texte, en somme, plus confortatif que révolutionnaire, la DSP 2 qui, outre bien sûr la promotion des prestataires de services non gestionnaires de compte, apporte d’abord confirmations et clarifications de diverses règles. Cela étant, les changements apportés à la DSP sont trop nombreux pour qu’elle ne soit pas abrogée (cons. 113).

18. Établissement (Droit d’). Précision à notre sens inédite apportée par le considérant 36 de la directive : pour éviter tout abus du droit d’établissement, l’EP qui demande l’agrément dans un État membre devrait justifier qu’il exerce au moins une partie de son activité dans cet État. En creux, l’article 11, 3 exige que les EP exercent au moins une partie de leur activité de prestation de services de paiement dans l’État membre dans lequel il est agréé.

19. Exclusion relative aux réseau et éventail (très) limités. D’une directive l’autre, l’exclusion dite de « réseau ou “éventail” limités » est très sensiblement remaniée, afin de pallier les dérives d’application, selon les États, de la DSP. Elle distingue désormais, aux termes de l’article 3, k, trois cas de figure, nettement individualisés, d’exclusion du champ d’application de la DSP 2 lorsqu’un instrument de paiement « spécifique » est utilisé de manière limitée :

  • afin d’acquérir des biens ou services au sein d’un réseau limité de prestataires de services directement liés par un contrat commercial à un émetteur professionnel, ou
  • pour acquérir un éventail très limité de bien ou de services, ou
  • lorsque l’instrument de paiement fait l’objet d’une réglementation publique à des fins sociales ou fiscales spécifiques dans le cadre de l’acquisition de biens ou de services spécifiques.
Le considérant 13 illustre ainsi les deux premières hypothèses [14] :

  • réseau limité : par exemple utilisation d’une marque de paiement unique, laquelle est utilisée dans les points de vente et apparaît, si possible, sur l’instrument de paiement utilisé dans ces points de vente ;
  • éventail très limité : par exemple lorsque les possibilités d’utilisation sont effectivement limitées à un nombre donné de biens ou de services fonctionnellement liés, indépendamment du point de vente.
Et puis une nouveauté de taille concernant l’exception de réseau ou d’éventail limité : dès lors que l’une et/ou l’autre activité exercées en ces cas dégagerait une valeur totale des opérations de paiement exécutées au cours des douze mois précédent qui excèderait 1 000 000 euros, une notification doit être faite au régulateur, qui peut considérer que l’activité n’est pas un réseau limité (art. 37, 2).

20. Exemption (« Petits EP »). La version initiale de la proposition avait abaissé à 1 000 000 euros (montant des opérations de paiement) le plafond d’exemption des « petits EP ». Le texte final revient quant à lui au plafond inscrit dans la DSP. Si bien que, les EP fournissant les services 1 à 6 (hors donc initiation de paiement et information sur les comptes) peuvent être exemptés en tout ou partie des procédures et conditions statutaires dès lors que, notamment, « la moyenne mensuelle de la valeur totale des opérations de paiement exécutées, au cours des douze mois précédents, par la personne concernée, y compris tout agent dont elle assume l'entière responsabilité, ne dépasse pas une limite fixée par l'Etat membre et, en tout état de cause, ne s'élève pas à plus de 3 000 000 euros » (art. 32, 1, a).

Une autre évolution, qui ne serait pas que sémantique, et donc d’une portée certaine : la DSP parlait de « dérogation » aux règles statutaires, là où la DSP 2 utilise bien le terme « exempter » ; il ne serait ainsi plus question de faire une exception, mais bien de sortir les petits établissements du statut commun des EP.

21.  Exemption (PSIC). Voir 42. PSIC (Enregistrement).

22. Externalisation. Une incise intéressante à l’article 19, 6, alinéa 2, de la directive, qui range « les systèmes informatiques »  parmi les fonctions opérationnelles importantes soumises au droit de l’externalisation. Cela va mieux en le disant.

23. Facture opérateur. L’exclusion du champ d’application des services de paiement de la facture opérateur (imputation directe d’achats sur la facture de téléphone) est sensiblement réécrite dans la DSP 2, qui entend qu’elle ne dégénère pas en « service général d’intermédiation des paiements » (l’expression est intéressante) (cons. 15). Services vocaux, tickets électroniques et dons (c’est une nouveauté) sont en conséquence expressément visés au titre de l’exclusion de la facture opérateur, sous conditions de seuils (cons. 16) : la directive ne s’applique pas « aux opérations de paiement proposées par un fournisseur de réseaux ou de services de communications électroniques en plus de services de communications électroniques pour un abonne au réseau ou au service :

  • effectuées pour l'achat de contenu numérique et de services vocaux, quel que soit le dispositif utilisé pour l'achat ou la consommation du contenu numérique et imputées sur la facture correspondante ; ou
  • exécutées depuis ou au moyen d'un dispositif électronique et imputées sur la facture correspondante dans le cadre d'activités caritatives ou pour l'achat de tickets ;
  • à condition que la valeur de chaque opération de paiement isolée visée aux points i) et ii) ne dépasse pas 50 euros et que : (i) la valeur cumulée des opérations de paiement pour un même abonné ne dépasse pas 300 euros par mois et (ii) lorsqu'un abonné préfinance son compte auprès du fournisseur de réseau ou de services de communications électroniques, la valeur cumulée des opérations de paiement ne dépasse pas 300 euros par mois » (art. 3, l).
On note que les prestataires exerçant une telle activité sont tenus d’adresser une notification au régulateur, accompagnée d’un avis d’audit annuel.

24. Harmonisation. Comme sa devancière, la DSP 2 est d’harmonisation totale (art. 107), sous réserve d’une quinzaine d’options (Voir 28. Options).

25. Information (Charge de la preuve). Ce n’est plus une faculté laissée aux États membres, qui doivent désormais disposer qu’« il incombe au prestataire de services de paiement de prouver qu’il a satisfait aux exigences en matière d’information » (art. 41).

26. LCB-FT. La seule, ou principale, nouveauté en comparaison de la DSP [15] , concerne la sorte de droit d’opposition de l’État membre d’accueil en cas de jeu du passeport par voie de libre établissement (agent ou succursale). Il est en effet prévu que les autorités de l’État d’origine puissent ne pas être d’accord avec les motifs « raisonnables » de préoccupation (en lien avec la LCB-FT) exprimés par les autorités de l’État d’accueil, auxquelles elles communiqueront les raisons de leur décision. Si l’évaluation des unes et des autres est défavorable, l’enregistrement de l’agent ou de la succursale peut être refusé ou retiré (art. 28, 2).

On renvoie par ailleurs à quelques développements que les Orientations finales de l’ABE consacrent à la LCB-FT (p. 12).

27. Notification des incidents. Il s’agit d’une nouveauté importante de la DSP 2, très « dans l’air du temps » : en cas d’incident opérationnel ou de sécurité majeur, les PSP seront tenus d’informer sans retard injustifié leur autorité de supervision, voire leurs clients si leurs intérêts financiers sont menacés (art. 96).

28. Options. On retiendra principalement les options permettant :

  • d’exempter des « petits » EP (art. 32) ;
  • d’assimiler des micro-entreprises aux consommateurs concernant la transparence des conditions et les exigences en matière d’informations (art. 38, 2) ainsi que les droits et obligations liés à la prestation et à l’utilisation des services de paiement (art. 61, 3) ;
  • de moduler les montants des opérations de paiement nationales en-dessous desquels est admissible une dérogation aux exigences en matière d’information (art. 42, 2) ou à certaines règles régissant l’autorisation ou l’exécution des opérations de paiement (art. 63, 2) ;
  • de prévoir des dispositions sur la résiliation du contrat-cadre plus favorable pour les utilisateurs de services de paiement (art. 55, 6) ;
  • d’exiger, en cas d’opérations individuelles, que les PSP fournissent tant aux payeurs qu’aux bénéficiaires les informations requises sur support papier ou sur un autre support durable au moins une fois par mois gratuitement (art. 57, 3 et art. 58, 3) ;
  • de ne pas accorder le bénéfice des procédures de règlement extrajudiciaire aux utilisateurs de services de paiement non consommateurs (art. 61, 2),
  • d’interdire ou de limiter le droit du bénéficiaire d’appliquer des frais afin d’encourager la concurrence et favoriser l’utilisation de moyens de paiement efficaces (art. 62, 5).
29. « Paquet paiement ». Tel que proposé le 24 juillet 2013, le « paquet paiement » voulu par la Commission européenne est désormais « ficelé », la DSP 2 ayant été précédée par le règlement 2015/751 du 29 avril 2015 relatif aux commissions d’interchange pour les opérations de paiement liées à une carte. On y ajouterait volontiers le règlement 2015/847 du 20 mai 2015 sur les informations accompagnant les transferts de fonds.

30. Passeport européen [16] . On peut avancer qu’un droit du passeport européen naît avec la DSP 2 (et, dans le même temps, s’étonner qu’il n’exista avant) ; droit composé de trois volets : procédure d’échanges entre les autorités compétentes de départ et d’arrivée, surveillance et mesures de réaction ou de sanction en cas de non-conformité.

Les étapes de la procédure de demande d’exercice du droit d’établissement et de la liberté de prestation de services sont précisées, pour la première fois, à l’article 28 [17] :

  • transmission, par les autorités compétentes de l’État d’origine à celles de l’État d’accueil, dans un délai d’un mois à compter de leur réception, des informations initialement communiquées par l’EP à son autorité ;
  • dans ce même délai d’un mois, évaluation puis communication en retour par les autorités de l’État d’accueil à celles de l’État d’origine de toutes informations pertinentes, dont tous motifs raisonnables de préoccupation, notamment lié à la LCB-FT ;
  • enfin, dans un délai de trois mois, les autorités compétentes de l’État d’origine communiquent leur décision à leurs homologues de l’État d’accueil ainsi qu’à l’EP.
De manière inédite encore, un article entier, et long (article 28), est consacré à la «  surveillance des établissements de paiement exerçant le droit d’établissement et la liberté de prestation de services ». Outre l’éventuelle désignation d’un point de contact central (voir 4. Agents), la disposition traite de l’inspection sur place et offre la faculté aux autorités compétentes des États d’accueil d’exiger des EP opérant par voie de libre établissement sur leur territoire qu’ils leur adressent un rapport périodique sur les activités exercées sur ledit territoire.

Sont enfin prévues des mesures en cas de non-conformité d’exercice du passeport européen, y compris la prise de mesures conservatoires dans des situations d’urgence (art. 30), les unes et les autres, lorsqu’elles comportent des sanctions ou des restrictions à la liberté d’établissement ou de prestations de services, devant être dûment motivées et communiquées à l’établissement de paiement concerné (art. 31).

31. Place de marché (Agent commercial). Quand un adverbe change tout : en effet, l’intermédiation de l’achat ou de la vente de biens ou de services par un agent commercial ne sera exclue de la directive que si ce dernier agit « uniquement » pour le compte du payeur ou du bénéficiaire (art. 3, b) [18] . Faut-il alors jeter par-dessus la DSP 2 le critère de l’encaissement de fonds pour le compte de tiers si cher à l’ACPR [19] ? Pas tout à fait, mais autrement utilisé, à suivre le considérant 11 : « […] l'exclusion devrait dès lors s'appliquer lorsque les agents agissent uniquement pour le compte du payeur ou uniquement pour le compte du bénéficiaire, qu'ils soient ou non en possession des fonds des clients ». En revanche, « lorsque les agents agissent à la fois pour le compte du payeur et du bénéficiaire (comme par le biais de certaines plateformes de commerce électronique), ils devraient être exclus uniquement s'ils n'entrent à aucun moment en possession des fonds des clients ni n'exercent de contrôle sur ces fonds » (cons. précit.).

32. Prélèvement (carte). La figure « bâtarde » du prélèvement carte ferait-elle son entrée dans le droit des paiements ? On ne sait trop, sinon qu’est posée cette règle à l’article 75 de la DSP 2 : « Lorsqu’une opération de paiement est initiée par ou par l’intermédiaire du bénéficiaire dans le cadre d’une opération de paiement liée à une carte et que le montant exact n’est pas connu au moment où le payeur donne son consentement à l’exécution de l’opération de paiement, le prestataire de services de paiement du payeur peut bloquer des fonds sur le compte de paiement du payeur uniquement si celui-ci a donné son consentement quant au montant exact des fonds à bloquer ». Serait-ce par-là encadrer la retenue de garantie pratiquée par les hôteliers, loueurs de voiture et autres ?

33. Prélèvement (Remboursement). Le droit à remboursement inconditionnel – qui nous a toujours paru étonnant dès lors que l’opération de paiement a été dûment autorisée – des prélèvements (figurant tant dans la DSP que dans le règlement end date, ainsi que dans notre monétaire et financier) survivra-t-il à la directive nouvelle ? Le considérant 76 de la DSP 2 l’affirme, qui « vise à instaurer un droit conditionnel au remboursement en tant qu’exigence générale pour toutes les opérations de prélèvement en euros dans l’Union ». Mais il reconnaît aussi que ce droit n’est pas le seul garde-fou.

De sorte qu’il peut être convenu dans le contrat-cadre de services de paiement entre le payeur et le PSP que le premier n’a pas droit au remboursement à la condition que le payeur a donné son consentement l’exécution du prélèvement directement au PSP et, le cas échéant, que les informations relatives à la future opération de paiement lui ont été fournies quatre semaines avant son échéance par le PSP ou par le bénéficiaire (art. 76, 3).

34. Prestataires de services techniques. Rien de nouveau, dans la DSP 2, concernant les termes de leur exclusion (demeure en particulier l’exigence qu’ils n’entrent à aucun moment en possession des fonds à transférer), sinon que l’article 3, j réserve une exception : celle des services d’initiation de paiement et des services d’information sur les comptes. De sorte que ces derniers seraient les seuls services techniques qualifiés de services de paiement. Ils forment donc une catégorie intermédiaire entre prestations techniques et prestations de services de paiement.

Ajoutons que les exemples suivants de prestations techniques sont donnés : traitement et enregistrement des données, protection de la confiance de la vie privée ( ?), authentification des données et des entités, technologies de l’information et fourniture de réseaux de télécommunication, fourniture et maintenance des terminaux et dispositifs utilisés aux fins de services de paiement.

35. PSPGC. La DSP ne connaissait qu’une catégorie : les PSP, sans autre qualificatif. Il y a donc désormais deux catégories de PSP, les anciens qui demeurent prestataires de services « de paiement » à qui on accole « gestionnaires de comptes » ; les nouveaux qui ne sont pas prestataires de services « de paiement », à proprement parler, mais d’initiation de paiement ou d’information sur les comptes.

Le droit des services de paiement – cela est à souligner d’un trait épais – se distribue désormais selon que l’on tient, ou non, le compte du payeur. Selon que l’on gère, ou que l’on a seulement accès, le (au) compte de paiement : telle est la nouvelle summa divisio de la matière !

Les PSPGC (account servicing payment service provider) se définissent comme les PSP qui fournissent et gèrent un compte de paiement pour un payeur (art. 4, 17). Quant aux services liés au compte de paiement, ils comprennent tous les services liés, de manière générale, à l’ouverture, à la gestion et à la clôture d’un compte [20] . Partant, on peut circonscrire les PSPGC comme les prestataires qui fournissent, au moins, des « services permettant d’effectuer toutes les opérations requises pour l’ouverture, la gestion et la clôture d’un compte de paiement » [21] .

Si bien que la DSP 2 entretient une relation étroite, non pas tellement avec le règlement CMI (qui n’est jamais qu’un droit de la carte), mais avec la directive Comptes de paiement, dont l’objet devient central. Les premiers considérants de cette dernière directive font d’ailleurs expressément le lien entre marché des services de paiement et ouverture du secteur de la banque de détail.

36. Prestataires de services non gestionnaires de comptes (Cadre général). L’intention (il n’est pas inutile de la saisir lorsque l’on est confronté à un texte aussi dense que la DSP 2) est celle-ci : « Il est nécessaire de définir un cadre juridique clair fixant des conditions dans lesquelles les prestataires de services d’initiation de paiement et les prestataires de services d’information sur les comptes peuvent fournir leurs services avec le consentement du titulaire du compte sans être obligés par le prestataire de services de paiement gestionnaire du compte d’appliquer un modèle commercial donné, qu’il repose sur un accès direct ou indirect, pour la prestation de ces types de services. Il convient que les prestataires de services d’initiation de paiement et les prestataires de services d’information sur les comptes, d’une part, et le prestataire de services de paiement gestionnaire du compte, d’autre part, respectent les nécessaires exigences de protection des données et de sécurité prescrites ou visées dans la présente directive ou incluses dans les normes techniques de réglementation » (cons. 93).

37. Prestataires de services non gestionnaires de comptes (Fonds). L’on sait bien que la charge financière qui pèse sur les PSP n’est pas tellement en termes de capital initial mais davantage de fonds propres. Or, dans la mesure où ils n’entrent jamais en possession des fonds des utilisateurs (cons. 31 et 35), les PSIP et PSIC n’ont pas à disposer d’un montant minimum de fonds propres (art. 9) [22] ni, à l’évidence, obligation de les protéger (art. 10). Voilà une sacrée dérogation – certes naturelle – au régime commun des EP !

38. Prestataires de services non gestionnaires de comptes (Droit transitoire). Deux importantes dispositions figurent à l’avant dernier article de la DSP 2 : i) les PSIP et PSIC qui exerçaient avant l’entrée en vigueur de la directive, doivent pouvoir continuer leurs activités pendant la période transitoire et « conformément au cadre réglementaire actuellement en vigueur » (art. 115, 5) et ii) en attendant que l’ABE élabore les normes techniques de réglementation concernant l’authentification et la communication (art. 98), les PSPGC ne peuvent abuser de leur non-conformité pour bloquer ou entraver l’utilisation des nouveaux services 7 et 8 (art. 115, 6). La DSP 2 entend ainsi garantir la continuité du marché (cons. 33).

39. Prestataires de services non gestionnaires de comptes (Notion). C’est à nos yeux la principale évolution du texte définitif de la DSP 2 par rapport à sa version d’origine publiée le 24 juillet 2013 : à l’origine, en effet, il était question de « PSP tiers » [23] , c’est-à-dire ceux exerçant « les services fondés sur l’accès aux comptes de paiement fournis par un prestataire de services de paiement qui n’est pas le prestataire de services de paiement gestionnaire du compte, sous la forme de : (a) services d’initiation de paiement ; (b) services d’information sur les comptes » (Prop. DSP 2, art. 4, 11 et annexe I, point 7). Dans la version finale du texte, en revanche, nos nouveaux prestataires de services ne sont plus tiers, mais bien intégrés parmi les autres PSP ; tiers à la gestion de comptes, certes – c’est même ce qui en fait leur particularité –, mais non plus à la prestation de services (de paiement). S’ils ne sont plus tiers (c’est entendu), intègrent-ils la catégorie des « PSP intermédiaires », au sens où le 4e règlement Anti-blanchiment les définit (et leur réserve des règles propres) comme les PSP qui ne le sont ni du donneur d’ordre, ni du bénéficiaire, et qui reçoivent et transmettent un transfert de fonds pour le compte du PSP du donneur d’ordre ou du bénéficiaire ou d’un autre PSP intermédiaire (art. 3, 6) ?

Certes, encore, la notion faîtière d’accès aux comptes, qui les unifiait, a disparu, au profit des deux services distincts : initiation de paiement et information sur les comptes. Mais que l’on arrête donc de parler encore de « PSP tiers », puisque ces derniers ne le sont plus, qu’ils sont PSP à part entière (ou presque), pour la simple et bonne raison qu’ils sont réglementés (on a suffisamment voulu qu’ils le soient) et que le terme de « tiers » n’est plus employé (accordons, de temps à autre, une signification aux mots). PSP tiers, non ; PSP non gestionnaires de compte, là est la « révolution » introduite par la DSP 2, la seule à retenir s’il n’en fallait qu’une. À retenir et à replacer dans le mouvement de fond de la désintermédiation bancaire (voire de celle du paiement [24] ), en forme de désintermédiation entre gestion des comptes et accès aux comptes. La chose est considérable.

Sans attribuer plus de sens qu’il n’en faudrait, on remarque enfin aux deux premiers considérants qui abordent nos prestataires non gestionnaires de compte (les considérants 27 et 28) que les services d’initiation de paiement ressortissent des « nouveaux types de services de paiement », cependant que les services d’information sur les comptes sont qualifiés de « services complémentaires », donc pas vraiment des services de paiement, même s’ils figurent en 8e position dans la liste de ceux-ci.

40. Prestataires de services non gestionnaires de comptes (Règles communes relatives à l’accès au compte de paiement). On touche là le cœur du régime des PSIP et PSIC. L’accès au compte de paiement (tiers par définition) par ces derniers est en conséquence encadré par deux principes généraux : dès lors que le compte de paiement est en ligne, les États membres garantissent le droit des payeurs de s’adresser à l’un ou à l’autre ; et la fourniture des services d’initiation ou d’information n’est pas subordonnée à l’existence de relations contractuelles entre PSIP et PSIC, d’une part, et PSGC de l’autre (art. 66, 1 et 5, et art. 67, 1 et 4). Cette dernière précision est évidemment fondamentale : les relations entre le payeur et ses PSP demeurent bilatérales.

L’accès aux comptes de paiement n’est cependant pas inconditionnel : un PSPGC peut en effet refuser à un PSIC ou à un PSIP l’accès à un compte de paiement pour des « raisons objectivement motivées et documentées liées à un accès non autorisé ou frauduleux au compte de paiement », le payeur étant averti si possible avant le refus, sinon immédiatement après (art. 68, 5).

41. Prestataires de services non gestionnaires de comptes (Sécurité). Le rapport annuel 2014 de l’Observatoire de la sécurité des cartes de paiement a nommé cela « Les défis sécuritaires liés à l’émergence des tiers de paiement » (p. 41). La profession bancaire, de son côté, a tôt fait de manifester son inquiétude : « La FBF considère que la sécurité fait défaut dans la DSP 2 à plusieurs niveaux » ; « Certes, le principe d’authentification forte a été introduit dans la directive et une supervision partielle de nouveaux acteurs est prévue. Mais l’ensemble est renvoyé aux textes d’application confiés à l’Autorité bancaire européenne et à la Commission ». (Fiche repère et Communiqué de presse, 9 oct. 2015).

42. PSIC (Enregistrement). Au contraire des PSIP, aux activités plus dangereuses, les PSIC n’ont point besoin d’être agréés – ni de disposer d’un capital initial minimum – mais seulement enregistrés, à condition de disposer au préalable d’une assurance de responsabilité civile professionnelle ou une autre garantie comparable (art. 5, 3).

L’article 33 de la DSP 2 parle à cet égard d’« exemption » d’une partie des règles statutaires, tout en précisant que les PSIC « sont traités comme des établissements de paiement », étant toutefois entendu que l’essentiel du titre III (transparence des conditions et exigences en matière d’informations régissant les services de paiement) et IV (Droits et obligations liés à la prestation et à l’utilisation de services de paiement) ne leur est pas applicable. Des EP sans en être, donc…

43. PSIC (Notion). On les trouve décrits au considérant 28 de la DSP 2 : « Ces services fournissent à l'utilisateur de services de paiement des informations agrégées en ligne concernant un ou plusieurs comptes de paiement qu'il détient auprès d'un ou plusieurs autres prestataires de services de paiement et sont accessibles via des interfaces en ligne du prestataire de services de paiement gestionnaire du compte. L'utilisateur de services de paiement est donc en mesure d'avoir immédiatement une vue d'ensemble de sa situation financière à un moment donné ».

Le service d’information sur les comptes (account information service) s’entend d’ « un service en ligne consistant à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l'utilisateur de services de paiement soit auprès d'un autre prestataire de services de paiement soit auprès de plus d'un prestataire de services de paiement » (art. 4, 16).

L’habitude était prise de désigner les PSIC comme des « agrégateurs de données ». La rigueur commande d’en abandonner l’usage trop facile.

44. PSIC (Passeport). Le doute est-il permis ? L’article 28 de la DSP 2 semble réserver le droit à passeportage aux seuls EP « agréés » ; or les PSIC ne sont qu’enregistrés. Pour autant, nonobstant leur régime prudentiel spécifique, le considérant 48 expose qu’ils « devraient pouvoir fournir leurs services sur une base transfrontalière et bénéficieront des règles en matière de “passeport” ».

45. PSIC (Règles relatives à l’accès au compte de paiement). Le PSIC :

  • fournit des services uniquement sur la base du consentement explicite de l’utilisateur de services de paiement;
  • veille à ce que les données de sécurité personnalisées de l’utilisateur de services de paiement ne soient pas accessibles à d’autres parties que l’utilisateur et l’émetteur desdites données, et veille, lorsqu’il transmet celles-ci, à utiliser des canaux sûrs et efficaces ;
  • pour chaque session de communication, il s’identifie auprès du ou des PSPGC de l’utilisateur de services de paiement et communique avec celui-ci ou ceux-ci et l’utilisateur de services de paiement de manière sécurisée, conformément à l’article 98, 1, d de la directive ;
  • accède uniquement aux informations provenant des comptes de paiement désignés et des opérations de paiement associées ;
  • ne demande pas de données de paiement sensibles liées à des comptes de paiement ;
  • n’utilise, ne consulte ou ne stocke des données à des fins autres que la fourniture du service d’information sur les comptes expressément demandée par l’utilisateur de services de paiement, conformément aux règles relatives à la protection des données (art. 67, 2).
De son côté, concernant les comptes de paiement, le PSPGC :

  • communique de manière sécurisée avec les prestataires de services d’information sur les comptes, conformément à l’article 98, 1, d précité, et ;
  • traite les demandes de données transmises grâce aux services d’un PSIC sans aucune discrimination autre que fondée sur des raisons objectives (art. 67, 3).
46. PSIP (Agrément). Ceux-ci sont soumis à agrément, à l’instar des autres PSP (mais à la différence des PSIC seulement enregistrés), à ceci près qu’ils doivent disposer au préalable d’une assurance de responsabilité civile professionnelle ou une autre garantie comparable (art. 5, 2).

Cela a déjà été dit plus haut : les PSIP devront disposer d’un capital initial d’au moins 50 000 euros (art. 7, b)).

47. PSIP (Notion). C’est le considérant 27 de la DSP 2 qui nous en parle le mieux : « Depuis l'adoption de la directive 2007/64/CE, de nouveaux types de services de paiement ont fait leur apparition, notamment dans le domaine des paiements par internet. En particulier, les services d'initiation de paiement dans le domaine du commerce électronique ont évolué. Ces services de paiement interviennent dans les paiements dans le cadre du commerce électronique en établissant une passerelle logicielle entre le site internet du commerçant et la plate-forme de banque en ligne du prestataire de services de paiement gestionnaire de compte du payeur en vue d'initier des paiements par internet sur la base d'un virement ».

Le considérant 29 est lui-même intéressant lorsqu’ils ajoutent que les services d’initiation de paiement permettent à leurs prestataires d’« assurer au bénéficiaire que le paiement a été initié, dans le but d’inciter le bénéficiaire à livrer les biens ou fournir les services sans retard injustifié ». Voilà une utilité fort appréciable.

Le service d’initiation de paiement (payment initiation service) s’entend d’« un service consistant à initier un ordre de paiement à la demande de l'utilisateur de services de paiement concernant un compte de paiement détenu auprès d'un autre prestataire de services de paiement » (art. 4, 15). Curieusement, les orientations finales de l’ABE intègrent les PSIP au sein de la catégorie plus large des « intégrateurs de paiement », lesquels fournissent au bénéficiaire (commerçant en ligne) une interface normalisée avec les services d’initiation de paiement. Si bien que « les intégrateurs de paiement proposant des services d’initiation de paiement sont considérés soit comme des acquéreurs de services de paiement sur internet (et donc comme PSP) soit comme des fournisseurs externes de services techniques aux systèmes concernés ou aux PSP » (p. 5).

48. PSIP (Opérations de paiement). On relève (sans gage d’exhaustivité) les quelques « règles de perturbation » suivantes, liées à l’initiation de paiement :

  • opérations de paiement isolées : une place est réservée à l’initiation de paiement au sein des règles propres aux opérations de paiement isolées, auxquelles on renvoie pour le détail (art. 45 à 47) ;
  • autorisation d’une opération de paiement : par principe, une opération de paiement est réputée autorisée si le payeur a consenti à son exécution. Mais, aux termes de la DSP 2, « le consentement à l’exécution d’une opération de paiement peut aussi être donné par l’intermédiaire du bénéficiaire ou de prestataire de services d’initiation de paiement » (art. 64, 2) ;
  • preuve de l’authentification et de l’exécution : « Si l’opération de paiement est initiée par l’intermédiaire d’un prestataire de services d’initiation de paiement, c’est à ce dernier qu’incombe la charge de prouver que, pour ce qui le concerne, l’opération en question a été authentifiée et dûment enregistrée et qu’elle n’a pas été affectée par une déficience technique ou autre en relation avec le service de paiement qu’il doit assurer » (art. 72, 1, al. 2) ;
  • responsabilité du PSP en cas d’opérations non autorisées : Voir PSIP (Responsabilité).
49. PSIP (Règles relatives à l’accès au compte de paiement). La mise en œuvre du service d’initiation de paiement suppose, du côté de son prestataire, qu’il :

  • ne détienne à aucun moment les fonds du payeur en liaison avec la fourniture dudit service ;
  • veille à ce que les données de sécurité personnalisées de l’utilisateur de services de paiement ne soient pas accessibles à d’autres parties que l’utilisateur et l’émetteur desdites données et veille à transmettre celles-ci au moyen de canaux sûrs et efficaces ;
  • veille à ce que toute autre information relative à l’utilisateur de services de paiement, obtenue lors de la fourniture de services d’initiation de paiement, ne soit communiquée qu’au bénéficiaire et uniquement avec le consentement explicite de l’utilisateur de services de paiement ;
  • chaque fois qu’un paiement est initié, s’identifie auprès du PSPGC et communique avec lui, le payeur et le bénéficiaire de manière sécurisée, conformément à l’article 98, 1, d de la directive ;
  • ne stocke pas de données de paiement sensibles concernant l’utilisateur de services de paiement ;
  • ne demande pas à l’utilisateur de services de paiement des données autres que celles nécessaires pour fournir le service d’initiation de paiement ;
  • - n’utilise, ne consulte ou ne stocke des données à des fins autres que la fourniture du service d’initiation de paiement expressément demandée par le payeur, et
  • - ne modifie pas le montant, le bénéficiaire ou tout autre caractéristique de l’opération (art. 66, 3).
De son côté, le PSPGC :

communique de manière sécurisée avec les prestataires de services d’initiation de paiement, conformément à l’article 98, 1, d précité ;

immédiatement après avoir reçu l’ordre de paiement d’un PSIP, fournit à celui-ci, ou met à sa disposition, toutes les informations sur l’initiation de l’opération de paiement et toutes les informations auxquelles il a lui-même accès concernant l’exécution de l’opération de paiement, et

traite les ordres de paiement transmis grâce aux services d’un PSIP sans aucune discrimination, autre que fondée sur des raisons objectives, en termes de délai, de priorité ou de frais par rapport aux ordres de paiement transmis directement par le payeur (art. 66, 4).

Le lien entre les premiers (PSIP) et les seconds (PSPGC) passe par le consentement explicite à l’exécution d’un paiement donné par le payeur, en vertu duquel ces derniers exécutent les actions prévues ci-dessus afin de garantir le droit du payeur de recourir à un service d’initiation de paiement (art. 66, 2).

50. PSIP (Responsabilité). La profession bancaire ne décolère pas, et on peut le comprendre, qui dénonce une sorte de responsabilité pour les activités du fait d’autrui. Car même lorsque les initiateurs de paiement interviennent, ce sont bien les teneurs de compte qui sont directement responsables, en première ligne et intention, à charge ensuite de se retourner contre ces derniers. Certes, le considérant 74 dit que « la répartition des responsabilités entre le prestataire de services de paiement qui gère le compte et le prestataire de services d’initiation de paiement intervenant dans l’opération devrait contraindre ceux-ci à assumer la responsabilité des parties de l’opération qui sont sous leur contrôle respectif » [25] . Mais c’est après que le précédent ait énoncé que, « afin de garantir un niveau élevé de protection des consommateurs, le payeur devrait toujours être en droit d’adresser sa demande de remboursement à son prestataire de services de paiement gestionnaire du compte, même lorsqu’un prestataire de services d’initiation de paiement intervient dans l’opération de paiement ».

Le régime de responsabilité applicable à l’initiation de paiement est régi par les articles 73 et 90, selon un même principe : c’est le PSGC qui rembourse directement le payeur en cas d’opérations de paiement non autorisées ou d’opérations non-exécutées, mal exécutées ou tardivement exécutées, après quoi il peut demander remboursement au PSIC qui serait responsable de ces dysfonctionnements. C’est toutefois sur ce dernier que pèse la charge de prouver que, pour ce qui le concerne, l’opération en question a été authentifiée et dûment enregistrée et qu’elle n’a pas été affectée par une déficience technique ou autre en relation avec le service de paiement qu’il doit assurer.

51. PSP. Deux précisions notables sont apportées à l’article 1er de la directive concernant les EC et les EME :

  • sont considérées comme PSP les succursales d’EC situées dans l’Union, qu’elles le soient d’EC ayant leur siège dans l’Union ou en dehors ;
  • quant aux succursales d’EME, sont visée celles qui sont situées dans l’Union mais ont leur siège en dehors, dans la mesure où les services de paiement fournis par elles sont liés à l’émission de monnaie électronique.
52. Registre central de l’ABE. L’instrument sera précieux : les informations inscrites dans les registres publics des États membres (liste des EP agréés ou exemptés et de leurs agents, services de paiement correspondants, etc.) seront centralisées dans un registre électronique établi, exploité et géré par l’ABE, aisément accessible au public (cons. 42 et art. 15).

53. Règlement extrajudiciaire des litiges. La DSP lui réservait une courte disposition ; la directive nouvelle est bien plus prolixe, il est vrai que le sujet est à la mode. Aussi bien, « en vue d’instaurer une procédure efficiente et efficace de résolution des litiges, les États membres devraient veiller à ce que les prestataires de services de paiement mettent en place une procédure efficace de réclamation que les utilisateurs de services de paiement peuvent suivre avant que le litige ne fasse l’objet d’une procédure de règlement extrajudiciaire ou ne soit porté devant une juridiction » (cons. 98). Les articles 99 à 103 déterminent en conséquence les procédures de règlement extrajudiciaire des litiges.

54. Responsabilité (Franchise). Aujourd’hui de 150 euros, la franchise de responsabilité en cas de paiement non autorisé consécutif à l’utilisation d’un instrument de paiement perdu ou volé, ou à son détournement, est abaissée à la somme de 50 euros, sauf, en particulier, si le payeur ne pouvait détecter de tels événements (cons. 71 et art. 74).

55. Risques opérationnels et de sécurité. La notion intègre pour la première fois de droit des services de paiement (Voir aussi, sur ce même registre, Notification des incidents), les PSP devant désormais établir « un cadre prévoyant des mesures d’atténuation et des mécanismes de contrôle appropriés en vue de gérer les risques opérationnels et de sécurité, liés aux services de paiement qu’ils fournissent. Ce cadre prévoit que les prestataires de services de paiement établissent et maintiennent des procédures efficaces de gestion des incidents, y compris pour la détection et la classification des incidents opérationnels et de sécurité majeurs » (art. 95, 1).

56. Services de paiement (Liste). Un sortant (le service 7 de la DSP [26] ) et deux entrants, tels sont les huit services de paiement figurant désormais en annexe de la DSP 2 :

« 1. Les services permettant de verser des espèces sur un compte de paiement et toutes les opérations qu'exige la gestion d'un compte de paiement.

2. Les services permettant de retirer des espèces d'un compte de paiement et toutes les opérations qu'exige la gestion d'un compte de paiement.

3. L'exécution d'opérations de paiement, y compris les transferts de fonds sur un compte de paiement auprès du prestataire de services de paiement de l'utilisateur ou auprès d'un autre prestataire de services de paiement :

a) l'exécution de prélèvements, y compris de prélèvements autorises unitairement,

b) l'exécution d'opérations de paiement à l'aide d'une carte de paiement ou d'un dispositif similaire,

c) l'exécution de virements, y compris d'ordres permanents.

4. L'exécution d'opérations de paiement dans le cadre desquelles les fonds sont couverts par une ligne de crédit accordée à l'utilisateur de services de paiement :

a) l'exécution de prélèvements, y compris de prélèvements autorisés unitairement,

b) l'exécution d'opérations de paiement à l'aide d'une carte de paiement ou d'un dispositif similaire,

c) l'exécution de virements, y compris d'ordres permanents.

5. L'émission d'instruments de paiement et/ou l'acquisition d'opérations de paiement [27] .

6. Les transmissions de fonds.

7. Les services d'initiation de paiement.

8. Les services d'information sur les comptes ».

57. Surfacturation. La révision des pratiques de surfacturation (surcharging) s’imposait à raison de la publication de deux textes importants depuis la DSP. Aussi bien, le bénéficiaire du paiement n’est pas autorisé à appliquer de frais supplémentaires pour les instruments de paiement dont les commissions d’interchange sont réglementées par le règlement CMI ainsi que pour les services de paiement soumis au règlement end date (cons. 66 et art. 62, 4).

L’option laissée aux États d’interdire ou de limiter le surcharging est maintenue (art. 62,5).

58. Transposition. La date butoir de transposition de la DSP 2 est fixée au 13 janvier 2018 (art. 115, 1). À l’occasion de la préparation des Assises des moyens de paiement qui se sont tenues en juin 2015, le Comité consultatif du secteur financier (CCSF) a manifesté la volonté de « transposer rapidement les éléments clés de la directive européenne DSP 2 pour favoriser les moyens innovants en levant certaines adhérences réglementaires [sic] et en évitant un empilement d’obligations coûteuses à mettre en œuvre » (Synthèse des recommandations, p. 21).

59. Virement. Était-ce un oubli ? Alors que seul le prélèvement était défini dans la DSP, le virement l’est désormais par la DSP 2, s’inspirant plus ou moins de la définition figurant dans le règlement end date 260/2012 du 14 mars 2012 : « un service de paiement fourni par le prestataire de services de paiement qui détient le compte de paiement du payeur et consistant à créditer, sur la base d'une instruction du payeur, le compte de paiement d'un bénéficiaire par une opération ou une série d'opérations de paiement réalisées à partir du compte de paiement du payeur » (art. 4, 24). Rien d’autre à signaler concernant le virement, qui continue à être seulement traité en tant que tel au sein de la liste annexée des services de paiement.

Achevé de rédiger le 18 janvier 2016.

 

1 À ne pas confondre, donc, avec le représentant permanent à la LCB-FT, tel que prévu à l’article L. 561-3, VI du CMF.
2 Comp. le considérant 34, qui précise cependant que « la présente directive ne modifie pas de manière substantielle les conditions d’octroi et de maintien de l’agrément en tant qu’établissement de paiement ».
3 Le dernier alinéa de l’article 5, 1, exige que soit décrit comment ces mesures «  garantissent un niveau élevé de sécurité technique et de protection des données, y compris pour les systèmes logiciels et informatiques utilisés par le demandeur ou par les entreprises vers lesquelles il externalise la totalité ou une partie de ses activités ».
4 Pour une définition plus complète, cf. Orientations finales de l’ABE, p. 6.
5 Sont exigés dans ce cas des éléments qui établissent un lien dynamique entre l’opération, le montant et le bénéficiaire donnés.
6 Vers ou depuis des pays hors Union européenne.
7 Cf. Dir. 2015/849, 20 mai 2015, art. 41, 2, et Règl. 2015/847, 20 mai 2015.
8 Cf. P. Storrer, « Lutte anti-blanchiment : le pas de deux du législateur européen », Revue Banque n° 786, juill.-août 2015, p. 75.
9 Les orientations finales de l’ABE ne sont pas plus prolixes, sinon qu’elles les envisagent (sous l’appellation de données sensibles de paiement) différemment de la DSP 2, comme des données utilisées afin d’identifier et d’authentifier les clients ainsi que l’interface client (pp. 17-18).
10 On note que ces « données » de sécurité personnalisées ne sont pas, en anglais, des datas, mais des credentials.
11 Étant ajouté que la confirmation – qui prend la forme d’un simple « oui » ou « non » – ne permet pas au PSPGC de bloquer des fonds sur le compte de paiement du payeur.
12 On note que cette disposition ne s’applique pas aux instruments de paiement liés à une carte stockant de la monnaie électronique, compte tenu de la nature particulière de celle-ci.
13 Comp. Règl. 2015/751, 29 avr. 2015, relatif aux commissions d’interchange pour les opérations de paiement liées à une carte, cons. 29 : «  Le service émetteur est fondé sur une relation contractuelle entre l'émetteur de l'instrument de paiement et le payeur, indépendamment du fait que l'émetteur détient les fonds au nom du payeur. L'émetteur met des cartes de paiement à la disposition du payeur, autorise les opérations aux terminaux ou aux dispositifs équivalents et peut garantir le paiement à l'acquéreur pour les opérations qui sont conformes aux règles du schéma en question », et cons. 30 : «  Les services d'acquisition sont composés d'une chaîne d'opérations allant de l'initiation d'une opération de paiement liée à une carte au transfert des fonds sur le compte de paiement du bénéficiaire. »
14 Adde, cons. 14, évoquant les cartes d’enseigne, cartes de carburant, cartes de membre, cartes de transport en commun, billets de parking, titres-repas et titres-services.
15 Outre, naturellement, les références aux 4 directive (2015/849, 20 mai 2015) et règlement (2015/847, 20 mai 2015) Anti-blanchiment. Cf. P. Storrer, « Lutte anti-blanchiment : le pas de deux du législateur européen », Revue Banque n° 786, juill.-août 2015, p. 72.
16 Absent de la DSP, le terme de « passeport » apparaît aux considérants 41 puis 48 de la DSP 2.
17 On verra encore, EBA, Consultation Paper – Draft Regulatory Technical Standards on the framework for cooperation and exchange information between competent authorities for passport notifications, under PSD2, 11 déc. 2015.
18 Aux termes duquel la directive ne s’applique pas «  aux opérations de paiement allant du payeur au bénéficiaire, par l’intermédiaire d’un agent commercial habilité par contrat à négocier ou à conclure la vente ou l’achat de biens ou de services pour le compte du payeur uniquement ou du bénéficiaire uniquement ».
19 Cf. Rev. ACPR n° 21, janv.-févr. 2015, La régulation des nouveaux intervenants du marché des services de paiement, p. 6. Comp. P. Storrer, L’encaissement de fonds pour le compte de tiers vaut-il fourniture de services de paiement ?, Revue Banque n° 777, nov. 2014, p. 86.
20 Dir. Comptes de paiement, art. 2, 6.
21 Dir. Comptes de paiement, art. 17, 1, a.
22 Mais d’une assurance de responsabilité civile professionnelle.
23 Appelés encore «  overlays payment service providers » (CCSF, Rapp. 2012, p. 54) ou « tiers de paiement » (Observatoire de la sécurité des cartes de paiement, rapp. 2014, p. 41.
24 Comp. les 3 (Règl. n° 1781/2006, 15 nov. 2006) et 4 règlement Anti-blanchiment (Règl. 2015/847, 20 mai 2015), qui connaissent la catégorie des « prestataires de services de paiement intermédiaires », intermédiaire de transfert de fonds sans être PSP du donneur d’ordre ou du bénéficiaire.
25 On n’oublie pas non plus que les PSIC et PSIP doivent disposer d’une assurance de responsabilité civile professionnelle afin précisément de couvrir l’engagement de leur responsabilité
26 Qui, semble-t-il, serait noyé dans le service 3 : cf. art. 109, 5 : «  Nonobstant le paragraphe 1 du présent article, les établissements de paiement qui ont obtenu l'agrément pour fournir les services de paiement vises à l'annexe, point 7, de la directive 2007/64/CE, conservent cet agrément pour la fourniture desdits services de paiement qui sont considérés comme des services de paiement vises a l'annexe I, point 3, de la présente directive […] ».
27 La formulation est plus heureuse que celle de la DSP, où il est question d’émission et/ou d’acquisition d’instruments de paiement.

À retrouver dans la revue
Revue Banque Nº793
Notes :
22 Mais d’une assurance de responsabilité civile professionnelle.
23 Appelés encore « overlays payment service providers »(CCSF, Rapp. 2012, p. 54) ou « tiers de paiement » (Observatoire de la sécurité des cartes de paiement, rapp. 2014, p. 41.
24 Comp. les 3 (Règl. n° 1781/2006, 15 nov. 2006) et 4 règlement Anti-blanchiment (Règl. 2015/847, 20 mai 2015), qui connaissent la catégorie des « prestataires de services de paiement intermédiaires », intermédiaire de transfert de fonds sans être PSP du donneur d’ordre ou du bénéficiaire.
25 On n’oublie pas non plus que les PSIC et PSIP doivent disposer d’une assurance de responsabilité civile professionnelle afin précisément de couvrir l’engagement de leur responsabilité
26 Qui, semble-t-il, serait noyé dans le service 3 : cf. art. 109, 5 : « Nonobstant le paragraphe 1 du présent article, les établissements de paiement qui ont obtenu l'agrément pour fournir les services de paiement vises à l'annexe, point 7, de la directive 2007/64/CE, conservent cet agrément pour la fourniture desdits services de paiement qui sont considérés comme des services de paiement vises a l'annexe I, point 3, de la présente directive […] ».
27 La formulation est plus heureuse que celle de la DSP, où il est question d’émission et/ou d’acquisition d’instruments de paiement.
10 On note que ces « données » de sécurité personnalisées ne sont pas, en anglais, des datas, mais des credentials.
11 Étant ajouté que la confirmation – qui prend la forme d’un simple « oui » ou « non » – ne permet pas au PSPGC de bloquer des fonds sur le compte de paiement du payeur.
12 On note que cette disposition ne s’applique pas aux instruments de paiement liés à une carte stockant de la monnaie électronique, compte tenu de la nature particulière de celle-ci.
13 Comp. Règl. 2015/751, 29 avr. 2015, relatif aux commissions d’interchange pour les opérations de paiement liées à une carte, cons. 29 : « Le service émetteur est fondé sur une relation contractuelle entre l'émetteur de l'instrument de paiement et le payeur, indépendamment du fait que l'émetteur détient les fonds au nom du payeur. L'émetteur met des cartes de paiement à la disposition du payeur, autorise les opérations aux terminaux ou aux dispositifs équivalents et peut garantir le paiement à l'acquéreur pour les opérations qui sont conformes aux règles du schéma en question », et cons. 30 : « Les services d'acquisition sont composés d'une chaîne d'opérations allant de l'initiation d'une opération de paiement liée à une carte au transfert des fonds sur le compte de paiement du bénéficiaire. »
14 Adde, cons. 14, évoquant les cartes d’enseigne, cartes de carburant, cartes de membre, cartes de transport en commun, billets de parking, titres-repas et titres-services.
15 Outre, naturellement, les références aux 4 directive (2015/849, 20 mai 2015) et règlement (2015/847, 20 mai 2015) Anti-blanchiment. Cf. P. Storrer, « Lutte anti-blanchiment : le pas de deux du législateur européen », Revue Banque n° 786, juill.-août 2015, p. 72.
16 Absent de la DSP, le terme de « passeport » apparaît aux considérants 41 puis 48 de la DSP 2.
17 On verra encore, EBA, Consultation Paper – Draft Regulatory Technical Standards on the framework for cooperation and exchange information between competent authorities for passport notifications, under PSD2, 11 déc. 2015.
18 Aux termes duquel la directive ne s’applique pas « aux opérations de paiement allant du payeur au bénéficiaire, par l’intermédiaire d’un agent commercial habilité par contrat à négocier ou à conclure la vente ou l’achat de biens ou de services pour le compte du payeur uniquement ou du bénéficiaire uniquement ».
19 Cf. Rev. ACPR n° 21, janv.-févr. 2015, La régulation des nouveaux intervenants du marché des services de paiement, p. 6. Comp. P. Storrer, L’encaissement de fonds pour le compte de tiers vaut-il fourniture de services de paiement ?, Revue Banque n° 777, nov. 2014, p. 86.
1 À ne pas confondre, donc, avec le représentant permanent à la LCB-FT, tel que prévu à l’article L. 561-3, VI du CMF.
2 Comp. le considérant 34, qui précise cependant que « la présente directive ne modifie pas de manière substantielle les conditions d’octroi et de maintien de l’agrément en tant qu’établissement de paiement ».
3 Le dernier alinéa de l’article 5, 1, exige que soit décrit comment ces mesures « garantissent un niveau élevé de sécurité technique et de protection des données, y compris pour les systèmes logiciels et informatiques utilisés par le demandeur ou par les entreprises vers lesquelles il externalise la totalité ou une partie de ses activités ».
4 Pour une définition plus complète, cf. Orientations finales de l’ABE, p. 6.
5 Sont exigés dans ce cas des éléments qui établissent un lien dynamique entre l’opération, le montant et le bénéficiaire donnés.
6 Vers ou depuis des pays hors Union européenne.
7 Cf. Dir. 2015/849, 20 mai 2015, art. 41, 2, et Règl. 2015/847, 20 mai 2015.
8 Cf. P. Storrer, « Lutte anti-blanchiment : le pas de deux du législateur européen », Revue Banque n° 786, juill.-août 2015, p. 75.
9 Les orientations finales de l’ABE ne sont pas plus prolixes, sinon qu’elles les envisagent (sous l’appellation de données sensibles de paiement) différemment de la DSP 2, comme des données utilisées afin d’identifier et d’authentifier les clients ainsi que l’interface client (pp. 17-18).
20 Dir. Comptes de paiement, art. 2, 6.
21 Dir. Comptes de paiement, art. 17, 1, a.