L’ACPR et l’exemption au mécanisme d’urgence applicable aux API

Le droit des services de paiement a connu une évolution notable en raison de la transposition en droit interne, par l’ordonnance n° 2017-1252 du 9 août 2017 [1] , de la directive 2015/2366 du Parlement et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, dite « DSP 2 » [2] . Or ce cadre législatif renouvelé, désormais ratifié [3] , est à l’origine d’évolutions notables en matière de paiement, et notamment la reconnaissance de deux nouveaux services de paiement : les services d’initiation de paiement et les services d’information sur les comptes.

Les nouveaux services institués

En premier lieu, le service d’initiation de paiement consiste, selon l’article D. 314-2, 6°, du Code monétaire et financier, à « initier un ordre de paiement à la demande de l’utilisateur de services de paiement concernant un compte de paiement détenu auprès d’un autre prestataire de services de paiement ». Le considérant 27 de la directive 2015/2366 du 25 novembre 2015 précise que ces services « interviennent dans les paiements dans le cadre du commerce électronique en établissant une passerelle logicielle entre le site internet du commerçant et la plate-forme de banque en ligne du prestataire de services de paiement gestionnaire du compte du payeur en vue d’initier des paiements par internet sur la base d’un virement ». Un tel service d’initiation de paiement doit alors permettre au client de faire des achats en ligne, sans utiliser les données figurant sur sa carte de paiement, et donc échapper aux risques de fraude liés à cette utilisation.

Ce service d’initiation de paiement peut être assuré par des établissements de crédit, des établissements de monnaie électronique et des établissements de paiement, mais aussi des prestataires de services uniquement compétents pour fournir ce service. Ces derniers, appelés prestataires de services d’initiation de paiement (PSIP), se voient imposer les règles régissant les établissements de paiement, avec néanmoins quelques « allègements » dans la mesure où ces PSIP n'entrent à aucun moment en possession des fonds. L’obtention de l’agrément est donc plus simple.

En second lieu, il résulte de l’article D. 314-2, 7°, du code, que le service d'information sur les comptes est un « service en ligne consistant à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l'utilisateur de services de paiement, soit auprès d'un autre prestataire de services de paiement, soit auprès de plus d'un prestataire de services de paiement ». Il permet alors à l'utilisateur de services de paiement d'avoir une vue d'ensemble de sa situation financière à tout moment et de gérer au mieux ses finances personnelles.

Pour accomplir un tel service, l’ordonnance n° 2017-1252 du 9 août 2017 a créé une nouvelle catégorie de prestataires de service de paiement : les prestataires de service d'information sur les comptes (PSIC). Le nouvel article L. 522-1, II, précise qu'il s'agit des personnes physiques ou morales, autre que les établissements de crédit, les établissements de monnaie électronique et les établissements de paiement « qui fournissent à titre de profession habituelle le service d'information sur les comptes » précité. Aucun agrément n'est ici, en principe, requis. Les intéressés doivent simplement adresser à l'Autorité de contrôle prudentiel et de résolution (ACPR) une demande d'enregistrement accompagnée des informations définies par un arrêté du 31 août 2017.

La mise en place d’interfaces de programmation (API)

Les nouveaux services de paiement précités ne peuvent être correctement assurés que si le PSIP ou le PSIC dispose d’informations sur les comptes des clients de banque. La législation prévoit alors, sous l’impulsion de la DSP 2, l’obligation pour les prestataires de services de paiement gestionnaires de comptes (PSPGC), principalement les banques, de partager les données qu’elles ont à leur disposition sur leurs clients avec ces PSP « tiers » (Third Party Providers), même sans être liées contractuellement à ces derniers. Comme le résume très justement un auteur : « Après avoir brisé le monopole des paiements, les autorités européennes ont ainsi mis à mal le monopole de fait sur les données de paiement. C’est le triomphe de la donnée dans le domaine bancaire [4] . » Nous sommes entrés dans l’ère de l’open banking [5] .

Or, ce partage doit être désormais réalisé à l’aide d’interfaces de programmation spécifiques (API), chargées de sécuriser et de développer l’échange de données avec les nouveaux acteurs précités [6] . Les règles relatives à ces API, s’imposant aux prestataires de services de paiement gestionnaires de comptes (PSPGC), ont été établies par les articles 30 et suivants du règlement délégué n° 2018/389 du 27 novembre 2017 [7] . Il s’agit des standards techniques réglementaires (RTS).

Les PSPGC ont alors l’obligation de proposer au moins une interface d’accès permettant une communication sécurisée avec les PSIP et les PSIC, mais aussi les émetteurs d’instruments de paiement liés à une carte. Les PSPGC demeurent libres de faire le choix entre proposer une interface dédiée à cette communication (on parle d’« interface dédiée ») ou recourir à l’interface servant à l’identification des utilisateurs des services de paiement (on parle ici d’« interface utilisateurs »).

On notera la présence, dans le règlement délégué (UE) 2018/389, d’un grand nombre d’exigences à propos de l’interface dédiée. Par exemple, les PSPGC sont dans l’obligation de contrôler la disponibilité et les performances de cette dernière, mais aussi de publier sur leur site internet des statistiques trimestrielles concernant la disponibilité et les performances de cette interface dédiée.

Surtout, l’article 33.1 de ce règlement délégué envisage des mesures d’urgence. En effet, selon ce dernier : « Les prestataires de services de paiement gestionnaires de comptes prévoient, lors de la conception de l'interface dédiée, une stratégie et des plans relatifs à des mesures d'urgence au cas où l'interface ne fonctionnerait pas conformément à l'article 32, où elle serait indisponible de façon imprévue et où le système tomberait en panne. » Les PSP tiers sont alors autorisés à recourir aux interfaces utilisateurs, sous condition de respecter un certain nombre d’exigences, dont celle de justifier à leur autorité nationale compétente, sur demande, un tel recours ainsi que d’informer le PSPGC.

L’exemption au mécanisme d’urgence applicable aux API

Selon le considérant 24 du règlement délégué (UE) 2018/389, certains prestataires de services de paiement gestionnaires de comptes peuvent être exemptés de l'obligation de proposer un tel mécanisme de secours par l'intermédiaire de leurs interfaces clients, si leurs autorités compétentes établissent que leurs interfaces dédiées satisfont à des conditions spécifiques assurant une concurrence sans entraves.

Il résulte ainsi de l’article 33.6 du règlement délégué que les autorités compétentes (en France l’ACPR), après avoir consulté l’ABE, sont en droit d’exempter les prestataires de services de paiement gestionnaires de comptes qui ont choisi une interface dédiée de l'obligation de mettre en place le mécanisme d'urgence en question lorsque l'interface dédiée remplit un certain nombre de conditions : l’interface est conforme à l'ensemble des obligations applicables aux interfaces dédiées énoncées à l'article 32 ; elle a été conçue et testée conformément à l'article 30, paragraphe 5, à la satisfaction des prestataires de services de paiement qui y sont mentionnés ; elle « a été largement utilisée pendant au moins trois mois par des prestataires de services de paiement en vue de proposer des services d'information sur les comptes et des services d'initiation de paiement et de confirmer la disponibilité des fonds pour des paiements liés à une carte » et enfin tout problème lié à l'interface dédiée a été résolu sans retard injustifié.

L’ABE a ainsi produit, le 4 décembre 2018, ses orientations concernant les conditions à remplir pour bénéficier d’une dérogation au mécanisme d’urgence [8] . La procédure intéressant cette exemption est alors encadrée aujourd’hui, dans notre droit, par l’article D. 133-10 du Code monétaire et financier [9] .

Or, dans le but de mieux guider les requérants dans leur démarche, le Collège de l’ACPR a adopté, le 18 février 2019, une nouvelle instruction introduisant le formulaire destiné aux PSPGC souhaitant développer une API et bénéficier d’une exemption à l’obligation de disposer d’un mécanisme d’urgence. Il s’agit de l’instruction n° 2019-I-01.

On notera pour finir que dans le but d’apporter toutes les clarifications nécessaires sur ce formulaire, l’ACPR a organisé une réunion d’information et d’échanges le 18 mars 2019 et a fait figurer un certain nombre de rappels utiles dans sa revue parue au mois de mars 2019. Les dates à ne pas manquer pour bénéficier de l’exemption précitée sont plus particulièrement soulignées par l’autorité.

À titre d’exemple, le 14 avril 2019 est la date limite de mise à disposition d’une API répondant aux conditions d’utilisation étendue telles que définies par les standards sécuritaires et les orientations de l’ABE. En effet, pour que le dossier d’exemption puisse être qualifié de complet lors de son dépôt à l’ACPR le 14 juillet 2019, le prestataire offrant une API devra être en mesure de prouver à cette date que son interface a fait objet d’une utilisation étendue conformément aux orientations de l’ABE durant les trois mois précédents.