Actualités février-début mars 2014

I. Titres-restaurant dématérialisés

« Les titres-restaurant peuvent être émis sur un support papier ou sous forme dématérialisée », dispose le nouvel article R. 3262-1 du Code du travail, créé par le décret n° 2014-294 du 6 mars 2014 relatif aux conditions d’émission et de validité et à l’utilisation des titres-restaurant, dont la publication était (très) attendue.

En vigueur à compter du 2 avril 2014, le cœur du dispositif gouvernant les titres-restaurant dématérialisés [1] figure à l’article R. 3262-1-2. On retient principalement :

• que doivent figurer de façon très apparente sur le support physique du paiement dématérialisé (ou accessibles directement sur l’équipement terminal comportant une fonctionnalité de paiement électronique, par exemple un smartphone) le nom et l’adresse de l’émetteur et de l’établissement bancaire à qui les titres sont présentés au remboursement par les restaurateurs (ou les détaillants en fruits et légumes) ;
• qu’un accès permanent et gratuit (par message textuel, par voie téléphonique ou directement sur l’équipement terminal) doit être assuré par l’émetteur à chaque salarié aux informations suivantes : solde de son compte personnel de titres-restaurant non périmés (ainsi que le montant des titres périmés remboursables selon la règle de l’article R. 3262-5), date de péremption des titres et montant de leur valeur libératoire ;
• que l’émetteur conserve le numéro de série caractérisant l’émission du titre-restaurant dans une base de données qui associe ce numéro à un identifiant permettant de garantir que le paiement est effectué au seul profit d’un restaurateur, d’un hôtelier-restaurateur ou d’un détaillant en fruits et légumes ;
• qu’une fonctionnalité de blocage automatique du paiement doit être mise en œuvre par l’émetteur afin d’empêcher toute utilisation abusive des titres-restaurant.

Dernière disposition remarquable, l’article R. 3262-12 :

• qu’ils soient sur support papier ou sous forme électronique, l’utilisation des titres-restaurant est limitée à un montant maximum de 19 euros par jour ;
• lorsque les titres sont dématérialisés, le salarié est débité de la somme exacte à payer, dans la limite du plafond journalier ci-dessus.

II. Liste des établissements financiers habilités à exercer en France au 1^er janvier 2014

L’ACPR a publié en rafale, le 6 mars 2014, pas moins de 15 listes d’établissements financiers habilités à exercer en France au 1^er janvier 2014, recensement qui présente déjà l’intérêt de récapituler les acteurs du marché financier français. Sont ainsi répertoriés les établissements de crédit (et les établissements exemptés), les changeurs manuels, les prestataires de services d’investissement, les compagnies financières, les établissements de paiement (et leurs agents ainsi que les établissements exemptés), les organismes de micro-finance, les établissements de monnaie électronique (et les établissements exemptés), les établissements habilités à exercer le service de tenue de compte-conservation, les sociétés de financement, les entreprises de marché et, enfin, les conglomérats financiers.

Pour s’en tenir aux acteurs « alternatifs » des paiements, 45 établissements de monnaie électronique sont habilités à exercer en France en ce début d’année. Mais seuls 3 ont fait l’objet d’un agrément de l’ACPR (en qualité d’anciennes sociétés financières et en vertu des dispositions transitoires de la loi n° 2013-100 du 28 janvier 2013), les 42 autres (27 au 1^er janvier 2013) opérant pour l’essentiel en libre prestation de services (LPS) via un passeport européen en entrée, à l’exception de 3 établissements ayant recours à des distributeurs. S’y ajoutent 2 établissements exemptés d’agrément par application de l’exception dite de réseau limité (CMF, art. L. 525-5).

Le paysage des services de paiement compte 22 établissements de paiement agréés par l’ACPR [2] , contre 17 au 1^er janvier 2013. Ceux-ci demeurent toutefois « noyés » au milieu de près de 300 établissements européens, opérant en très grande majorité en LPS, à l’exception de quelques-uns (moins d’une vingtaine) ayant implanté une succursale ou recourant à des agents. Quant aux agents mandatés par des EP agréés en France, ils restent fort peu nombreux (une cinquantaine mandatée par seulement 2 EP) et agissent presque exclusivement en Allemagne. Les établissements exemptés en vertu de l’exception de réseau limité (CMF, art. L. 521-3), enfin, sont au nombre de 13.

III. La saga bitcoin (suite)

Les contempteurs du bitcoin auront beau jeu de mettre en avant la défaillance annoncée de la plateforme MtGox (plus ou moins 850 000 bitcoins et un demi-milliard de dollars envolés, paraît-il), dont on se souvient que l’un de ses intermédiaires français avait été condamné pour fourniture illégale de services de paiement [3] . Mais c’est peut-être un mal pour un bien, le bien futur d’une régulation adaptée aux monnaies virtuelles, dont les contours s’esquissent petit à petit [4] .

Ainsi, la position de l’ACPR 2014-P-01 relative aux opérations sur bitcoins en France [5] a-t-elle été relayée par une page d’actualités « Les risques des opérations sur bitcoins » de la dernière livraison de la Revue de cette autorité (n° 16, janv.-févr. 2014). Ce n’est pas tellement le catalogue des risques qui mérite attention : on les connaît. Plus intéressant est l’exercice de « décomposition » des opérations réalisées avec des bitcoins auquel se livre l’ACPR. L’émission et l’échange de bitcoins contre des biens ou des services, d’une part, ne font intervenir aucun tiers à l’opération. Sans doute risqués, ils ne sont pas soumis au droit des services de paiement. L’est, en revanche et d’autre part, l’échange (acquisition ou vente) de bitcoins contre des devises ayant cours légal, nécessitant l’intervention d’un tiers collecteur de fonds et garant de la remise des bitcoins aux acheteurs. C’est cette intermédiation (financière) qui, selon l’ACPR, déclenche la qualification de fourniture de services de paiement et la nécessité d’un statut de PSP (établissement de crédit, de monnaie électronique ou de paiement).

Après la Belgique, vient le tour de la Commission de surveillance du secteur financier (CSSF) du Luxembourg de se saisir des monnaies virtuelles, par un communiqué du 14 février 2014. La position du superviseur luxembourgeois nous semble pleine de bon sens, à la fois ouverte et exigeante. D’un côté, dit-il, les monnaies virtuelles sont bien de la monnaie (mais qui n’a d’évidence pas cours légal), de la monnaie scripturale et même, pourquoi pas, de la monnaie électronique, « mais pas forcément au sens de la directive européenne 2009/110 qui donne une définition de la monnaie électronique limitée à son propre champ d’application ». D’un autre côté, le CSSF, sans préjuger du statut adéquat, rappelle que toute activité du secteur financier suppose agrément. Si bien que « les intéressés potentiels qui souhaitent s’établir au Luxembourg pour exercer une activité du secteur financier (comme par exemple l’émission de moyens de paiement libellés en monnaies virtuelles ou autres, l’offre de services de paiement utilisant des monnaies virtuelles ou autres, l’installation d’un marché (“plateforme”) pour négocier des monnaies virtuelles ou autres) doivent définir leur objet social et leur activité de façon suffisamment concrète et précise pour permettre à la CSSF de déterminer le statut pour lequel ils devront obtenir l’agrément ministériel ». La méthode est intéressante.

La « question bitcoin » mériterait enfin d’être examinée par les autorités européennes. Une proposition de résolution du Parlement européen sur le système bitcoin a été déposée le 3 février 2014, invitant la Commission à prêter une attention particulière au phénomène et à examiner les conséquences positives et négatives de l’expansion d’une telle monnaie. De son côté, le ministre de l'Économie Pierre Moscovici, en visite à Tracfin le 5 mars, a annoncé son intention de saisir les États membres de l’Union en portant le sujet à l’examen du Conseil.

IV. Crowdfunding (suite)

Lors de rencontres organisées le 14 février 2014 sur le thème « Faire de la France le pays pionnier du financement participatif », le ministre Fleur Pellerin a dessiné le nouveau cadre juridique du crowdfunding [6] … en donnant rendez-vous dans six mois.

En laissant de côté le financement « service d’investissement » (participation dans l’entreprise), qui ne relève pas de notre matière, communiqué et dossier de presse confirment [7] ce que l’on savait déjà à propos du financement « service de paiement » (par don) : la réglementation des établissements de paiement serait assouplie (régime allégé de « petit » établissement de paiement). Rien de nouveau donc, sinon qu’il est précisé que le montant (des dons) resterait libre.

S’agissant du financement « opération de banque » (par prêt rémunéré), les annonces sont au contraire originales par rapport au texte de la consultation lancée conjointement par l’ACPR et l’AMF (ou en comparaison de leur guide commun sur le financement participatif). Car il est d’abord prévu que les plateformes de prêt endosseraient un nouveau statut d’« IFP » (on imagine que cela signifie « intermédiaire en financement participatif »), dispensé d’exigence de fonds propres, là où la consultation, sauf erreur, était muette à cet égard ; là où le guide précité n’envisageait que le statut (existant) d’IOBSP. Car est ensuite ouverte une possibilité de financement à hauteur de 1 million d’euros, plafond notoirement relevé par rapport à celui de 300 000 euros projeté par la consultation ACPR-AMF. Car est encore substituée à la limite de 250 euros par prêts consentis par chaque particulier [8] pour un projet donné, celle de 1 000 euros par « blocs » de prêts. Car disparaît enfin l’exigence (mais peut-être est-il prématuré de la poser à ce stade) qu’un minimum de vingt prêteurs participent au financement [9] . Une dernière remarque : les plateformes respectant le nouveau cadre juridique se verraient décerner un label « Plateforme de financement participatif régulée par les autorités françaises », orné d’une Marianne.

V. Comptes bancaires inactifs

Les comptes dits inactifs (i. e. les comptes sur lesquels aucune opération n’est constatée sur une période longue, généralement d’un an) représenteraient, selon une estimation basse de la Cour des comptes, un volume d’actifs de 1,6 milliard d’euros. Or, la seule règle en la matière est celle de la déchéance trentenaire (prévue à l’article L. 1126-1, 3°, du Code général de la propriété des personnes publiques), après quoi l’État devient destinataire ultime des fonds non réclamés.

Une proposition de loi (dite « Eckert », du nom de son rapporteur), relative aux comptes bancaires inactifs et aux contrats d’assurance vie en déshérence, entend, s’agissant des premiers, insérer dans le Code monétaire et financier un régime spécifique propre à assurer la protection des droits des épargnants et la préservation des intérêts financiers de l’État. L’inscription des dispositions nouvelles dans le CMF (art. L. 312-19 et s.) présenterait l’intérêt de conférer à l’ACPR le contrôle de leur respect.

Retenons, à ce stade (la proposition a été adoptée en première lecture par l’Assemblée nationale le 19 février 2014), que tant les établissements de crédit que les établissements de monnaie électronique et les établissements de paiement devraient recenser chaque année les comptes inactifs (comptes abandonnés par leur titulaire en vie, comptes de personnes décédées) ouverts dans leurs livres et en publier le nombre et le montant total des dépôts et avoirs. Le montant annuel des frais et commissions de toutes natures prélevés sur les comptes inactifs serait plafonné.

VI. Nouvelle version de la norme PCI DSS

Nous attendions (avec impatience) la traduction française de la nouvelle version 3.0 de la norme PCI DSS (Payment Card Industry Data Security Standard), publiée en novembre 2013. C’est chose faite depuis le 20 février 2014, même si la version 3.0 en français (pourtant annoncée) de la norme PA DSS (Payment Application Data Security Standard) se fait encore attendre.

Trois éléments de « clarification » importants sont à relever. Le premier est que le SAD (les données d’identifications sensibles : données de bande magnétique ou leur équivalent sur une puce ; CAV2/CVC2/CVV2/CID (cryptogramme visuel) ; Codes/blocs PIN) ne doit pas être stocké après autorisation, même lorsqu’il n’y a pas de PAN (numéro de compte primaire) dans l’environnement. Cela est peut-être plus que de la clarification, dans la mesure où la version 2.0 (octobre 2010) faisait du PAN le facteur déterminant de l’applicabilité des conditions PCI DSS.

Le deuxième est que toutes les applications qui stockent, traitent ou transmettent des données du titulaire de la carte (PAN, nom du titulaire de la carte, date d’expiration, code service) se trouvent dans le champ d’application de l’évaluation PCI DSS, y compris les applications qui ont été validées PA DSS.

Le troisième, enfin, est que la norme PCI DSS est « susceptible » de s’appliquer aux fournisseurs d’« application de paiement » (Payment Application Vendors) s’ils stockent, traitent ou transmettent des données du titulaire, ou ont accès aux données du titulaire de ses clients (« has acces to their customers’ cardholder data »), par exemple dans le rôle d’un fournisseur de services. La version 2.0 visait l’applicabilité de la norme PA DSS, non celle PCI DSS. Elle précisait par ailleurs ne pas s’appliquer aux applications de paiement développées par des commerçants et des prestataires de services lorsqu’elles étaient utilisées en interne uniquement (ni vendues, ni distribuées, ni cédées sous licence à un tiers, par opposition aux applications vendues et installées « prêtes » à l’emploi), puisque de telles applications seraient couvertes par la conformité normale du prestataire de services ou du commerçant à la norme PCI DSS.

VII. Dernières nouvelles du « Paquet paiement »

Où en sont les propositions de DSP 2 et de règlement CMI publiées par la Commission européenne le 24 juillet 2013 [10] ?

Par un avis du 18 décembre 2013, la Commission des affaires juridiques du Parlement européen convenait que les objectifs de la proposition de DSP 2 sont pleinement conformes aux politiques de l’Union en ce qui concerne la mise en place d’un marché intérieur des services de paiement efficace, la protection des données à caractère personnel [11] , les sanctions administratives et la lutte anti-blanchiment. Le 20 février 2014, c’était au tour de la Commission des affaires économiques et monétaires dudit Parlement de se prononcer en faveur d’une mise à jour des dispositions sur les paiements en ligne, prônant en particulier que les fournisseurs de services de paiement soient contraints de communiquer, à la demande, les coûts réels des traitements des paiements. Entre-temps, la Banque centrale européenne (BCE) adoptait, le 5 février 2014, une legal opinion (on attend encore sa publication au JOUE) sur la proposition de DSP 2, où elle se montre notoirement favorable (promotion de l’innovation et de la concurrence par l’accès de nouveaux acteurs au marché) à la proposition d’élargir la liste des services de paiement pour y faire figurer les services d’initiation de paiement (un prestataire tiers initie un paiement à la demande du payeur, généralement pour des achats en ligne et en alternative à l’utilisation des cartes de crédit) et les services d’information sur les comptes (un prestataire tiers fournit à un utilisateur des informations consolidées sur les différents comptes qu’il peut détenir dans une ou plusieurs banques).

Le même jour (5 février 2014), la BCE se prononçait ainsi en faveur de la proposition de règlement CMI : « While the new rules have a strong competition-related aspect, they should also reduce market fragmentation and create a level playing field, which will make it easier for existing players to compete and for new providers to enter the market for card payments, thus leading to increased efficiency and a greater use of electronic payment instruments overall. » À son tour, la Commission des affaires économiques et monétaires du Parlement européen s’est dite favorable, le 20 février 2014, au plafonnement des commissions pour les paiements par carte bancaire (qui coûtent aux détaillants, selon la Commission, plus de 10 milliards d’euros par an), à ce jour non soumises à une législation, mais aux décisions des autorités nationales de la concurrence.

Achevé de rédiger le 10 mars 2014.

1 Dont on sait (CMF, art. L. 525-4) qu’ils sont exclus du régime de la monnaie électronique. 2 Un 23e doit y être ajouté, agréé le 29 janvier 2014, selon le suivi qu’assure la Revue de l’ACPR. À noter encore que 3 établissements de crédit agréés pour exercer exclusivement l’activité de transfert de fonds avant le 1er novembre 2009 sont réputés agréés, à compter du 1er janvier 2014, en qualité d’établissement de paiement (Ord. n° 2013-544, 27 juin 2013, art. 34, IV). 3 Revue Banque n° 767-768, janv. 2014, notre chronique. 4 Régulation à laquelle les acteurs français du bitcoin semblent aspirer, si l’on en croit la création de l’association Bitcoin France, l’ouverture d’une Maison du Bitcoin, etc. 5 Revue Banque n° 770, mars 2014, notre chronique. 6 Cf. Revue Banque n° 769, févr. 2014, notre chronique. Voir encore Revue Banque n° 770, mars 2014, « Cahier nouvelles technologies ». 7 Confirmation sous toute réserve d’un discours politique communiqué par voie de presse. 8 La notion de prêteur sera-t-elle circonscrite aux seules personnes (physiques) agissant pour des besoins non professionnels ? 9 À noter de surcroît que les plateformes seraient tenues d’une obligation de transparence sur les frais et les taux de défaillance des projets portés. 10 Cf. P. Storrer, « De la DME 2 à la DSP 2 : le nouvel horizon des paiements », Banque et Droit n° 152, nov.-déc. 2013, p. 8. 11 Comp. Avis du Contrôleur européen de la protection des données, JOUE C 38, 8 févr. 2014, appelant à ce que le projet de directive précise que « la fourniture de services de paiement peut impliquer le traitement de données à caractère personnel ». C'est pour le moins un peu court.