L’agrément des nouveaux acteurs de la DSP2 : retour d’expérience

Les établissements de paiement ont été créés par la Directive n° 2007/64/CE sur les services de paiement du 13 novembre 2007 (« DSP1 »). Celle-ci a ainsi ouvert une brèche dans le monopole bancaire, afin d’augmenter la concurrence sur ce marché en Europe et assurer une meilleure protection du consommateur, dans un environnement toujours plus digitalisé.

La Directive 2015/2366/CE du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (« DSP2 »), transposée en France depuis le 13 janvier 2018 par l’ordonnance n° 2017-1252 du 9 août 2017, vient revoir la DSP1, afin de prendre en compte les évolutions technologiques du secteur. Cette deuxième directive est essentiellement axée sur les enjeux de sécurité et la promotion de nouvelles méthodes innovantes de paiement mobile et en ligne. L’harmonisation de ces moyens de paiement au niveau européen constitue le support essentiel au développement du marché européen du e-commerce. Le législateur a souhaité accompagner cette transition digitale par la création de nouveaux acteurs qui viennent s’inviter dans la chaîne du paiement. Le législateur a consacré par cette directive les pratiques de certaines FinTechs déjà existantes en Europe, mais a aussi fait preuve d’avance par rapport aux pratiques de marché.

Les nouveaux services de paiement

Dans ce nouveau cadre législatif, la société Bankin a été agréée par l’Autorité de contrôle prudentiel et de résolution (ACPR), tout comme d’autres FinTechs françaises et européennes qui suivent ou ont suivi le pas.

Les nouveaux services de paiement que peuvent exercer ces prestataires recouvrent trois métiers :

• l’agrégation d’informations sur des comptes bancaires et de paiement. Ce service permet à des utilisateurs de consulter leurs comptes sur une application ou un site, qui n’est pas sous la supervision du gestionnaire des comptes consultés. Il correspond notamment à des offres de gestion de budget (« Personal finance management ») ;
• l’initiation d’opérations de paiement. Ce service offre la possibilité à des utilisateurs de donner leur consentement à une opération de paiement via une application d’un prestataire qui n’est pas le gestionnaire du compte de paiement sur lequel l’opération sera débitée. L’utilisateur peut ainsi notamment gérer sa trésorerie facilement à partir d’une seule application et effectuer des virements entre des comptes tenus par différents gestionnaires de comptes ;
• l’émission d’instrument de paiement par un prestataire venant débiter un compte tenu par un autre prestataire, gestionnaire de ce compte.

Des spécificités juridiques

Dans le cadre du lancement de ces nouveaux métiers, beaucoup de questions juridiques et réglementaires ont été soulevées lors des demandes d’agrément traitées ou en cours. La collaboration avec l’ACPR a permis de dégager un certain nombre d’interprétations et d’obtenir pour ces nouveaux prestataires un agrément en quelques mois seulement. Les prestataires fournissant uniquement le service d’information sur les comptes sont soumis à un enregistrement auprès de l’ACPR. En revanche, le parcours d’une demande d’agrément d’un prestataire fournissant des services d’information et d’initiation est le même que tous les autres établissements de paiement.

Certaines spécificités juridiques peuvent cependant être soulevées.

Leurs obligations prudentielles sont limitées à un capital social minimum et à une assurance, ce qui les distingue des autres établissements de paiement qui doivent disposer de fonds propres minimums en lien avec le niveau de risques porté par leur activité calculé suivant une méthode prévue par l’arrêté du 29 octobre 2009.

Leurs obligations en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme diffèrent aussi. Le prestataire fournissant un service d’initiation d’opérations de paiement peut appliquer les articles L. 561-5 et L. 561-6 du Code monétaire et financier sous la forme de mesures de vigilance simplifiées, sous réserve qu’il n’existe pas de soupçons de blanchiment ou de financement du terrorisme. Par ailleurs, le prestataire peut ne pas appliquer aux clients enrôlés à distance ou aux personnes politiquement exposées, les mesures de vigilance complémentaires.

Les obligations juridiques liées à l’identification des clients et permettant de se conformer au Code monétaire et financier doivent pouvoir s’appuyer sur les méthodes de représentations juridiques et de preuve de droit commun tout en respectant l’essence même du service voulu par le législateur. En effet, « l'utilisateur de services de paiement peut accéder aux données de ses comptes de paiement », et « le payeur peut s'adresser à un prestataire de services de paiement de son choix pour obtenir le service d’initiation d’opérations de paiement ».

Les prestataires fournissant les services d’information et d’initiation sont, en général, hybrides, dans la mesure où ils offrent des services sur des actifs, autres que les comptes de paiement. Ce service ne relève pas des activités réglementées par le Code monétaire et financier. Néanmoins, il est fourni dans les mêmes conditions opérationnelles que les services de paiement, et n’est pas soumis au même régime juridique. Cette situation est particulièrement difficile à gérer dans les contrats-cadres de services de paiement et les relations avec les gestionnaires de comptes. L’assimilation des deux services ne peut pas être totale et il conviendra de maintenir dans les contrats des dispositions spécifiques aux deux services.

L'absence de relations contractuelles

Les relations entre acteurs du paiement reposent habituellement sur une chaîne de contrats leur permettant de régir leurs relations dans le cadre de l’utilisation d’une infrastructure commune assurant l’interopérabilité des échanges. Les acteurs s’accordent, en outre, pour appliquer un référentiel de normes et de standards techniques communément admis dans le secteur. Nous pourrons citer les affiliés aux réseaux cartes, les participants aux chambres de compensation. Les établissements de paiement fournissant un service d’initiation d’opérations de paiement et/ou d’information sur les comptes ne s’intègrent pas dans une chaîne contractuelle les liant aux gestionnaires de comptes. En effet, « la fourniture de services d'initiation de paiement (ou de services d’informations sur les comptes) n'est pas subordonnée à l'existence de relations contractuelles entre les prestataires de services de paiement fournissant le service d'initiation de paiement et les prestataires de services de paiement, gestionnaires de comptes. » (L. 133-40.IV et L. 133-41.IV du Code monétaire et financier). Ainsi, les relations existantes entre le gestionnaire de compte et l’établissement de paiement initiateur d’opérations de paiement reposent uniquement sur les dispositions législatives et réglementaires en vigueur, laissant beaucoup de vide juridique, là où un contrat aurait encadré plus précisément les potentiels cas de mise en jeu de responsabilités et de règlement des différends. Il est donc réellement difficile à ce stade d’appréhender les modalités et le coût du règlement des litiges résultant de contestation d’ordres de paiement initiés par des prestataires de services de paiement tiers. Le législateur a, néanmoins, prévu les grands principes applicables à tous les comptes bancaires et de paiement accessibles en ligne et notamment :

• les cas restrictifs dans lesquels le gestionnaire de comptes peut refuser à un prestataire de services de paiement fournissant un service d'information sur les comptes ou d'initiation de paiement l'accès à un compte de paiement ;
• le traitement des opérations de paiement non autorisées initiées par l'intermédiaire d'un prestataire de services de paiement fournissant un service d'initiation de paiement, et l’obligation pour le gestionnaire du compte de rembourser au payeur le montant de l'opération non autorisée ;
• l’obligation pour le prestataire de services de paiement qui a fourni le service d'initiation de paiement responsable de l'opération de paiement non autorisée, d’indemniser immédiatement le prestataire de services de paiement gestionnaire du compte, à sa demande, pour les pertes subies ou les sommes payées en raison du remboursement du payeur, y compris le montant de l'opération de paiement non autorisée.

Des partenaires multiples

Comme la plupart des établissements de paiement agréés en France, le business model repose sur deux offres : une offre directe BtoC ou BtoB aux utilisateurs et une offre BtoBtoC/B souvent fournie au travers d’une API. Ainsi, autour de ces nouveaux acteurs de la DSP2 gravitent de multiples partenaires, tels que des banques, des comptables, des sociétés de gestion et des assureurs. Les différents partenaires pourront suivant leur intervention opter pour l’un des statuts suivants :

• tiers utilisateurs ;
• IOBSP ;
• agent de services de paiement ;
• établissement de paiement (marque blanche).

Ces notions correspondent à chaque fois à un positionnement extrêmement précis en termes de communication marketing, d’intervention dans la commercialisation ou de modalités de fourniture des services de paiement. Les discussions avec l’ACPR ont permis d’adapter la réglementation existante à la réalité de marché de ces nouveaux services et de valider le recours à la notion de tiers utilisateur.

Les interfaces techniques

Enfin, les standards techniques relatifs à l’authentification forte dont la prise d’effet est prévue le 14 septembre 2019, conformément à l’acte délégué n° 2018/389 de la Commission du 27 novembre 2017, doivent permettre d’encadrer les conditions d’interface technique entre les gestionnaires et les prestataires de services d’information sur les comptes et d’initiation d’opérations de paiement. Des environnements de test devront être rendus disponibles par les gestionnaires de comptes dès mars 2019. Cette phase transitoire imposée aux acteurs implique d’envisager les dossiers d’agrément en deux temps : sur la base, d’une part, d’une réglementation actuelle et, d’autre part, de celle applicable au 14 septembre 2019,.

Les établissements de paiement DSP1 aussi concernés

À titre subsidiaire, il est rappelé aux établissements de paiement déjà agréés et aux banques qu’il est nécessaire d’intégrer dans leur dispositif opérationnel et contractuel, ces évolutions juridiques majeures. Il convient aussi aux établissements de paiement et de monnaie électronique d’inclure dans leurs dispositifs, ces nouveaux services ainsi que les nouvelles contraintes en matière de politique de sécurité et de protection des données sensibles de paiement prévues par la DSP2. En effet, les établissements de paiement sont, conformément à l’ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du 25 novembre 2015, réputés respecter les dispositions de la DSP2. Il est donc nécessaire de vérifier que l’ensemble du dispositif opérationnel et de contrôle est conforme à la DSP2 et aux standards techniques de l’EBA. Les nouveaux acteurs ont dû présenter des dossiers d’agrément beaucoup plus complets que les établissements de paiement DSP1 sur le dispositif sécuritaire de leur système d’information.

En conclusion, les prestataires fournissant les services d’information et d’initiation d’opérations de paiement sont lancés dans un cadre légal innovant sous la supervision de l’ACPR, dans cette période transitoire courant jusqu’au 14 septembre 2019, qui laisse encore place à de nombreuses interprétations et évolutions.

Achevé de rédiger le 15 mars 2018.