Autorisations de l’ACPR : dernière ligne droite pour les fournisseurs de nouveaux services

La principale novation de la seconde directive europ&eacute;enne sur les services de paiement (Directive (EU) 2015/2366 &laquo; DSP 2 &raquo;), entr&eacute;e en vigueur le 13 janvier 2018, consiste, au-del&agrave; du renforcement des aspects li&eacute;s &agrave; la s&eacute;curit&eacute;, &agrave; r&eacute;guler une nouvelle typologie d&rsquo;acteurs permettant l&rsquo;acc&egrave;s aux comptes bancaires. Transpos&eacute;e en droit fran&ccedil;ais par l&rsquo;ordonnance n&deg; 2017-1252 du 9 ao&ucirc;t 2017 compl&eacute;t&eacute;e par les arr&ecirc;t&eacute;s publi&eacute;s le 31 ao&ucirc;t 2017, la DSP 2 a cr&eacute;&eacute; deux nouveaux services de paiement dont la fourniture requi&egrave;re d&eacute;sormais un agr&eacute;ment par l&rsquo;Autorit&eacute; de contr&ocirc;le prudentiel et de r&eacute;solution (ACPR) : le service d&rsquo;initiation de paiement qui permet &agrave; un utilisateur d&rsquo;initier, via un prestataire interm&eacute;diaire, des virements depuis son compte de paiement ; et le service d&rsquo;information sur les comptes qui permet &agrave; un utilisateur de r&eacute;cup&eacute;rer, via un prestataire interm&eacute;diaire, les informations relatives &agrave; l&rsquo;ensemble de ses comptes de paiement sur une interface unique. D&eacute;j&agrave; sept agr&eacute;ments accord&eacute;s par l&rsquo;ACPR Depuis le 13 janvier 2018, les acteurs qui fournissent ces services doivent &ecirc;tre agr&eacute;&eacute;s par l&rsquo;ACPR en qualit&eacute; d&rsquo;&eacute;tablissements de paiement, s&rsquo;ils fournissent le service d&rsquo;initiation de paiement (PSIP), ou &ecirc;tre enregistr&eacute;s en tant que prestataires d&rsquo;information sur les comptes (PSIC), s&rsquo;ils ne fournissent que le service d&rsquo;information sur les comptes. Le statut de ces fournisseurs est all&eacute;g&eacute; par rapport aux autres prestataires de services de paiement traditionnels et consiste principalement en des exigences de s&eacute;curit&eacute; et en la n&eacute;cessit&eacute; de souscrire une assurance de responsabilit&eacute; civile professionnelle (cf. tableau ci-dessous). Pour l&rsquo;heure, l'ACPR, qui a fait partie des premi&egrave;res autorit&eacute;s europ&eacute;ennes &agrave; d&eacute;livrer de tels agr&eacute;ments, a autoris&eacute; sept entreprises, sp&eacute;cialis&eacute;es dans les services d&rsquo;information sur les comptes, et qui ont profit&eacute; de la nouvelle r&eacute;glementation pour &eacute;largir leur offre de services en la couplant avec le service d&rsquo;initiation de paiement. Dix-sept institutions agr&eacute;&eacute;es dans un autre pays de l'UE ont par ailleurs demand&eacute; &agrave; b&eacute;n&eacute;ficier du passeport europ&eacute;en pour proposer leurs services en France. Dans l'attente de la mise en œuvre d'un registre europ&eacute;en et afin de faciliter en particulier l'information des prestataires de services de paiement (PSP) gestionnaires de comptes, l'ACPR publie sur son site [1] la liste des &eacute;tablissements de paiement, de monnaie &eacute;lectronique et des PSIC autoris&eacute;s &agrave; fournir l'un ou l'autre des deux services, ou les deux. Et ce march&eacute; est en pleine expansion. En effet, au-del&agrave; de la fourniture d&rsquo;applications de gestion de budget, offertes directement aux utilisateurs, le service d&rsquo;information sur les comptes prosp&egrave;re. Il permet notamment le partage de donn&eacute;es bancaires avec d&rsquo;autres partenaires qui les utilisent &agrave; leur tour pour offrir d&rsquo;autres services, comme la comptabilisation automatique des op&eacute;rations transitant sur les comptes de paiement, la mise en place d&rsquo;un programme de fid&eacute;lisation ou l&rsquo;estimation de la solvabilit&eacute; d&rsquo;un client. Un groupe de travail d&eacute;di&eacute; Une &eacute;tape importante reste n&eacute;anmoins &agrave; franchir pour finaliser le d&eacute;veloppement de ces nouveaux services : les banques doivent maintenant d&eacute;velopper et mettre en œuvre d&rsquo;ici septembre 2019 les interfaces qui s&eacute;curiseront et faciliteront l'&eacute;change des donn&eacute;es avec ces nouveaux acteurs, telles que les interfaces de programmation sp&eacute;cifiques (API), afin de se conformer aux standards techniques r&eacute;glementaires (RTS) adopt&eacute;s en mars 2018. Sur ce sujet, un important travail a d&eacute;j&agrave; &eacute;t&eacute; effectu&eacute; au niveau national, notamment gr&acirc;ce &agrave; un groupe de travail d&eacute;di&eacute; au sein du Comit&eacute; national sur les paiements scripturaux (CNPS). En permettant &agrave; tous les acteurs impliqu&eacute;s, banques et nouveaux entrants, d'exprimer leurs pr&eacute;occupations et de d&eacute;battre de probl&egrave;mes techniques, celui-ci a permis la mise en place d'une r&eacute;ponse commune et unifi&eacute;e &agrave; ce d&eacute;fi, gr&acirc;ce au d&eacute;veloppement d'un standard d&rsquo;API compatible avec la DSP 2. Pour autant, les enjeux restent cons&eacute;quents pour les acteurs qui souhaitent d&eacute;ployer leur API sans mettre &agrave; disposition une solution de secours. En effet, le r&egrave;glement d&eacute;l&eacute;gu&eacute; (UE) n&deg; 2018/389 fixe les d&eacute;lais suivants : la mise &agrave; disposition par les prestataires offrant une API de la documentation relative &agrave; leurs interfaces d&rsquo;acc&egrave;s au minimum six mois avant le 14 septembre 2019 ou la date de lancement de l&rsquo;interface d&rsquo;acc&egrave;s, si celle-ci intervient apr&egrave;s le 14 septembre 2019 (R&egrave;glement d&eacute;l&eacute;gu&eacute; (UE) n&deg; 2018/389, article 30.3) ; le lancement d&rsquo;un dispositif d&rsquo;essai de leurs interfaces d&rsquo;acc&egrave;s par les prestataires offrant une API au minimum six mois avant la date d&rsquo;application des normes fix&eacute;e au 14 septembre 2019, ou la date de lancement de l&rsquo;interface d&rsquo;acc&egrave;s si celle-ci intervient apr&egrave;s le 14 septembre 2019 (R&egrave;glement d&eacute;l&eacute;gu&eacute; (UE) n&deg; 2018/389, article 30.5) et une utilisation large de ces interfaces d&rsquo;acc&egrave;s par des prestataires de services de paiement durant au moins trois mois avant le d&eacute;ploiement effectif de ces derni&egrave;res - ce d&eacute;lai pouvant se superposer aux d&eacute;lais mentionn&eacute;s aux articles 30.3 et 30.5. (R&egrave;glement d&eacute;l&eacute;gu&eacute; (UE) n&deg; 2018/389, article 33.6.c). &Agrave; ce calendrier vient s&rsquo;ajouter le d&eacute;lai d&rsquo;examen des dossiers de demande d&rsquo;exemption par l&rsquo;ACPR, en collaboration avec la Banque de France, dont la dur&eacute;e maximale a &eacute;t&eacute; fix&eacute;e &agrave; deux mois &agrave; compter de la r&eacute;ception d&rsquo;un dossier complet. Au-del&agrave; de ce d&eacute;lai, le principe de &laquo; silence vaut acceptation &raquo; pr&eacute;vaudra pour attribuer une exemption. Des &eacute;ch&eacute;ances qui s'encha&icirc;nent En France, le d&eacute;cret n&deg; 2018-1228 du 24 d&eacute;cembre 2018 a de surcro&icirc;t rendu le r&egrave;glement d&eacute;l&eacute;gu&eacute; (UE) n&deg; 2018/389 applicable de fa&ccedil;on anticip&eacute;e &agrave; sa date d'application, fix&eacute;e au 14 septembre 2019, afin que l'ensemble des parties prenantes mette en place dans les meilleurs d&eacute;lais des solutions techniques permettant de s&eacute;curiser leurs communications donnant acc&egrave;s aux donn&eacute;es des comptes de paiement. Ainsi, le 14 janvier 2019 &eacute;tait la date recommand&eacute;e par l&rsquo;Autorit&eacute; de contr&ocirc;le prudentiel et de r&eacute;solution pour la mise &agrave; disposition par les prestataires de services de paiement gestionnaires de comptes (Account Servicing Payment Service Providers &ndash; ASPSP) de la documentation, mais aussi d&rsquo;un dispositif d&rsquo;essai de leurs interfaces d&rsquo;acc&egrave;s afin de permettre aux tiers de disposer d&rsquo;un temps suffisant pour se pr&eacute;parer aux conditions d&rsquo;utilisation &eacute;tendue &agrave; compter du 14 avril 2019. Les prestataires disposant d&rsquo;une API devaient mettre &agrave; disposition avant le 14 mars 2019, date limite pr&eacute;vue par les articles 30.3 et 30.5 des RTS, la documentation et un dispositif d&rsquo;essai de leurs interfaces d&rsquo;acc&egrave;s en vue d&rsquo;obtenir une exemption au plus tard au 14 septembre 2019. Un prestataire offrant une API qui mettrait &agrave; disposition ces deux &eacute;l&eacute;ments &agrave; cette date devra n&eacute;anmoins pouvoir justifier aupr&egrave;s de l&rsquo;ACPR que le d&eacute;lai d&rsquo;un mois avant la mise &agrave; disposition aux conditions d&rsquo;utilisation &eacute;tendue a &eacute;t&eacute; suffisant pour permettre aux PSP tiers d&rsquo;utiliser l&rsquo;API aux conditions d&rsquo;utilisation &eacute;tendues &agrave; compter du 14 avril 2019. Le 14 avril 2019 est la date limite de la mise &agrave; disposition d&rsquo;une API r&eacute;pondant aux conditions d&rsquo;utilisation &eacute;tendue, d&eacute;finies par les standards s&eacute;curitaires et les orientations de l&rsquo;Autorit&eacute; bancaire europ&eacute;enne (ABE). En effet, pour que le dossier d&rsquo;exemption puisse &ecirc;tre qualifi&eacute; de complet lors de son d&eacute;p&ocirc;t &agrave; l&rsquo;ACPR le 14 juillet 2019, le prestataire offrant une API devra &ecirc;tre en mesure de prouver &agrave; cette date que son interface a fait l&rsquo;objet d&rsquo;une utilisation &eacute;tendue conform&eacute;ment aux orientations de l&rsquo;ABE durant les trois mois pr&eacute;c&eacute;dents. Enfin, le 14 juillet 2019 sera la date limite de d&eacute;p&ocirc;t du dossier complet par les prestataires offrant une API, pour la demande d&rsquo;exemption aupr&egrave;s de l&rsquo;ACPR. Cette date permet aux demandeurs de s&rsquo;assurer de l&rsquo;obtention de l&rsquo;autorisation avant le 14 septembre 2019. Car le 14 septembre 2019 sera la date limite d&rsquo;obtention d&rsquo;une exemption de m&eacute;canisme d&rsquo;urgence pour les prestataires offrant une API. Au-del&agrave; de cette date, tout prestataire de ce type qui n&rsquo;aurait pas obtenu d&rsquo;autorisation, sera dans l&rsquo;obligation de pr&eacute;voir un m&eacute;canisme d&rsquo;urgence. &Agrave; d&eacute;faut, le prestataire sera non conforme &agrave; la r&eacute;glementation. 1 https://acpr.banque-france.fr/autoriser/registre-des-agents-financiers

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Contrôles

Autorisations de l’ACPR : dernière ligne droite pour les fournisseurs de nouveaux services

À retrouver dans la revue

Paiements

Chahuté, Worldline se bouge

Macro-économie

Dette et déficit publics : comment éviter le précipice

Paiements

DeluPay, une appli alternative aux cartes de paiement

Services financiers spécialisés

Le leasing, notre meilleur atout pour une mobilité décarbonée

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous