Droit des moyens et services de paiement : actualités janvier-début février 2014

I. Le défi de standardiser les paiements en Europe

Tel est l’intitulé du communiqué du Parlement européen qui, le 5 février 2014, a annoncé avoir approuvé la proposition de la Commission d’accorder une période transitoire de 6 mois à la migration SEPA, avec effet rétroactif au 31  janvier [1] . Deux points méritent l’attention.

Le premier est que le « recul » de la end-date ne figurerait pas à l’article 6 « Dates butoirs » du règlement n° 260/2012, mais à son article 16 « Dispositions transitoires », confirmant par là que le législateur européen entend conserver le principe d’une migration au 1^er février 2014, exceptionnellement prorogée jusqu’au 1^er août, à l’instar de la faculté offerte aux PSP ayant entièrement achevé leur migration de fournir des services de conversion aux utilisateurs de services de paiement qui n’ont pas encore migré.

Le second point est la proposition d’insérer audit article 16 un alinéa selon lequel les États membres mettraient en œuvre les règles relatives aux sanctions applicables aux violations de l’article 6, 1 et 2, arrêtées conformément à l’article 11, à compter du 2 août 2014. Mais, au fait, quelles sont les règles de sanction prises par la France, qui devaient l’être avant le 1^er février 2013 et communiquées à la Commission au plus tard le 1^er août 2013 ? Nous ne doutons pas qu’elles existent. Elles sont toutefois difficiles à trouver.

II. Cartographie des moyens de paiement scripturaux

Dans le cadre de sa mission de surveillance des moyens de paiement scripturaux, la Banque de France a publié sa cartographie 2012 desdits moyens, bilan de la collecte 2013 (données 2012) (voir Encadré 1). Les faits marquants sont : une augmentation du volume des paiements (conforme à la tendance observée depuis 2009) ; une baisse de la valeur des transactions ; une première place confortée de la carte en nombre de transactions ; une baisse du montant des virements (après la hausse exceptionnelle de 2011) ; une baisse du recours aux prélèvements ; une accélération de la décroissance de l’usage du chèque.

À quoi on ajoutera une croissance à deux chiffres du volume et du montant de la monnaie électronique, mais il est vrai qu’elle partait de très bas et demeure encore marginale.

III. Retour sur le bitcoin

Retour en effet, car nous traitions, lors d’une précédente chronique [2] , d’une alerte de la Banque de France sur les dangers liés au développement des monnaies virtuelles, à l’exemple du bitcoin [3] . De fait, il n’est quasiment pas un jour où la presse, plus ou moins spécialisée, ne parle de cette « chose » étrange, qui attire autant qu’elle fait peur. La nouveauté, comme nous le remarquions, est que le droit (l’exercice de qualification juridique) – et c’est tant mieux – se saisit enfin de l’objet bitcoin. Sans prétendre à l’exhaustivité, voici que se sont prononcées, tour à tour, l’European Banking Authority (EBA), l’Autorité des services et marchés financiers belge (FSMA) et la Banque Nationale de Belgique (BNB), notre ACPR, ou que s’est interrogée la Commission des finances du Sénat [4] . On n’oublie pas, même si elle date un peu, l’étude la plus complète à ce jour, publiée par la Banque Centrale Européenne en octobre 2012 : Virtual Currency Schemes, qui catégorise le bitcoin (et les Linden Dollars) en Type 3 Virtual currency schemes, i. e. virtual currency schemes with bidirectional flow [5] .

Le communiqué de l’EBA du 12 décembre 2013, intitulé « Avertissement aux consommateurs concernant les monnaies virtuelles », est relativement décevant, pour cette raison qu’elle évite de qualifier une telle monnaie et se borne à avertir de ses dangers (risques de perte d’argent sur la plate-forme d’échange, de vol dans le porte-monnaie électronique, d’absence de droit au remboursement, etc.). Nous le savions déjà. Tout au plus, constatant l’absence de protection réglementaire, annonce-t-elle être en train d’évaluer l’ensemble des questions liées aux monnaies virtuelles afin de déterminer si celles-ci peuvent et doivent être régulées et contrôlées. Certes, l’intention est louable ; elle restera toutefois vaine tant que l’on ne sait pas ce qu’est une monnaie virtuelle, ce qu’est le bitcoin en particulier [6] .

FSMA et BNB ne sont guère plus avancées : leur communiqué « Attention à l’argent virtuel, comme le bitcoin », procédant par « ni, ni », rappelle que « les monnaies virtuelles ne constituent pas un moyen de paiement légal ni une forme d’argent numérique » et qu’« il n’existe ni contrôle financier ni surveillance de l’argent virtuel ». La qualification la plus évidente, celle de « monnaie électronique », n’est cependant pas loin, lorsque les autorités belges exposent que l’argent virtuel n’est pas émis par une banque centrale ou « un émetteur agréé d’argent électronique ». N’est-ce pas suggérer que virtuelle, et donc hors réglementation, la monnaie pourrait devenir électronique dès lors qu’elle serait émise par un établissement du même nom [7] ? Cette conclusion est encore prématurée [8] .

Plus « en pointe » nous paraît être le régulateur français. L’ACPR a en effet adopté, le 29 janvier 2014, la Position 2014-P-01 relative aux opérations sur bitcoins en France. Prenant le relais du focus de la Banque de France du 5 décembre 2013, elle précise, en qualité d’autorité chargée de délivrer les agréments aux PSP, la qualification, non pas du bitcoin certes [9] , mais des opérations réalisées à l’aide du bitcoin au regard du droit monétaire et financier. Sa position est la suivante :

• «  Dans le cadre d’une opération d’achat/vente de bitcoins contre une monnaie ayant cours légal, l'activité d’intermédiation consistant à recevoir des fonds de l'acheteur de bitcoins pour les transférer au vendeur de bitcoins relève de la fourniture de services de paiement [10] ;
• exercer cette activité à titre habituel en France implique de disposer d'un agrément de prestataire de services de paiement (établissement de crédit, établissement de monnaie électronique ou établissement de paiement) délivré par l’ACPR ;
• la délivrance de cet agrément impose le respect de conditions relatives notamment aux apporteurs de capitaux, à la gouvernance, à la structure financière et au niveau de fonds propres. Elle impose également que les entreprises agréées mettent en place (i) un dispositif de contrôle interne et (ii) des mesures de vigilance en matière de lutte contre le blanchiment et le financement du terrorisme, adaptés à l’activité exercée et aux risques encourus. »

Il est intéressant de compléter ces observations par celles échangées lors d’une table ronde organisée, le 15 janvier 2014, par la Commission des finances du Sénat, autour des enjeux liés au développement des monnaies virtuelles de type bitcoin. On relèvera, par exemple, cette remarque du directeur de Tracfin, selon lequel «  l’émergence des monnaies virtuelles fait aujourd’hui apparaître un “trou noir” dans cette régulation : nous ne sommes pas dans l’illégal mais dans l’a-légal » ; ou celle du chef du service du financement de l’économie de la Direction générale du Trésor : « La question est plutôt de savoir si l’on peut donner une qualification : celle-ci peut-elle relever de catégories existantes ou bien faut-il créer de nouvelles catégories ? ». La première branche de l’option a nos faveurs.

Laissons (presque) le dernier mot, pour l’heure, au Commissaire européen chargé de la concurrence, Joaquin Almunia, auditionné le 28 janvier 2014 par la Commission des affaires européennes du Sénat : « En tant que citoyen, je ne prendrais pas le risque d'acheter un bitcoin. C'est aussi risqué que les produits financiers opaques à l'origine de la crise actuelle. »

« Presque », dans la mesure où l’on peut conclure, provisoirement, nos quelques remarques, par les propos tenus par M. Benjamin Lawsky, Superintendent du New York Department of Financial Services. Fin janvier, après des mois de travaux et consultations, il annonçait « a proposed regulatory framework for virtual currency firms operating in New York », sans doute sous la forme d’une « Bit License specially tailored to vitual currencies ». On remarque encore : « Indeed, virtual currency could ultimately have a number of benefits for our financial system. It could force the traditional payments community to up is game in terms of the speed, affordability, and reliability of financial transactions. » Car il s’agit de conjuguer protection et innovation : « The question, then, is what type of licensing, examination, and collateral requirements for the virtual currency industry will provide appropriate guardrails to protect consumers and our national security – without stifling beneficial innovation [11] . » La méthode américaine, « without any prejudgments », n’est pas dénuée d’intérêt.

IV. Sur la protection des données sensibles de paiement sur Internet

Le Forum européen SecuRe Pay (European Forum on the security of Retail Payments) établissait, en avril 2012, sous couvert de la Banque Centrale Européenne (BCE), ses recommandations pour la sécurité des paiements sur internet. À la faveur de celles-ci, a été publié, le 4 février 2014, un guide d’évaluation de la sécurité des paiements sur Internet (Assesment guide for the security of internet payments). Le document, fort de près de soixante pages, passe en revue les questions d’évaluation de la gouvernance, de de la gestion et de la réduction du risque. Nous ne nous y attarderons pas, les problématiques étant essentiellement techniques. Plus intéressante nous paraît être la place privilégiée réservée, en préambule du guide, aux données sensibles de paiement d’une part [12] , à l’authentification forte du client d’autre part. Nous reproduisons en partie les core definitions proposées, en langue anglaise (on jurera que le présent assesment guide ne sera pas traduit, comme un nombre croissant de textes européens…).

« The initiation of internet payments, as well as access to sensitive payment data, should be protected by strong customer authentication. For the purpose of this report, sensitive payment data are defined as data which could be used to carry out fraud. These include (i) data enabling a payment order to be initiated, (ii) data used for authentication, (iii) data used for ordering payment instruments or authentication tools to be sent to customers, as well as (iv) data, parameters and software which, if modified, may affect the legitimate party’s ability to verify payment transactions, authorise e-mandates or control the account, such as “black” and “white” lists, customer-defined limits, etc.

« Strong customer authentication is a procedure based on the use of two or more of the following elements – categorised as knowledge, ownership and inherence: i) something only the user knows, e.g. static password, code, personal identification number; ii) something only the user possesses, e.g. token, smart card, mobile phone; iii) something the user is, e.g. biometric characteristic, such as a fingerprint. In addition, the elements selected must be mutually independent, i.e. the breach of one does not compromise the other(s). At least one of the elements should be non-reusable and non-replicable (except for inherence), and not capable of being surreptitiously stolen via the internet. The strong authentication procedure should be designed in such a way as to protect the confidentiality of the authentication data. »

On s’arrête là, dans le cadre de cette chronique, même s’il y a beaucoup à dire sur ces définitions et leurs conséquences (e.g. wallet et authentification forte). L’intérêt porté aux données de paiement et à leur protection est déjà en soi remarquable.

 

Achevé de rédiger le 10 février 2014.

1 Cf. cette Revue n° 769, févr. 2014, notre chronique. 2 Cette Revue n° 767-768, janv. 2014, notre chronique. 3 Banque de France, Focus n° 10, 5 déc. 2013. 4 En dernier lieu, cf. question écrite n° 10364 de M. Jean-Vincent Placé sur les monnaies virtuelles de type bitcoin, JO Sénat, 13 févr. 2014, p. 370. 5 Par opposition aux Type 1 Closed virtual currency schemes (ou in-game only schemes) et Type 2 Virtual currency with unidirectional flow (ex. : Facebook Credits). 6 Comp. H. de Vauplane, « Bitcoin : monnaie de singe ou monnaie légale ? », cette Revue n° 762, juill-août 2014, p. 79, qui conclut que le bitcoin « est une unité de mesure monétaire… sans être une monnaie ». 7 Cf. H. de vauplane, précit., convenant que la comparaison entre bitcoin et monnaie électronique est « séduisante ». 8 L’étude précitée de la BCE prenait soin de lister les différences entre monnaie électronique et monnaie virtuelle, pour cela que leur rapprochement est naturel. 9 Le focus précité de la Banque de France convient qu’il n’est pas possible de réguler l’émission des monnaies virtuelles, « conçue pour échapper à tout contrôle de la sphère publique et ne répondant à aucune qualification au regard de la réglementation bancaire et financière actuellement en vigueur ». 10 Comp., sur le site de la Deutsche Bundesbank, à la date du 6 janvier 2014, l’interview de M. Carl-Ludwig Thiele, membre de l’Executive Board de la banque centrale allemande : « In Germany, market players do not need a licence to issue and to use Bitcoins, but they do require a licence for any services they offer which are based on the Bitcoin currency, such as an authorisation to operate a trading platform. » 11 Propos rapportés sur le site du Wall Street Journal, 28 janv. 2014. 12 Le qualificatif « sensible » est déjà, en soi, remarquable : Cf. P. Storrer, « De la protection européenne des données bancaires », Revue Banque n° 769.