I. Liste des titres spéciaux de paiement dématérialisés hors-champ de la monnaie électronique
Dernier texte réglementaire d’application de la loi du 28 janvier 2013 de transposition de la 2e directive Monnaie
électronique
[1]
(DME 2), l’arrêté du 17 juin 2013 fixant la liste des titres spéciaux de paiement dématérialisés en application de l’article L. 525-4 du CMF, c’est-à-dire ceux qui, par dérogation, ne sont pas considérés comme de la monnaie
électronique
[2]
, a été publié au JO du 25 juin, pour une entrée en vigueur le lendemain.
Attendue, la liste fixée par ce texte (voir Encadré 1) est sans réelle surprise, à l’exception peut-être de son dernier tiret qui porte sur « les titres-cadeaux octroyés dans le cadre d'opérations de stimulation et de promotion des ventes et bénéficiant à ce titre d'un régime d'exonération de cotisations et contributions de sécurité sociale et qui sont utilisables exclusivement pour l'acquisition de biens ou de services à l'intérieur d'un réseau limité de partenaires directement liés contractuellement à un émetteur de titres spéciaux de paiement, ou pour acquérir un éventail limité de biens ou de services auprès de partenaires ».
L’exception de réseau ou d’éventail limité de biens ou services joue à l’égard des « titres-cadeaux octroyés dans le cadre d’opérations de stimulation et de promotion des ventes ». Cette « extension de l’exception », même assortie, semble-t-il, d’une condition
cumulative
[3]
, est-elle bien conforme à la lettre, sinon à l’esprit, de la DME 2, qui considère hors son champ seulement les « instruments prépayés spécifiques, conçus pour satisfaire des besoins précis et dont l’utilisation est restreinte », dans la limite des « instruments pouvant être utilisés pour réaliser des achats auprès de commerçants enregistrés dans une liste, lesdits instruments étant conçus, en principe, pour un réseau de prestataires de services qui ne cesse de s’étendre » (cons. 5) ? Ne déborderait-t-elle pas trop à l’aune de la jurisprudence du Conseil d’État qui vient de remarquablement poser, en référence à une autre exception (celle de l’article L. 521-3), mais assimilable, qu’un réseau peut être regardé comme limité « s'il satisfait à des critères objectifs, tels que, notamment, un périmètre géographique circonscrit, l'importance des liens capitalistiques entre ses membres, ou l'étroitesse de leurs relations commerciales, et que son caractère limité se trouve ainsi
garanti
[4]
» ? Une chose est certaine : une fois retranchés les titres spéciaux de paiement (dont les émetteurs français sont des champions mondiaux) et les cartes et bons cadeaux, la « valeur d’usage » de la monnaie électronique tend à se réduire comme peau de chagrin…
II. Protection spéciale des données financières à caractère personnel
Il est regrettable que la proposition de règlement européen général sur la protection des données en cours de discussion ne comporte aucune disposition spécifique relative au traitement et à la protection des données financières ou liées aux services financiers (banque, crédit, assurance, investissements, paiements, monnaie électroniquen, etc.). À l’inverse, et par exemple, la protection des données en général n’est pas (totalement) absente des intentions qui président à la proposition de 4e directive
Antiblanchiment
[5]
, qui entend observer en particulier « le droit au respect de la vie privée et familiale [et]le droit à la protection des données à caractère personnel » (cons. 46), quand même le Contrôleur européen de la protection des données (CEPD) a estimé, dans un avis du 4 juillet 2013, que les propositions de la Commission européenne relatives au transfert d’argent et à la prévention du blanchiment d’argent et du financement du terrorisme ne peuvent se contenter de simples références à la protection de telles données.
Or, voici que le règlement n° 611/2013 du 24 juin 2013 (en vigueur le 25 août), concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive Vie privée et communications électroniques, considère – et cela nous paraît tout à fait remarquable, malgré son style passablement lourd – que « pour déterminer si une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une personne, il conviendrait en particulier de prendre en compte la nature et la teneur des données concernées, notamment s’il s’agit de données relatives à des informations financières comme les numéros de carte de crédit et coordonnées
bancaires
[6]
[…] ». La protection spéciale des données de paiement est d’autant plus remarquable que le « notamment » du considérant ci-dessus évoque encore les catégories de données particulières visées à l’article 8, paragraphe 1, de la
Directive 95/46/CE
[7]
, disposition qui interdit aux États membres « le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle ». N’est-ce pas une fameuse promotion des données financières, élevées au rang de celles, particulièrement sensibles, de l’article 8, 1 ?
Dans ce registre, on doit encore évoquer une
étude de l’ACP
[8]
relative aux « risques associés au
cloud computing [9]
». Compte tenu de l’actualité de ce sujet, « le Secrétariat général de l’Autorité de contrôle prudentiel (SGACP) a souhaité, au travers d’une courte enquête, engager un dialogue avec les entreprises des secteurs de la banque et de l’assurance sur le périmètre, l’usage et les risques du Cloud computing. Quatorze entreprises du secteur de l’assurance et douze du secteur de la banque ont répondu à un questionnaire au début de cette année, donnant ainsi une vue représentative sur ces sujets » (p. 3). En conséquence, au titre des principaux enseignements et bonnes pratiques pouvant être dégagées, « l’ACP porte une attention particulière aux prestations susceptibles d’être mises en œuvre par les sociétés des secteurs de la banque et de l’assurance et qui reposeraient en tout ou partie sur des solutions de clouds publics ou hybrides, c’est-à-dire des solutions proposées par une entreprise spécialisée à destination d’un grand nombre de clients, ou dans lesquelles la localisation des données est inconnue, ou lorsque la prestation est accessible depuis le réseau Internet » (pp. 11-12).
III. Deux nouveaux codes de bonne conduite approuvés par l’ACP
Par deux décisions n° 2013-C-34 et n° 2013-C-34 du 24 juin 2013, publiées au JO du 6 juillet, l’ACP a approuvé, pour la première fois, en application de l’article L. 612-29-1 du CMF et à la demande de la FBF (ce qui les rend applicables à tous ses adhérents), d’une part un « code de bonne conduite relatif à l’information sur le relevé de compte du total mensuel des frais bancaires et du montant de l’autorisation de découvert », et, d’autre part, un « code de bonne conduite relatif à la présentation des plaquettes tarifaires des banques suivant un sommaire-type et un extrait standard des tarifs », en vigueur, respectivement, depuis le 30 juin 2011 et le 1er avril 2011.
On ne s’attardera pas sur le premier, dont le contenu est (presque) tout entier contenu dans son intitulé. Plus conséquent est le second code, qui détaille la présentation des plaquettes tarifaires suivant un sommaire-type (dont les deux premiers niveaux sont définis, éventuellement complétés par des niveaux inférieurs laissés à l’appréciation des établissements), dont la première rubrique est obligatoirement constituée par un extrait standard des
tarifs
[10]
, dont une liste de services déterminés avec, en regard, leurs prix (voir Encadré 2).
IV. Projet de loi de séparation et de régulation des activités bancaires
Nous avions laissé le projet de loi bancaire au stade de son adoption, en 2e lecture, par l’Assemblée nationale, en relevant que, des deux dispositions qui avaient attiré notre attention, l’une avait été modifiée (article 24 bis relatif à l’information des commerçants sur les sommes perçues par le PSP) et l’autre supprimée (article 33 sur le régime de remboursement de la monnaie
électronique
[11]
). Au jour où nous écrivons, le texte, modifié, a été à son tour adopté en 2e lecture par le
Sénat
[12]
, sans changement (« conforme ») concernant l’article 24 bis. L’article 33, qui proposait que seule la monnaie électronique créée contre la remise de pièces et billets puisse être remboursée de la même façon, supprimé par l’Assemblée nationale, a été rétabli en des termes (presque) exactement similaires à ceux votés par le Sénat en 1re lecture, les arguments ayant présidé à sa suppression étant retournés en faveur de son
rétablissement
[13]
. Ainsi, au premier alinéa de l’article L. 133-36, les mots « selon le choix exprimé par le détenteur de monnaie électronique, en pièces et en billets de banque ayant cours légal ou » sont supprimés, cependant que le second alinéa est remplacé par deux alinéas ainsi rédigés :
« L'émetteur et le détenteur de monnaie électronique peuvent convenir d'un remboursement en pièces et en billets de banque ayant cours légal.
« Lorsque tout ou partie de la monnaie électronique a été émise contre la remise de pièces et de billets de banque ayant cours légal, le détenteur de monnaie électronique peut exiger le remboursement en pièces et en billets ayant cours légal. L'émetteur de monnaie électronique peut alors convenir avec le détenteur d'un remboursement par transmission de fonds. Nonobstant toute clause contraire, les frais afférents à cette opération sont à la charge de l'émetteur de monnaie électronique ».
V. Le projet de loi Hamon relatif à la consommation
Le projet de loi Hamon, que nous avions évoqué lors de sa présentation en Conseil des
ministres
[14]
, a passé l’étape de sa 1re lecture par l’Assemblée
nationale
[15]
et est désormais examiné par le Sénat. Notons que la rédaction des textes relevés demeure inchangée par rapport à la version d’origine, dispositions portant sur la reconnaissance explicite par le consommateur de son obligation de paiement lors de sa commande en ligne, le mode de remboursement du consommateur ayant exercé son droit de rétractation, ou encore le consentement exprès du consommateur aux paiements
supplémentaires
[16]
. Une nouveauté, cependant : la création par un nouvel article 22 bis du projet de loi relatif à la consommation d’un « registre national des crédits aux particuliers », dont la finalité est, aux termes d’un article L. 333-7 nouveau, de prévenir les situations de surendettement des personnes physiques, en fournissant aux établissements de crédit, de monnaie électronique et de paiement un élément d'appréciation de la solvabilité des personnes physiques qui sollicitent un crédit, et, le cas échéant, des personnes physiques qui se portent caution. Étant ajouté que lesdits établissements « consultent obligatoirement le registre national des crédits aux particuliers avant toute décision effective d'octroyer un crédit à la consommation » (C. cons., art. L. 333-8, al. 1er, nouveau).
Enfin, la Commission des affaires économiques de l’Assemblée nationale a examiné, lors de sa séance du 12 juin 2013, un amendement tendant à généraliser les dispositifs d’authentification renforcée sur Internet, de type
3D Secure
[17]
. Le ministre délégué Hamon a cependant fait preuve d’une « raison législative » que les députés ont manifestement oublié : « Avis défavorable. Dans ce domaine, il ne nous semble pas opportun de légiférer, car les évolutions techniques sont si rapides que, si nous fixions un standard technique, il serait rapidement dépassé. En outre, le consommateur est protégé par les dispositions légales, qui lui permettent notamment d’être remboursé en cas d’utilisation frauduleuse des moyens de paiement. Je souhaite donc que vous retiriez cet amendement », ce qui fut fait.
VI. Rapports annuels de l’Observatoire de la sécurité des cartes de paiement, du GCB et de l’ORIAS
La saison des rapports d’activité bat son
plein
[18]
. Mention doit être faite, en
premier lieu
[19]
, du rapport annuel 2012 (le dixième) de l’observatoire de la sécurité des cartes de paiement, divisé cette année en quatre parties :
- un état des lieux de la sécurisation des paiements par carte sur internet (dont la conclusion est « une progression constante du niveau de sécurité sur Internet », grâce à la notoriété encore accrue des dispositifs d’authentification renforcée des porteurs, dont 3D Secure) ;
- une présentation des statistiques de fraude pour 2012 (0,080 %, pour un montant total de 450,7 millions d’euros, sachant que le taux de fraude sur les paiements à distance demeure plus de 20 fois plus élevé que celui sur les paiements de proximité) ;
- une synthèse des travaux conduits en matière de veille technologique sur la sécurité des paiement par carte sans
contact
[20]
et les techniques de fraude visant les transactions par carte ;
- une étude sur les évolutions réglementaires et les recommandations en Europe et à l’international sur la sécurité des cartes de paiement (dans le cadre du forum SecuRe Pay, de la Banque des règlements internationaux et du Committee on Payment and Settlemeent Systems – CPSS).
CB s’ouvre aux titres restaurant
Plus concis, le rapport d’activité 2012 du Groupement des Cartes Bancaires CB, en deuxième lieu, passe lui aussi en revue les niveaux de fraude en paiement des cartes CB (paiement domestique, à distance, retrait etc.). Dans le rapport de son Conseil de direction, un passage met en évidence le fait que « le monde des moyens de paiement n’échappe pas à la révolution numérique : il en est même une des composantes essentielles compte tenu du nombre et de la richesse des données recueillies à l’occasion des milliards de transactions annuelles (ce qu’on appelle de manière générique le big data) ». Quant au rapport de l’Administrateur du GCB, deux développements d’une actualité « brûlante » méritent d’être cités :
« 3. Les émetteurs de titres restaurant ont pris contact avec le Groupement car ils souhaitent pouvoir utiliser le système CB en vue de dématérialiser ces titres ; après avoir présenté plusieurs solutions de partenariat, l'adhésion des émetteurs de titres restaurant a été considérée comme la formule la plus adaptée pour cette migration vers la dématérialisation. Depuis lors, des négociations sont en cours afin d'organiser de la meilleure façon possible les prestations du Groupement et celles des acquéreurs ou opérateurs de systèmes d'acceptation ou de terminaux de paiement électronique.
4. La monnaie électronique a été reconnue comme étant acceptable dans le système CB. Après s'être interrogé sur la nature précise de cette monnaie et avoir attendu la transposition de la Directive sur la Monnaie Electronique (DME 2) en droit français, le Groupement a défini le schéma d'acceptation de la monnaie électronique qui permet à tous ses Membres de l'émettre et de la faire
accepter
[21]
».
On signalera enfin, pour mémoire, le rapport annuel 2012 de l’ORIAS, où la réglementation nouvelle des IOBSP n’est pas évoquée, à l’exception des informations du consommateur concernant le type d’opérations de banques ou services de paiement. Car s’il n’est pas prévu au II de l’article R. 519-4 du CMF de les indiquer, l’ORIAS « s’interroge sur l’opportunité d’enrichir les informations collectées dans le dossier d’inscription d’IOBSP de données relatives au type d’opération de banque ou service de paiement, en vue d’une publicité sur la fiche d’information individuelle » (p. 40).
Achevé de rédiger le 10 juillet 2013.
1
Voir encore ACP, Instruction n° 2013-I-08 relative aux informations à remettre en application du VI de l’article L. 561-3 et du III de l’article D. 561-3-1 du CMF, comportant les modèles de déclaration du représentant permanent.
2
Voir aussi ci-après, Rapport 2012 du GCB.
3
Que ces titres bénéficient d’« un régime d’exonération de cotisations et contributions de sécurité sociale ».
4
CE, 9e et 10e sous-sect. réunies, 24 avr. 2013, n° 354957, Printemps c/ ACP, cette Revue n° 762, juill.-août 2013, notre chronique et J.-Ph. Kovar et J. Lasserre Capdeville, Droit de la régulation bancaire, op. cit.
5
Cf. cette Revue n° 760, mai 2013, notre chronique, pp. 92-93.
6
Cons. 12. Voir encore l’article 13, 2, a), du règlement relatif à la notification à l’abonné ou au particulier.
7
Dir. 95/46/CE, 24 oct. 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
8
Rubrique « Analyses et Synthèses » de l’ACP, étude n° 16 de juillet 2013 relative aux « risques associés au Cloud computing.
9
Sur les données de paiement et le big data, voir ci-dessous le rapport d’activité 2012 du GCB.
10
Voir encore le rapport 2013 de l’Observatoire des tarifs bancaires, qui analyse dans le détail cet extrait standard des tarifs (pp. 10-21), de même que les gammes de moyens de paiement alternatifs au chèque ou GPA (pp. 24-31) et les offres groupées de services (pp.34-43).
11
Cette Revue n° 762, juill. 2013, cette chronique.
12
TA n° 179, 26 juin 2013.
13
Voir à ce sujet Rapport Sénat n° 681, 19 juin 2013,pp. 72-73, distinguant réseaux physique et en ligne de distribution, leremboursement en pièces et billets n’étant rendu exigible que pour les seuls émetteurs disposant d’un réseau physique de distributeurs.
14
Cette Revue n° 761, juin 2013, notre chronique.
15
TA n° 176, 3 juill. 2013
16
Projet de loi Sénat n° 725, 4 juill. 2013, art. 5,n°s 60 et 61, et n° 95 ; et art. 8, n° 4.
17
Voir encore ci-dessous le rapport 2012 de l’Observatoire de la sécurité des cartes de paiement.
18
Voir encore cette Revue n° 761, juin 2013, et n° 762, juill. 2013, notre chronique.
19
On passera sur le rapport d’activité 2012 du Pôle Assurance Banque Épargne, sinon pour relever, dans le communiqué de presse du 24 juin 2013, au titre des perspectives 2013, que ledit Pôle commun AMF et ACP « clarifiera le cadre règlementaire d’exercice des opérations relevant de la finance participative (“crowdfunding”) afin d’en améliorer la lisibilité et la compréhension par les opérateurs et par le public ». Quant au rapport 2013 de l’Observatoire des tarifs bancaires, voir ci-dessus les développements consacrés aux deux nouveaux codes de bonne conduite approuvés par l’ACP.
20
Voir encore l’article de la CNIL du 1er juillet 2013 : « Sécurité des cartes bancaires sans contact : quelles sont les avancées et les améliorations possibles ? ».
21
Voir encore le communiqué de presse du GCB du 10 juillet 2013, « CB s’ouvre aux titres-restaurant, annonçant que «
l’Assemblée générale du [GCB]
du 28 juin dernier a adopté de nouveaux statuts qui autorisent désormais la diversification des activités du Groupent CB en élargissant son périmètre aux-titres-restaurant dématérialisés ».
