Depuis le 13 janvier 2018, date de transposition dans l’Union européenne et en France de la directive (UE) 2015/2366, dite 2e Directive européenne sur les services de paiement (DSP 2), les prestataires de service de paiement (PSP) sont tenus à un certain nombre d’obligations déclaratives qui relèvent du champ de compétences, au niveau national, de la Banque de France et de l’Autorité de contrôle prudentiel et de résolution (ACPR). Ces obligations déclaratives visent à renforcer la sécurité des paiements mais aussi à veiller à la bonne application de certaines dispositions prévues par la DSP 2 comme le délai de remboursement du payeur en cas d’opération non autorisée ou encore la possibilité de refuser l’accès aux comptes de paiement en ligne des prestataires d’initiation de paiement et d’information sur les comptes.
1. La déclaration des données de fraude sur les moyens de paiement
La lutte contre la fraude est l’un des objectifs essentiels de la DSP 2. C’est à ce titre que son article 96.6 dispose que les PSP doivent fournir à leurs autorités compétentes, au moins chaque année, des données statistiques relatives à la fraude liée aux différents moyens de paiement qu’ils gèrent. L’objectif de cette collecte est de mesurer dans le temps l’efficacité des mesures européennes de lutte contre la fraude et de contrôler la bonne application de certaines dispositions de lutte contre la fraude. La directive prévoit d’ailleurs que les autorités nationales compétentes doivent fournir ces données sous forme agrégée à la Banque Centrale Européenne (BCE) et à l’Autorité bancaire européenne (ABE).
Un cadre de référence à cette déclaration a été défini par des orientations de
La Banque de France a fait le choix d’intégrer cette nouvelle déclaration à deux collectes statistiques sur les moyens de paiement préexistantes et mises en place au titre de sa mission de surveillance de la sécurité des moyens de paiement scripturaux (cf. article L. 141-4, I, 4e alinéa du Code monétaire et financier), celle relative à la cartographie des moyens de paiement et celle portant sur le recensement de la fraude aux moyens de paiement. Des travaux ont ainsi été engagés en concertation avec les PSP au sein du Comité français d’organisation et de normalisation bancaires
2. La notification des refus d’accès aux comptes de paiement en ligne
La DSP 2 a créé deux nouveaux services de paiement, l’initiation de paiement et l’information sur les comptes, qui ont pour objet de permettre à un PSP dit « tiers » d’accéder aux comptes de paiement tenus par des PSP dits « gestionnaires de comptes » pour :
- dans le cas de l’initiation de paiement, lui permettre, par exemple, d’initier un paiement au profit d’un commerçant en ligne en préremplissant l’ordre de paiement avec les informations nécessaires à un virement (montant, nom du bénéficiaire, IBAN, motif, etc.) ;
- dans le cadre de l’information sur les comptes, lui permettre, par exemple, de disposer d’une vue consolidée des éléments (solde, etc.) de l’ensemble des différents comptes de paiement qu’un titulaire peut détenir auprès d’autres PSP gestionnaires de comptes.
3. La notification du non-remboursement immédiat d’opérations de paiement non autorisée
La protection des consommateurs est un objectif majeur de la DSP 2 notamment en ce qui concerne le droit à remboursement du payeur en cas d’opération de paiement non autorisée, qui est à la charge des PSP gestionnaires de comptes. Ainsi, lorsque le payeur (le titulaire d’un compte) constate qu’une opération de paiement qu’il n’a pas autorisée est débitée sur son compte, il doit en informer sans tarder son PSP gestionnaire de comptes, et au plus tard dans un délai de 13 mois à compter de la date du débit. En application de l’article L. 133-18 du Code monétaire et financier, le remboursement de l’opération de paiement non autorisée auprès du payeur doit intervenir au plus tard à la fin du jour ouvré suivant sa réclamation, sauf en cas de négligence avérée de sa part ou si le PSP gestionnaire de comptes a de bonnes raisons de le soupçonner de fraude. Dans ce dernier cas, le PSP gestionnaire de comptes peut effectuer des vérifications avant de rembourser ou non le payeur et doit alors, pour prévenir toute pratique abusive, notifier les raisons pour lesquelles il n’a pas procédé au remboursement immédiat de son client auprès de la Banque de France. Ces notifications sont à adresser par les PSP sur une base mensuelle au travers du portail de collecte de la Banque de
4. La notification des incidents majeurs
L'article 96 de la DSP 2 met en place une obligation de déclaration des incidents majeurs opérationnels (y compris de sécurité) rencontrés par les PSP avec pour objectif de limiter autant que possible les dommages susceptibles d’être causés aux clients, aux autres PSP ou encore aux systèmes de paiement. Pour les PSP français, en application de l’article L. 521-10 du Code monétaire et financier, la notification s’effectue auprès de la Banque de France pour les incidents de sécurité et à l’ACPR pour les incidents opérationnels. Un cadre de référence à cette déclaration a été précisé par des orientations de
Méthodologie de qualification des incidents
Un incident opérationnel ou de sécurité est défini comme « un événement unique ou une série d’événements liés, non planifiés par le PSP, qui a ou aura probablement une incidence négative sur l’intégrité, la disponibilité, la confidentialité, l’authenticité et/ou la continuité des services liés au paiement ».
Un incident est qualifié de « majeur » lorsqu’il remplit un ou plusieurs critères pouvant avoir un « niveau d’impact élevé » (impact supérieur) ou trois critères ou plus pouvant avoir un « niveau d’impact plus faible » (impact inférieur). La mesure des impacts pour chaque critère est réalisée par rapport à des seuils dont les montants sont précisés dans le Tableau 1.
Format des notifications
Les incidents majeurs doivent être déclarés sous la forme de rapports d’incidents prédéfinis, et répartis en trois sections, qui correspondent aux différentes étapes du cycle de vie de l’incident. Les rapports
