Quel dispositif de contrôle interne pour les nouveaux acteurs du paiement ?

Pour revenir brièvement sur ces évolutions, le statut d’établissement de paiement instauré par la DSP1 [1] , avait pour objectif de briser le monopole des banques et de faciliter la fourniture de services de paiement par d’autres acteurs. Dans le même esprit, la DME2 [2] a prévu la création du statut d’établissement de monnaie électronique. La DSP2 [3] a ensuite élargi le scope des services de paiement régulés, en y intégrant l’initiation de paiement et le service d’information sur les comptes, créant ainsi les statuts d’initiateur de paiement et d’agrégateur de comptes. Ces acteurs sont régulés au même titre que les établissements de crédit, même si les obligations imposées se limitent au périmètre de leur agrément.

L’agrément est une étape obligatoire pour que ces FinTechs [4] puissent fournir les services de paiement prévus à l’article L. 314-1 du Code monétaire et financier (ci-après « CMF »). Sauf pour les agrégateurs, qui bénéficient d’un régime « allégé » et qui doivent uniquement s’enregistrer auprès de l’autorité de supervision (mais dans ce cas, ils sont limités à la fourniture du service d’information sur les comptes).

La demande d’agrément

L’élaboration d’un dossier de demande d’agrément constitue le premier pas de l’établissement dans le monde régulé. Une fois agréé par l’Autorité de Contrôle Prudentiel et de Résolution [5] , l’établissement est officiellement assujetti à la réglementation bancaire. Il se doit alors de déployer (si ce n’est pas déjà fait), le dispositif de contrôle interne et de conformité établi dans son dossier d’agrément et dont les thématiques clés sont présentées ci-dessous.

La gouvernance de l’établissement

La gouvernance constitue les fondations du dispositif de conformité et de contrôle interne. Au sein d’un établissement de paiement, la réglementation impose l’existence de deux dirigeants effectifs et d’un organe de surveillance. À cela s’ajoute le classique dispositif de contrôles à 3 à niveaux, avec les fonctions commerciales et opérationnelles qui appliquent les contrôles de 1er niveau [6] , le responsable de la conformité et du contrôle permanent (2e niveau) et le responsable du contrôle périodique (3e niveau [7] ). Enfin, les fonctions de correspondant et de déclarant Tracfin peuvent être cumulées par une même personne (le plus souvent par le responsable de la conformité) dans les petites structures.

Une documentation adaptée et pertinente

Comme pour tous les établissements financiers, le dispositif de contrôle interne doit intégrer une documentation formalisée par l’établissement. Il s’agit notamment des politiques, des procédures et des cartographies des risques implémentées par l’établissement pour assurer l’application correcte des process décidés ainsi que la maîtrise des risques. De même, face à une réglementation en perpétuelle évolution, tant au niveau européen, national que sectoriel, la mise en place d’une veille réglementaire est indispensable pour assurer la conformité de la société. Or l’importance de cette démarche est encore souvent sous estimée par les établissements de paiement. À titre d’exemple, ces deux dernières années des évolutions réglementaires significatives sont intervenues dans le secteur des paiements :

• la 4e directive LCB-FT, qui modifie l’approche par les risques, prévoit un registre central des bénéficiaires effectifs, élargit la notion de Personne Politiquement Exposée en y intégrant les PPE nationales, et modifie les seuils d’exemption prévus pour la monnaie électronique ;
• la DSP2, qui impose de nouvelles modalités d’authentification du client (authentification forte), des obligations de reporting des incidents majeurs répondant à un formalisme précis ou encore de nouveaux délais dans le traitement des réclamations clients ;
• à cela s’ajoutent des textes souvent sous-estimés par les acteurs régulés. Il s’agit des communications réglementaires des autorités, tels que les rapports annuels de TRACFIN et du GAFI et les lignes directrices de l’ACPR. À ce titre, dans les lignes directrices conjointes de l’ACPR et de TRACFIN, sur les obligations de déclaration et d’information à TRACFIN, il est précisé que les organismes financiers doivent intégrer à leur dispositif interne, les risques liés « aux produits, services et/ou canaux de distribution utilisés, en tenant compte des cas typologiques diffusés par TRACFIN ou par toute autre instance ou autorité nationale ou internationale compétente en matière LCB-FT » ;
• les sanctions prononcées par l’ACPR à l’encontre d’établissements régulés sont également à intégrer au dispositif de veille réglementaire. Ces décisions fortes en enseignement permettent d’appréhender au mieux la méthodologie d’audit de l’ACPR et ses points d’attention. On peut notamment constater que la grande majorité des sanctions prononcées sont liées à des défaillances du dispositif LCB-FT ;
• et bien sûr, le RGPD qui est l’enjeu réglementaire majeur de l’année 2018 pour toutes les sociétés, qu’elles relèvent du secteur bancaire ou non.

Au-delà des sujets réglementaires communs à tous les établissements financiers, il existe des enjeux propres aux établissements de paiement et de monnaie électronique. Parmi ces exigences spécifiques, on retrouve notamment l’obligation de protection des fonds des tiers et la maîtrise du réseau d’agents.

Les spécificités propres aux établissements de paiement

L’obligation de protection des fonds

Les établissements de paiement ont l’obligation de protéger les fonds qu’ils reçoivent des tiers au titre de leurs activités. Le CMF [8] prévoit deux méthodes de protection des fonds :

• la souscription d’une assurance ou d’une garantie comparable ;
• la protection des fonds sur un ou des comptes de cantonnement.

Cette seconde méthode a la faveur d’une grande majorité des établissements de paiement, puisqu’elle se révèle bien moins onéreuse. En contrepartie, le dispositif de contrôle interne exigé est beaucoup plus contraignant. En effet, afin de respecter les exigences présentées à l’article L. 522-17-I du CMF, l’établissement de paiement a l’obligation de transférer les fonds collectés pour compte de tiers à la fin du jour ouvrable suivant cette collecte sur un compte distinct auprès d’une banque. Ce compte aussi appelé « compte de cantonnement », permet de protéger les fonds contre tous recours de créanciers de l’établissement de paiement, y compris en cas de procédures d'exécution ou d'insolvabilité ouvertes à l'encontre de l'établissement.

À noter que cette obligation ne s’applique pas aux initiateurs et aux agrégateurs de comptes, étant donné qu’ils n’entrent pas en possession des fonds des tiers dans le cadre de leurs activités. Ils restent néanmoins tenus de souscrire à une assurance de responsabilité civile professionnelle [9] .

La maîtrise du réseau d’agents

Le réseau d’agents est également un enjeu majeur pour les établissements de paiement et de monnaie électronique [10] . Sur les 42 établissements [11] agréés par l’ACPR en 2018, 16 disposent d’un réseau d’agents (BNC SA, Afone, Slimpay, Dalenys, Moneyglobe, Tempo France, Hipay, C2A, Webhelp Payment Services, OPS, Lemonway, Financière des paiements électroniques, Oxlin, Ezyness, SFPMEI et Treezor). Parmi ces agents on retrouve, des marketplaces (Conforama, DirectFood, etc.), des agents de transmission de fonds ou encore des néobanques (Lydia, Qonto, Shine, Anytime, etc.).

Les établissements de paiement et de monnaie électronique ont la possibilité de recourir aux services d'un ou plusieurs agent(s), déclaré(s) au préalable à l’ACPR. Ces agents peuvent exercer une activité de paiement dans la limite de l’agrément de l’établissement mandant. Conformément à l’article L. 523-3 du CMF, les établissements mandants demeurent pleinement responsables, à l’égard des tiers, des actes des agents. Ils doivent notamment, s’assurer que les agents se conforment en permanence aux dispositions législatives et réglementaires applicables et les soumettre à leur dispositif de contrôle interne. Concrètement, le recours à des agents se traduit par la mise en place de procédures spécifiques et d’un plan de contrôle à réaliser tant sur pièce que sur place.

Les établissements de monnaie électronique peuvent avoir, en plus de leur réseau d’agents, un réseau de distributeurs de monnaie électronique. Le dispositif de contrôle est similaire à celui décrit précédemment. En revanche, aucun formalisme de déclaration des distributeurs n’est prévu par la réglementation.

Une adéquation des moyens humains

Cette liste, non exhaustive, des éléments à intégrer au dispositif de contrôle interne nécessite de la part de l’établissement une adéquation de ses moyens humains. L’effectif dédié aux fonctions de conformité et de contrôle interne doit être adapté aux activités et aux volumes de l’établissement mais surtout à son exposition aux risques. Bien que l’éventail de risques des Fintech soit limité comparativement aux risques rencontrés par les banques, les autorités restent vigilantes. Ces nouveaux acteurs sont soumis à une réunion annuelle avec l’ACPR, pour justifier d’un dispositif de contrôle interne suffisamment robuste, ils ont également l’obligation de remettre un rapport de contrôle interne chaque année. Ces communications peuvent donner lieu à des interrogations de l’ACPR (généralement communiquées par courrier), l’établissement doit alors être en capacité de répondre aux sollicitations de l’ACPR avec réactivité, qualité et cohérence.

Rappelons qu’à date l’ACPR a déjà sanctionné quatre établissements de paiement et un établissement de monnaie électronique : Aqoba qui a perdu son agrément, Morning [12] dont l’agrément a été suspendu temporairement [13] , et les sociétés Lemonway, Sigue et TSI [14] , blâmées et sanctionnées pécuniairement en raison d’un dispositif LCB-FT défaillant.