Le statut de prestataire de données financières

Figaro-ci, Figaro-là, Big Data par-ci, Big Data par-là : il est devenu de l’ordre du lieu commun d’évoquer la « datafication du monde [1] » (qui n’en est pas moins vraie), quand elle n’est pas promue par l’exécutif européen, favorable à « un marché unique des données massives (big data) et de l’informatique en nuage [2] ». Il l’est peut-être moins de l’observer dans le secteur financier, tant du côté des instruments financiers que de celui, par exemple, des services de paiement. Y opèrent en effet des tiers fournisseurs de données de marché ou de services d’accès aux comptes (initiation de paiement, information sur les comptes) ; tiers « fournisseurs » que le législateur européen entend réglementer comme de véritables « prestataires » (il leur donne le nom) agréés. Cela est vrai des deux grands textes qu’est, en matière d’investissement, la directive «  MIF II [3] » et, en droit des paiements, la future «  DSP 2 [4] ». Il y aurait sans doute d’autres illustrations ; nous nous en tiendrons à celles-ci.

La communication des données de marché

Les fournisseurs de services de communication de données de marché n’apparaissaient pas dans les dispositions de la directive «  MIF I [5] ». Ils sont au contraire bien présents dans le texte refondu, qui « s’applique aux entreprises d’investissement, aux opérateurs de marché, aux prestataires de services de communication de données, ainsi qu’aux entreprises de pays tiers fournissant des services d’investissement ou exerçant des activités d’investissement au moyen de l’établissement d’une succursale dans l’Union » ( art. 1 ^er, 1 [6] ). Ils font même l’objet d’un titre à part entière (le titre V), qui les promeut à la qualité de prestataires tiers, en cela qu’ils sont soumis à des procédures d’agrément mais différentes de celles auxquelles sont assujettis les entreprises d’investissement et les marchés réglementés.

Sont considérés comme prestataires de services de communication de données :

• les fournisseurs de service de publication de rapports de négociation pour le compte d’entreprises d’investissement (dispositif de publication agréé dit « APA » pour « approved publication arrangement ») ;
• les fournisseurs de service de collecte et de regroupement des rapports de négociation sur les instruments financiers (fournisseur de système consolidé de publication dit « CTP » – « consolidated tape provider ») ;
• enfin, les fournisseurs de service de déclaration détaillée des transactions aux autorités compétentes ou à l’Autorité européenne des marchés financiers (mécanisme de déclaration agréé dit « ARM » – « approved reporting mechanism »).

Une activité à part entière est ainsi reconnue, dont les acteurs sont dotés d’un statut propre (les conditions sont ensuite déclinées pour les APA, les CTP et les ARM) et obéissent aux dispositions du règlement n° 600/2014 du 15 mai 2014 concernant les marchés d’instruments financiers. Sont en particulier édictées des obligations uniformes concernant la publication des données relatives aux négociations et la déclaration des transactions aux autorités compétentes, dans un objectif de transparence pré- et post-négociation.

L’accès aux données des comptes de paiement

Le récent rapport d’activité 2014 de la CNIL consacre d’intéressants développements aux « nouvelles frontières de l’identité numérique » et observe en particulier qu’« aux banques et opérateurs télécoms, acteurs traditionnels du monde du paiement, s’ajoutent désormais de nouveaux intermédiaires issus du monde numérique, qui cherchent à relier leurs solutions aux identités numériques de leurs utilisateurs » (p. 76). Nouveaux intermédiaires, nouveaux tiers [7] , que le projet de deuxième directive sur les services de paiement (DSP 2) a pour ambition d’ériger en prestataires de services réglementés : « […] l’actuelle DSP ne couvre pas ces acteurs, dans la mesure où ils ne sont, à aucun moment, en possession des fonds du payeur ou du bénéficiaire. Le fait que ces prestataires tiers ne soient aujourd’hui pas réglementés, du moins dans certains États membres, suscite des préoccupations en matière de sécurité, de protection des données et de responsabilité, en dépit des avantages potentiels procurés par ces prestataires et les services qu’ils offrent. La présente proposition prévoit de faire entrer ces prestataires tiers, offrant notamment des services d’initiation de paiement basés sur la banque en ligne, dans le champ d’application de la DSP » (Exposé des motifs, p. 17).

À la différence du modèle adopté par la directive MIF II – qui met en place des agréments par catégories d’acteurs –, la proposition de DSP 2 entend soumettre les prestataires de services liés aux données à l’agrément commun d’établissement de paiement, certes à capital initial particulier de 50 000 euros (prestataires de services d’initiation de paiement) ou sans exigence de capital minimum (prestataires de services d’information sur le compte – il faut ajouter que ceux-ci sont largement exemptés des règles pesant sur les établissements de paiement en général, ce qui n’empêche que « the persons […] shall be treated as payment institutions [8] ».

De prestataires préqualifiés à l’origine de « tiers » (parfois aussi nommés « mandataires » ou « facilitateurs de paiement »), ils se mueraient en prestataires « à part entière », de véritables établissements de paiement [9] , à telle enseigne que toute référence à la qualité de tiers (de « third », faut-il plutôt dire) a disparu de la dernière version parvenue à notre connaissance de la proposition de DSP 2 [10] . Établissements pleins et entiers qui offriraient donc les nouveaux services de paiement (7 et 8) suivants :

« payment initiation service » : « a service to initiate a payment order at the request of the payment service user with respect to a payment account held at another payment service provider » ;

« account information service » : « an online service to provide consolidated information on one or more payment accounts held by the payment service user with one or more other payment service providers [11] ».

La profession bancaire redoute en particulier le service d’initiation de paiement, ceci entre autres : « These initiation services ask consumers engaging in e-commerce transactions to share their security credentials – as issued by their banks – with third party payment services providers [12] ». Elle s’émeut aussi de la responsabilité directe et immédiate du prestataire gestionnaire de compte en cas de paiement non autorisé ou incorrectement exécuté alors pourtant qu’il aurait été initié par un autre prestataire [13] . Sauf que ce dernier n’est plus tiers à l’opération de paiement, il y participe directement et offre de véritables services de paiement en qualité d’établissement agréé. De belles questions d’articulation entre les rôles et obligations de chacun sont à venir. Articulation entre les gestionnaires de compte et les autres, distinction jusque-là inédite.

1 I. Falque-Pierrotin, in Cahiers de droit de l’entreprise n° 6, nov.-déc. 2014, p. 10. 2 Communication de la Commission européenne, « Vers une économie de la donnée prospère », 2 juill. 2014, COM(2014) 442 final, p. 2. 3 Directive 2014/65/UE du 15 mai 2014 concernant les marchés d’instruments financiers, dont l’échéance de transposition est fixée au 3 juillet 2016. 4 Proposition de directive concernant les services de paiement dans le marché intérieur, 24 juill. 2013, COM(2013) 547 final. 5 Directive 2004/39/CE du 21 avril 2004 concernant les marchés d’instruments financiers. 6 Comp. cons. 115 : « La prestation de services de données de base relatives aux marchés, qui sont essentiels pour permettre aux utilisateurs d’obtenir une vue d’ensemble des activités de négociation sur l’ensemble des marchés financiers de l’Union et aux autorités compétentes de disposer d’informations précises et complètes sur certaines transactions, devrait être soumise à agrément et être réglementée pour garantir le niveau de qualité nécessaire. » 7 Cf. P. Storrer, « De la réglementation des nouveaux tiers de paiement », Revue Banque n° 782, mars 2015, p. 87. 8 Art. 27a de la version (anglaise) de proposition de DSP 2 adoptée le 1er décembre 2014 par le Conseil de l’Union européenne, 16154/14. 9 À la différence des prestataires de « services techniques », qui ne sont et ne seraient pas soumis à la DSP ni à la DSP 2, quand bien même ils sont autorisés et traiter et enregistrer des données (cf. art. 3, j). 10 Version précit. 11 Cette version, art. 4, 32 et 33. 12 EBF, Statement, « EBF Highly Concerned over Proposed EU model for Payment Initiation Services », 16 oct. 2014. Contra, avis de la BCE du 3 févr. 2014, 2014/C 224/01, p. 2 : « La BCE soutient fermement les objectifs et le contenu de la directive proposée. En particulier, elle est favorable à la proposition d’allonger la liste actuelle des services de paiement pour y inclure les services d’initiation de paiement et les services d’information sur les comptes. » 13 Cf. en dernier lieu, FBF, Le Secteur bancaire en France en 2014, p. 13.