1. Les fonctions sociales des prestataires de services de paiement. La bataille des données, des données de paiement, se joue aussi sur le terrain de l’ordre public (économique). Puisque les prestataires de services de paiement (PSP) voient tout, ou presque, à l’occasion des transactions qu’ils opèrent, on peut leur demander beaucoup.
Traditionnellement obligés à la plus grande vigilance et, parfois, à la déclaration (TRACFIN), ils concourent ce faisant à la lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT). L’identification et la vérification de l’identité de leurs clients en relation d’affaires sont ainsi toujours plus exigeantes, allant même jusqu’à la nécessité de connaître les bénéficiaires effectifs de sociétés pourtant réputées… anonymes (en réalité toutes les sociétés par actions[1]).
Quand ils ne sont pas, le cas échéant, invités à arbitrer l’illicite, par application de cette nouvelle règle de traçabilité (follow the money) qui semble avoir cours en matière de contrefaçon[2]. Autant de « fonctions sociales » – naturellement légitimes puisque sociales – qui tendent à se multiplier. Alors, si le fisc s’en mêle et requiert la participation des PSP à la lutte contre la fraude à la TVA, on se dit que l’open banking n’est pas seulement réservé à l’ouverture des comptes de paiement…
2. La directive (UE) 2020/284. Voici que la directive (UE) 2020/284 du 18 février 2020 vient modifier la grande et imposante (près de 220 pages dans sa version consolidée, hors donc les considérants) directive TVA[3] ; la modifie, selon son intitulé, « en ce qui concerne l’instauration de certaines exigences applicables aux prestataires de services de paiement », suivant une proposition de directive publiée le 12 décembre 2018[4]. Et après que la directive (UE) 2017/2455 a elle-même amendé la directive de 2006 « en ce qui concerne certaines obligations en matière de taxe sur la valeur ajoutée applicables aux prestations de services et aux ventes à distance de biens » (directive relative à la TVA dans le commerce électronique).
Tout est dit, ou presque, au considérant 3 de la directive sous commentaire, qui mérite par conséquent d’être entièrement cité : « Lorsqu’un consommateur fait un achat en ligne dans l’Union, le paiement s’effectue dans la très grande majorité des cas par l’intermédiaire d’un prestataire de services de paiement. Pour pouvoir fournir des services de paiement, le prestataire de services de paiement détient des informations spécifiques sur l’identité de son destinataire (ci-après dénommé “bénéficiaire”), sur la date, le montant et sur l’État membre d’origine du paiement, ainsi que des informations indiquant si le paiement a été initié dans les locaux du commerçant. Ces informations spécifiques sont particulièrement importantes dans le cadre d’un paiement transfrontalier dont le payeur se trouve dans un État membre et le bénéficiaire dans un autre État membre, dans un territoire tiers ou dans un pays tiers. Les autorités fiscales des États membres (ci-après dénommées “autorités fiscales”) ont besoin de ces informations pour remplir leur mission consistant à détecter les entreprises qui fraudent et contrôler les montants de TVA exigibles. Il est donc nécessaire que les prestataires de services de paiement mettent ces informations à la disposition des autorités fiscales pour aider ces autorités à détecter les fraudes transfrontières à la TVA et à lutter contre celles-ci. »
Tout est dit, ou presque : c’est parce que les PSP détiennent les données d’identité des bénéficiaires des paiements en ligne (les paiements du commerce électronique) que les autorités fiscales en appellent à leur coopération. Quitte, ce faisant, à adopter quelques définitions particulières, comme celle de « service de paiement », limitée aux services 3 à 6 de l’annexe I de la DSP 2 (de fait, limitée aux seuls services rendus aux bénéficiaires[5]) ; ou celle inédite de « paiement » (on ne trouve en effet pas, ailleurs, à notre connaissance, de définition du paiement « nu ») qui, sous réserve des exclusions de l’article 3 de la DSP 2, recouvre tant les « opérations de paiement » que la « transmission de fonds »[6], toujours au sens de cette dernière.
3. Le dispositif à venir. Trois articles 243 ter, 243 quater et 243 quinquies sont insérés dans la directive TVA de 2006, qui entreront en application le 1er janvier 2024, sans que l’on sache la raison (à moins d’une erreur matérielle) d’un tel éloignement dans le temps, alors que le texte initial de la proposition de directive fixait cette date au 1er janvier 2022.
Quoi qu’il en soit, le dispositif prévu tient essentiellement en l’obligation faite aux PSP européens de « tenir, pour chaque trimestre civil, des registres suffisamment détaillés des bénéficiaires et des paiements correspondant aux services de paiement qu’ils fournissent, afin de permettre aux autorités compétentes des États membres de procéder à des contrôles des livraisons de biens et prestations de services qui, conformément aux dispositions du titre V, sont réputées avoir lieu dans un État membre »[7]. On a bien lu : déjà passablement « accablés » d’obligations déclaratives nouvelles (ou reportings) par la DSP 2[8], nos PSP devront bientôt constituer un registre spécial des bénéficiaires (et des paiements correspondant aux services de paiement fournis) et le mettre à disposition des autorités fiscales, de toutes les autorités fiscales concernées.
Évidemment, la chose ne sera pas simple, comme l’illustre la rédaction de l’article 243 ter, 2 et 3, nouveau, de la directive 2006/112/CE : l’obligation de tenue d’un tel registre s’applique en effet :
– uniquement aux paiements transfrontaliers, i. e. lorsque le payeur se trouve dans État membre[9] et le bénéficiaire dans un autre État membre ou dans un territoire ou pays tiers[10] ;
– lorsqu’au cours d’un trimestre civil, un PSP fournit des services de paiement correspondant à plus de vingt-cinq paiements transfrontaliers à destination du même bénéficiaire[11] ;
– étant ajouté que si l’obligation de tenue d’un registre ne s’applique pas aux services de paiement fournis par les PSP du payeur, ceux-ci doivent toutefois inclure ces services de paiement dans le calcul du volume de paiements trimestriels.
Pourquoi vingt-cinq ? L’explication se trouve dans la proposition de directive sous commentaire : « Afin de ne tenir compte que des paiements potentiellement liés à une activité économique (et d’exclure ainsi les transferts de fonds transfrontières exécutés à des fins privées), un plafond lié au nombre de paiements transfrontières reçus par un bénéficiaire est prévu. Ce n’est que lorsque le montant total des paiements reçus par un bénéficiaire donné dépasse le plafond de 25 paiements au cours d’un trimestre civil (c’est également la période de référence pour les prestataires de services de paiement) que le prestataire de services de paiement doit tenir des registres sur ce bénéficiaire et les mettre à la disposition des autorités fiscales. Le plafond a été fixé en se fondant sur une valeur moyenne de 95 EUR pour les commandes effectuées sur internet. Un total de 100 opérations de paiement par an de ce montant donnera lieu à près de 10 000 EUR de ventes, ce qui peut déjà donner lieu à des obligations en matière de TVA dans les États membres. Ce montant correspond également au seuil de 10 000 EUR introduit pour les livraisons intra-UE par la directive relative à la TVA sur le commerce électronique [12]. »
Il est encore précisé, à l’article 243, quater, paragraphe 4, nouveau, que ces registres, tenus par les PSP sous format électronique, sont (i) conservés pendant les trois années qui suivent la fin de l’année civile de la date du paiement et (ii) « mis à disposition » de l’État membre d’origine du PSP, voire des États membres d’accueil lorsque des services de paiement y sont fournis.
Figure enfin, à l’article 243 quinquies, la liste des informations que doivent contenir les présents registres :
– le code BIC ou tout autre code d’identification d’entreprise qui identifie sans équivoque le PSP ;
– le nom ou la raison sociale du bénéficiaire, tels qu’ils figurent dans les registres du PSP ;
– s’il est disponible, tout numéro d’identification TVA ou tout autre numéro fiscal national du bénéficiaire ;
– le numéro IBAN ou, s’il n’est pas disponible, tout autre identifiant qui identifie sans équivoque le bénéficiaire et le lieu où il se trouve ;
– le code BIC ou tout autre code d’identification d’entreprise qui identifie sans équivoque le PSP agissant au nom du bénéficiaire et donne le lieu où il se trouve, si le bénéficiaire reçoit les fonds sans avoir aucun compte de paiement ;
– si elle est disponible, l’adresse du bénéficiaire telle qu’elle figure dans les registres du PSP ;
– les détails de tout paiement transfrontalier ;
– les détails de tout remboursement de paiement identifié comme se rapportant aux paiements transfrontaliers visés ci-dessus, les uns (détails des paiements transfrontaliers) et les autres (détails des remboursements correspondant) étant de surcroît accompagnés de : (i) la date et l’heure du paiement ou du remboursement du paiement, (ii) le montant et la monnaie du paiement ou du remboursement du paiement, (iii) l’État membre d’origine du paiement reçu par le bénéficiaire ou en son nom, l’État membre de destination du remboursement, selon le cas, et les informations utilisées pour déterminer l’origine ou la destination du paiement ou du remboursement de paiement, (iv) toute référence qui identifie sans équivoque le paiement et (vi) s’il y a lieu, les informations indiquant que le paiement est initié dans les locaux du commerçant.
Tout cela est bien aride. Pour terminer, en s’aérant un peu, posons la question des… données à caractère personnel. La proposition de directive soulignait que, « dans le cadre de la présente initiative, seules les informations sur les paiements qui sont nécessaires pour lutter contre la fraude à la TVA dans le commerce électronique seraient traitées »[13]. De son côté, le Contrôleur européen de la protection des données s’est félicité que « les données faisant l’objet d’un traitement ne devraient pas concerner les consommateurs (les payeurs), mais uniquement les commerces en ligne (les bénéficiaires) »[14]. Disons alors que n’est qu’une péripétie la considération selon laquelle, dans la directive, il est observé que « ne devraient être conservées au sujet du payeur que les informations concernant le lieu où il se trouve »[15].
Achevé de rédiger le 11 mars 2020.
Services de paiement – Prestataires de services de paiement – Données
de paiement – TVA – Lutte contre la fraude à la TVA.
[1] Cf. R. Mortier, Requiem pour l’anonymat, Recueil Dalloz 2018, p. 1977.
[2] Cf. P. Storrer, Les prestataires de services de paiement et l’illicite, cette revue n° 188, nov.-déc. 2019, p. 26.
[3] Dir. 2006/112/CE, 28 nov. 2006, relative au système commun de taxe sur la valeur ajoutée.
[4] COM(2018) 812 final.
[5] Cf. Prop. de directive, précit., p. 12.
[6] Dir. 2006/112/CE, précit., art. 243 bis nouv.
[7] Dir. 2006/112/CE, précit., art. 243 ter, 1, nouv.
[8] Cf.Dossier « DSP 2 – L’ouverture au prix de la conformité », Revue Banque n° 831, avril 2019, p. 18.
[9] Le lieu du payeur est considéré comme étant situé dans l’État membre correspondant à son numéro IBAN ou son code BIC (ou autres identifiants comparables). On remarquera qu’un payeur peut tout à fait opérer un paiement purement national alors que son numéro IBAN (auquel est rattachée sa carte de paiement) est susceptible de renvoyer à un autre État.
[10] Il est également fait application en priorité du numéro IBAN et du code BIC.
[11] Sachant que « le nombre de paiements transfrontaliers visés au premier alinéa du présent paragraphe est calculé sur la base des services de paiement fournis par le prestataire de services de paiement, par État membre et par identifiant visés à l’article 243 quater, paragraphe 2 » (Dir. 2006/112/CE, précit., art. 243 ter, 2, al. 2, nouv.).
[12] COM(2018) 812 final, p. 13.
[13] COM(2018) 812 final, p. 10.
[14] JOUE C 140, 16 avr. 2019, p. 4.
[15] Dir. (UE) 2020/284, précit., cons. 6.
