Transposition de la DSP 2. La directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (la « DSP 2 ») vient d’être transposée en droit français – dans notre Code monétaire et financier (CMF) principalement – aux termes d’une ordonnance du 9 août 2017 1 suivie de deux décrets 2 et de cinq arrêtés du 31 août 2017 3. L’ensemble de ces textes est censé entrer en vigueur le 13 janvier 2018, date « à partir » de laquelle les dispositions de la DSP 2 devraient s’appliquer. Mais cela est sans compter les normes techniques de réglementation (ou RTS) dites de « l’article 98 » (de la DSP 2) qui, si elles ont bien été définies par l’Autorité bancaire européenne, attendent encore leur règlement délégué de la Commission européenne afin d’accéder au droit positif. Or l’on attend toujours ce règlement, qui même publié ne s’appliquera que dix-huit mois après 4. Bien étrange période transitoire qui s’annonce : les mesures de sécurité appelées à encadrer l’accès aux comptes de paiement (la grande, et délicate, nouveauté de la DSP 2) ne seront pas effectives avant mi-2019.
Morceaux choisis. Le texte de la DSP 2 est riche, de même que l’ensemble de son dispositif de transposition 5. Nous avons donc fait le choix suivant : le spectaculaire, d’abord, avec l’introduction de règles organisant l’accès aux comptes par des prestataires qui ne les tiennent pas (I.) ; l’évident, ensuite, avec l’édiction de règles qui étaient commandées par la DSP 2, afin d’encadrer les risques associés à ce nouveau cadre (II.).
I. L’ACCÈS AUX COMPTES DE PAIEMENT (par Pierre Storrer)
Nouveaux services de paiement. Cela est entendu, la DSP 2 a innové spectaculairement en créant deux nouveaux services de paiement qui, au bénéfice de la suppression de l’ancien (et brumeux) service 7° (refondu dans les services 3° et 5°), sont numérotés 7° et 8° au sein de la liste de l’article L. 314-1, II du CMF.
Le service 7° est le service d’initiation de paiement, défini comme « un service consistant à initier un ordre de paiement à la demande de l’utilisateur de services de paiement concernant un compte de paiement détenu auprès d’un autre prestataire de services de paiement » (CMF, art. D. 314-2, 6°). Concrètement, l’usage de ce service permet au payeur de payer par virement sur internet (plutôt que par carte), cependant que le bénéficiaire (e-commerçant en général), assuré que le paiement a été initié, est incité à livrer les biens ou fournir les services sans attendre 6.
Le service 8° d’information sur les comptes, quant à lui, s’entend d’« un service en ligne consistant à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l’utilisateur de services de paiement soit auprès d’un autre prestataire de services de paiement, soit auprès de plus d’un prestataire de services de paiement ». Ce service se conçoit plus aisément que le précédent : son prestataire offre à l’utilisateur de services de paiement la possibilité d’agréger ses données de comptes, issues d’un ou de plusieurs comptes, tenus par un ou plusieurs prestataires de services de paiement (PSP) 7.
Nouveaux prestataires de services de paiement. Qui dit nouveaux services de paiement, dit nouveaux PSP : les prestataires de services d’initiation de paiement (les PSIP), d’une part, les prestataires de services d’information sur les comptes (les PSIC), de l’autre. Notons que c’est la première fois qu’un PSP est qualifié selon le service qu’il offre ; cela est sans doute le signe que ces services sont tellement originaux qu’ils emportent la qualité particulière de leurs prestataires.
Les premiers sont des établissements de paiement agréés, mais à agrément allégé puisqu’ils n’entrent à aucun moment en possession des fonds : capital minimum ramené à 50 000 euros, pas d’exigence de fonds propres, etc. Les seconds sont une catégorie en soi de PSP 8, puisqu’ils ne sont pas des PSP comme les autres, et notamment pas des établissements de paiement. Figure exotique du droit des services de paiement, les PSIC ne devront pas être agréés, mais seulement enregistrés ; pourront être des personnes physiques, là où les autres PSP ne peuvent être que des personnes morales ; bénéficieront du passeport européen mais sans pouvoir recourir à des agents, etc.
Il y a ceci de notable dans la DSP 2, que l’on retrouve dans le CMF : c’est que lorsque le teneur de compte (les banques essentiellement à ce jour, mais les établissements de paiement ou de monnaie électroniques aussi, et davantage demain) croise le chemin d’un PSIP ou d’un PSIC, il se transforme en prestataire de services de paiement gestionnaire de compte (PSPGC), expression qui n’existait pas dans l’ancienne DSP. Sans doute est ce parce que le teneur de compte perd un peu (beaucoup ?) de ses prérogatives en présence de ces nouveaux venus ; en tout cas qu’il opère une mue significative, qu’il faudra apprécier dans le détail et la durée. Gestionnaires de comptes versus prestataires sans comptes. En effet, ces nouveaux venus, dont l’existence est désormais consacrée – et l’activité réglementée – par la DSP 2 et le CMF, sont comme des PSP sans compte (du moins à l’occasion du service particulier qu’ils fournissent) mais qui bénéficient du pouvoir inédit de « profiter » du compte des autres, tantôt pour initier un paiement, tantôt pour récolter des données de compte (ce qui n’est pas une activité de services de paiement, mais le législateur européen en a décidé autrement).
Sans oublier que parmi ces « prestataires du compte d’autrui », apparaît la figure surprenante, à l’article L. 133- 39 du CMF, de l’émetteur d’instruments de paiement liés à une carte qui, à défaut d’exercer un service de paiement nouveau (il est et demeure émetteur d’instrument de paiement), se voit néanmoins reconnaître (émulation de la concurrence, diminution du risque de crédit) la faculté de demander au gestionnaire de compte confirmation immédiate de la disponibilité des fonds, ni plus, ni moins.
PSIP, PSIC, émetteur d’instruments de paiement liés à une carte : les conditions de leur intervention sont précisées au chapitre III du titre III du livre Ier du CMF, chapitre qui pour l’occasion est rebaptisé : « Les règles applicables aux autres instruments de paiement et à l’accès aux comptes », et au sein duquel est créée une section 13 « Modalités d’accès aux comptes de paiement ». Nous y voilà : c’est bien un droit nouveau de l’accès aux comptes de paiement (en ligne seulement, faut-il préciser, c’est là une évolution majeure du droit de la banque en ligne) qui est proposé aux articles L. 133- 39 (émetteurs de cartes), L. 133-40 (PSIP) et L. 133-41 (PSIC) ; un droit tout entier gouverné par l’expression du consentement « explicite » (vocabulaire DSP 2), du consentement « explicite » ou « exprès » (vocabulaire flottant, c’est bien dommage, du CMF), de l’utilisateur de services de paiement, qui a donc la main pour donner accès, ou non, à son compte à d’autres qu’à celui qui ne le tient plus vraiment, mais se contente de le gérer.
II. LE DISPOSITIF DE SÉCURITÉ ASSOCIÉ AU NOUVEAU CADRE (par M. Roussille)
Dispositif sécuritaire destiné à prévenir les risques associés à l’accès au compte.
L’ordonnance introduit dans le Code monétaire et financier tout un dispositif destiné à assurer la sécurité du nouveau cadre résultant de la DSP 2. Ces règles traduisent la volonté du législateur français de limiter les risques associés à la possibilité offerte à des prestataires d’accéder aux données d’un compte de paiement qu’ils ne tiennent pas.
Ces risques ont alimenté d’importantes inquiétudes durant l’adoption de la DSP 2 et depuis. Que n’a-t-on dénoncé ! Que l’ouverture à des prestataires « tiers » – comme on les a qualifiés un temps, comprendre aujourd’hui les « PSIC » et les « PISP » – allait engendrer des risques opérationnels et accroîtrait les failles de sécurité dans le domaine des paiements, que les données personnelles des titulaires de compte allaient circuler et qu’elles pourraient être marchandées…
L’ordonnance crée donc un dispositif pour encadrer ces risques – c’est-à-dire les gérer et, dans une moindre mesure, les prévenir –, en mettant à la charge des PSP des obligations spécifiques (et nouvelles par rapport au régime de 2009 issu de la DSP) mais surtout en confiant un rôle central à deux nouvelles autorités : la Banque de France qui se trouve promue sur le terrain de la sécurité de l’accès aux comptes et la CNIL qui vient prendre une place désormais officielle et majeure dans la protection des données personnelles associées aux paiements. Dans la partie introductive du chapitre consacré aux prestataires de services de paiement, l’ordonnance introduit ainsi plusieurs nouvelles dispositions (six pour être exact) qui méritent l’attention.
La sécurité de l’accès aux comptes de paiement. S’arrimant à une architecture institutionnelle déjà en place et très colbertiste (!) – autour de la Banque de France –, l’ordonnance édicte des règles relatives à la sécurité de l’accès aux comptes de paiement 9. On le sait, la Banque de France a pour mission première de veiller au bon fonctionnement et à la sécurité des systèmes de paiement et de s’assurer de la sécurité des moyens de paiement 10. Elle est, pour ce faire, dotée d’un certain nombre de pouvoirs 11. Avec la transposition de la DSP 2, elle hérite naturellement de la mission de surveiller l’accès aux comptes de paiement et à leurs informations dans le cadre de la fourniture des services d’information sur les comptes et d’initiation de paiement 12. Elle sera donc à la fois la garante et le contrôleur du respect des règles relatives à l’accès aux comptes et prend ainsi une place centrale dans le nouveau dispositif.
L’ordonnance précise que, pour l’accomplissement de cette mission, la Banque de France dispose des mêmes pouvoirs auprès de ces prestataires que ceux qui sont légalement dévolus aux quatrième et cinquième alinéas du I de l’article L. 141-4. Concrètement, elle pourra, si elle constate que les garanties de sécurité adoptées sont insuffisantes, recommander au prestataire de prendre toutes mesures destinées à y remédier. Si ces recommandations n’ont pas été suivies d’effet, elle sera habilitée, après avoir recueilli les observations du prestataire, à formuler un avis négatif publié au Journal officiel. Elle pourra aussi procéder aux expertises et se faire communiquer les informations utiles concernant l’accès aux comptes de paiement et les terminaux ou les dispositifs techniques qui leur sont associés.
Obligations de signalement des PSP en cas d’incidents. Corollairement à la mission de sécurité confiée à la Banque de France, des obligations statutaires sont imposées aux nouveaux PSP. Construits sur le modèle des établissements de crédit, les établissements de paiement sont, depuis leur création par la DSP, soumis à l’obligation de mettre en place un dispositif de contrôle interne, ce dont ils doivent justifier lors de leur demande d’agrément 13. L’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement 14 précisait déjà toutes les règles afférentes aux systèmes de mesure des risques et procédures qui leur étaient imposées 15. Mais, pour transposer fidèlement la DSP 2 16, l’ordonnance crée une disposition imposant aux PSP de mettre en place des procédures prévoyant des mesures d’atténuation et des mécanismes de contrôle appropriés en vue de gérer les risques opérationnels et de sécurité, liés aux services de paiement qu’ils fournissent 17. Toutefois, les prestataires de services d’information sur les comptes (« les PSIC ») n’étant pas des établissements de paiement, ils n’entrent pas dans le champ d’application de l’arrêté tel qu’il était anciennement défini. C’est pourquoi l’arrêté du 31 août 2017 modifie l’arrêté de 2014 afin d’y assujettir les PSIC, qui sont toutefois dispensés d’assumer les obligations relatives au risque de blanchiment des capitaux et de financement du terrorisme, ce qui se comprend par le fait qu’ils ne prennent pas part à des opérations de paiement 18.
Par ailleurs, l’ordonnance met en place – dans le sillage de la DSP 2 19 – un dispositif de signalement différencié pour les incidents opérationnels et les incidents de sécurité 20. L’arrêté du 31 août 2017 a introduit une définition de l’incident de sécurité dans l’arrêté 3 novembre 2014. Il s’agit d’« un événement ou une série d’événements imprévus résultant de processus internes inadaptés ou défaillants ou d’événements extérieurs affectant la disponibilité, l’intégrité, la confidentialité et la continuité des systèmes d’information et de communication et/ou les informations utilisées pour la fourniture de services de paiement. Ceci inclut les incidents provenant de cyberattaque ou de la non-pertinence des mesures de sécurité physique » 21.
Le PSP qui subit l’incident, mais aussi le PSP gestionnaire de compte qui refuse l’accès (l’accès valant incident 22) devront dans les plus brefs délais 23 informer l’ACPR des incidents opérationnels majeurs et la Banque de France des incidents de sécurité majeurs. Les banques et autres PSP gestionnaires de compte auront ainsi tout loisir de dénoncer les anomalies qu’ils ont pu constater lors de demandes irrégulières ou suspectes des nouveaux acteurs.
Conformément à la mission qui lui est dévolue (cf. supra), la Banque de France évaluera l’incident et prendra au besoin des mesures appropriées. Elle pourra porter l’information à la connaissance de l’ACPR si elle l’estime nécessaire. L’évaluation de la gravité des incidents – seuls les « majeurs » devant être notifiés – dépendra peut-être d’une position prise à l’avenir par les autorités intéressées. Dans l’hypothèse où l’incident aura ou sera susceptible d’avoir des répercussions sur les intérêts financiers de ses clients, le PSP devra aussi les en informer au plus vite, en leur indiquant les mesures à prendre afin d’atténuer les effets dommageables de l’incident. Entre les lignes, on comprend que le législateur a très clairement pris en considération le risque de faille de sécurité.
L’un des changements introduits par la DSP 2 résulte de l’intégration de la supervision des acteurs du paiement dans le système européen de surveillance financière. Ainsi, dès qu’elles sont informées de l’existence d’un incident « majeur », l’ACPR ou la Banque de France doivent ainsi communiquer les détails importants de l’incident à l’Autorité bancaire européenne et à la Banque centrale européenne, et le cas échéant aux autres nationales compétentes.
De l’accès aux données à caractère personnel. La protection des données personnelles qui est l’une des préoccupations majeures du moment fait aussi, pour la première fois, l’objet de principes nouveaux. L’ordonnance intègre dans le Code monétaire et financier une dimension nouvelle héritée de la DSP 2 24, afin d’articuler le droit des services de paiement avec les règles de protection des données personnelles. Reprenant les termes même de la directive 25, le texte prévoit que les PSP « n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et ne les conservent qu’avec le consentement exprès de l’utilisateur de services de paiement » 26. Les principes applicables au droit des données personnelles, tels qu’ils résultent aujourd’hui du RGPD 27, sont transposés : l’accès, le traitement et la conservation des données ne sont possibles qu’avec le consentement exprès de la personne et sont limités par le principe de nécessité qui est une condition de licéité du traitement 28. Mais de nombreuses hypothèses peuvent aboutir au traitement de données personnelles sans que le consentement de la personne concernée puisse être recueilli. Dès lors, l’ordonnance autorise, comme la directive 29, les systèmes de paiement et les PSP à mettre en oeuvre de tels traitements lorsque cela est nécessaire pour garantir la prévention, la recherche et la détection des fraudes en matière de paiements, dans les conditions prévues par les règles applicables en la matière 30. Ceci permet de constituer le fondement légal au traitement, en l’absence de consentement exprès de la personne 31. Loin d’autoriser la libre exploitation et la libre circulation des données, l’ordonnance impose donc aux acteurs des paiements de respecter les principes élémentaires en la matière. La CNIL hérite d’une place centrale, puisque l’ordonnance lui attribue expressément la charge de veiller au respect des dispositions des règles ainsi posées 32 en utilisant les compétences qui lui sont reconnues par la loi de 1978 33 et, bientôt, par le RGPD. À cette fin, elle peut notamment recevoir, par tous moyens, les plaintes relatives aux infractions aux dispositions qui autorisent les PSP à collecter et traiter des données personnelles. Les acteurs du paiement sont donc désormais confrontés aux risques de contrôle par trois autorités : en plus de l’ACPR, la Banque de France et la CNIL veillent au respect de la réglementation. Et tout porte à penser qu’elles exerceront leurs pouvoirs avec diligence. La sécurité des clients et le succès du nouveau dispositif en dépendent.
Achevé de rédiger le 20 septembre 2017.
1. Ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.
2. Décrets n° 2017-1313 et 2017-1314 du 31 août 2017 portant transposition de la directive 2015/23/66 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.
3. Arrêté du 31 août 2017 modifiant l’arrêté du 29 juillet 2009 relatif aux relations entre les prestataires de services de paiement et leurs clients en matière d’obligations d’information des utilisateurs de services de paiement et précisant les principales stipulations devant figurer dans les conventions de compte de dépôt et les contrats cadres de services de paiement ; arrêté du 31 août 2017 modifiant l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution ; arrêté du 31 août 2017 modifiant l’arrêté du 20 mai 2015 portant réglementation prudentielle et comptable en matière bancaire et financière en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna ; arrêté du 31 août 2017 modifiant l’arrêté du 2 mai 2013 portant sur la réglementation prudentielle des établissements de monnaie électronique, et arrêté du 31 août 2017 modifiant l’arrêté du 29 octobre 2009 portant sur la réglementation prudentielle des établissements de paiement.
4. DSP 2, art. 115, 4.
5. Pour une analyse détaillée, cf. P. Storrer, « Notice explicative de l’ordonnance de transposition de la DSP 2 (et appendice) », Revue Banque n° 812, oct. 2017.
6. Cf. DSP 2, cons. 27 et 29.
7. Cf. DSP 2, cons. 28.
8. Cf. CMF, art. L. 522-1, II : « Les prestataires de services d’information sur les comptes sont les personnes physiques ou morales, autre que les établissements de crédit, les établissements de monnaie électronique, les établissements de paiement et les personnes mentionnées au II de l’article L. 521-1, qui fournissent à titre de profession habituelle le service d’information sur les comptes mentionnés au 8° du II de l’article L. 314-1 à l’exclusion de tout autre service de paiement. »
9. Ord. n° 2017-1252 du 9 août 2017 – art. 12 ; CMF, art. L. 521-8.
10. CMF, art. L. 141-1, I, al. 1 et 4.
11. CMF, art. L. 141-1 et s. et art. L. 144-1.
12. On notera que, curieusement, cette nouvelle mission n’est pas intégrée dans le texte énonçant ces missions fondamentales (CMF, art. L. 141-1).
13. CMF, art. L. 522-6, II, b).
14. Arrêté du 3 novembre 2014, art. 11 et 88 (sécurité) et art. 216 (risques opérationnels).
15. Arrêté du 3 novembre 2014, art. 94 et s.
16. DSP 2, art. 95.
17. CMF, art. L. 521-9. Ceci semble redonnant avec ce qu’impose l’arrêté du 3 novembre 2014 (art. 11 et 88 s’agissant de la sécurité et art. 216 pour les risques opérationnels).
18. On notera que les prestataires d’initiation de paiement sont eux aussi exclus de la LCB-FT, quoique selon une formulation différente et moins radicale.
19. DSP 2, art. 96.
20. CMF, art. L. 521-10.
21. Arrêté du 3 novembre 2014, art. 10, ak).
22. DPS 2, art. 68.6 ; CMF, art. L. 133-17-1.
23. « Sans retard injustifié » indique le texte.
24. DSP 2, art. 94 : « Protection des données / 1. Les États membres autorisent le traitement des données à caractère personnel par les systèmes de paiement et les prestataires de services de paiement lorsque cela est nécessaire pour garantir la prévention, la recherche et la détection des fraudes en matière de paiements. La communication aux personnes d’informations sur le traitement des données à caractère personnel et le traitement de ces données à caractère personnel ainsi que tout autre traitement de données à caractère personnel aux fins de la présente directive sont effectués conformément à la directive 95/46/CE et aux règles nationales transposant ladite directive, ainsi qu’au règlement (CE) n° 45/2001. / 2. Les prestataires de services de paiement n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et ne les conservent qu’avec le consentement explicite de l’utilisateur de services de paiement. »
25. DSP 2, art. 94.2.
26. CMF, art. L. 521-5.
27. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit « RGPD ».
28. RGPD, art. 6.1. b).
29. DSP 2, art. 94.1.
30. Sont ici visées la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et le règlement (CE) 45/2001 du Parlement européen et du Conseil.
31. RGPD, art. 6.1.c).
32. C’est-à-dire des règles posées par les articles L. 521-5 et L. 521-6 du CMF sus-évoquées.
33. Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
