Nouveaux moyens de paiement, banque digitale et protection des données : Sur la traçabilité des paiements : le règlement 2015/847 du 20 mai 2015

1. Quatre grands textes, tout de même. La grande directive concernant les services de paiement (DSP), avant qu’elle ne soit remplacée par une deuxième (DSP 2), doit désormais composer avec deux rameaux fraîchement poussés [1] : le règlement 2015/751 du 29 avril 2015 relatif aux commissions d’interchange pour les opérations de paiement liées à une carte (dit « règlement CMI [2] ») ; le règlement 2015/847 du 20 mai 2015 sur les informations accompagnant les transferts de fonds (dit « règlement antiblanchiment »).

Ce dernier forme un quatrième « paquet antiblanchiment », avec la directive 2015/849 du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme [3] . Communauté de ces deux textes, d’abord, qui est marquée par le même soubassement idéologique de l’« approche fondée sur les risques [4] ». Communauté, ensuite (et notamment), qui conduit à la contorsion suivante : quelle que soit la date de son entrée en vigueur (le vingtième jour suivant celui de sa publication au JOUE, soit le 5 juin 2015), l’application du règlement attendra la fin du délai de transposition de la directive, le 26 juin 2017 (cons. 36 et art. 27).

Il faut s’arrêter un peu : trois textes majeurs publiés, une nouvelle DSP en fin de parcours législatif, le droit des services de paiement est pris dans une véritable tourmente réglementaire. Il y a de quoi éprouver un certain vertige.

 

2. Le règlement antiblanchiment. Une remarque liminaire : la directive Antiblanchiment dépasse de loin le seul droit des paiements. Le règlement qui l’accompagne concerne en revanche exclusivement les prestataires de services de paiement (PSP).

Le maître mot de notre règlement est certainement celui de « traçabilité » des transferts de fonds tout au long de la « chaîne de paiement » (l’expression est significative). Le considérant 9 en témoigne : « La pleine traçabilité des transferts de fonds peut être un instrument particulièrement important et précieux pour prévenir et détecter le blanchiment de capitaux et le financement du terrorisme et enquêter en la matière, ainsi que pour mettre en oeuvre des mesures restrictives […]. Il convient dès lors, pour assurer la transmission des informations tout au long de la chaîne de paiement, de prévoir un système imposant aux prestataires de services de paiement l’obligation de veiller à ce que les transferts de fonds soient accompagnés d’informations sur le donneur d’ordre et le bénéficiaire ».

Pour assurer cette traçabilité, il faut partir à la recherche de l’autre bout de la chaîne de paiement (II.). Encore convient-il, au préalable, de s’intéresser à la notion de transfert de fonds, qui n’apparaissait pas dans le règlement précédent. On dira quelques mots, enfin, sur les autres sujets qui méritent attention (III.).

I. Un règlement sur les transferts de fonds

3. Dérive. Le règlement abrogé (n° 1781/2006 du 15 novembre 2006) était relatif aux informations concernant le donneur d’ordre accompagnant les « virements » de fonds. La proposition de nouveau règlement (COM(2013) 44 final du 5 février 2013) portait elle-même sur les virements de fonds. Quant à la proposition 16 du GAFI (dans sa version révisée de février 2012) à l’origine de ce règlement, elle est bien relative aux « virements électroniques », définis comme « toute opération effectuée par voie électronique pour le compte d’un donneur d’ordre via une institution financière en vue de mettre à la disposition d’un bénéficiaire une certaine somme d’argent auprès d’une autre institution financière, étant entendu que le donneur d’ordre et le bénéficiaire peuvent constituer une seule et même personne ».

Il se trouve donc que l’intitulé de la proposition initiale de quatrième règlement antiblanchiment a imperceptiblement (aucun considérant ne le justifie) dérivé au profit de la notion, sans doute plus pertinente, de « transfert » de fonds, dont la définition est autrement plus riche que celle, précédente, de virement de fonds [5] .  Transfert de fonds, faut-il rappeler, constitutif – avec le versement et le retrait de fonds – de la définition de l’opération de paiement (DSP, art. 4, 5) mais distinct du service de « transmission de fonds » ou money remittance qui, en substance, réalise un transfert de fonds mais sans création de compte de paiement (DSP, art. 4, 13).

 

4. Définition du transfert de fonds.

Le transfert de fonds, c’est tout ou presque :

« toute transaction exécutée au moins en partie par voie électronique, pour le compte d’un donneur d’ordre, par l’intermédiaire d’un prestataire de services de paiement, dans le but de mettre des fonds à la disposition d’un bénéficiaire, par l’intermédiaire d’un prestataire de services de paiement, que le donneur d’ordre et le bénéficiaire ou le prestataire de services de paiement du donneur d’ordre et celui du bénéficiaire soient ou non la même personne, y compris :

a) un virement tel qu’il est défini à l’article 2, point 1), du règlement (UE) n° 260/2012 ;

b) un prélèvement tel qu’il est défini à l’article 2, point 2), du règlement (UE) n° 260/2012 ;

c) une transmission de fonds telle qu’elle est définie à l’article 4, point 13), de la directive 2007/64/CE, qu’elle soit nationale ou transfrontalière ;

d) un transfert effectué à l’aide d’une carte de paiement, d’un instrument de monnaie électronique ou d’un téléphone portable, ou de tout autre dispositif numérique ou informatique qui permet de pré- ou post-payer présentant des caractéristiques similaires » (art. 3, 9).

 

5. Champ d’application du texte. La définition est cependant plus large que le champ d’application du règlement, d’où sont exclus la carte, l’instrument ou le dispositif de paiement dès lors i) qu’ils sont utilisés exclusivement pour payer des biens ou des services et ii) que le numéro de cette carte, de cet instrument ou de ce dispositif accompagne tous les transferts découlant de la transaction. Relèvent cependant désormais du règlement les cartes de paiement, instruments de monnaie électronique, téléphones portables ou autres dispositifs similaires lorsqu’ils sont utilisés pour effectuer des transferts de fonds entre particuliers (art. 2, 3).

Ces exclusions particulières du champ d’application du règlement sont justifiées par le faible risque de blanchiment de capitaux ou de financement du terrorisme que font courir les transferts de fonds considérés (cons. 13). Sont par ailleurs exclus [6] les opérations et services hors champ de la DSP elle-même, ce qui confirme donc que celui-là est bien un prolongement de celle-ci. À une exception notable toutefois : n’échappent pas au règlement antiblanchiment les opérations de paiement entre une entreprise mère et sa filiale, ou entre filiales d’une même entreprise mère, alors pourtant qu’aucun autre PSP qu’une entreprise du même groupe ne fait office d’intermédiaire (art. 2, 2).

S’ajoute la faculté laissée aux États membres de décider de ne pas appliquer le règlement aux transferts de fonds réalisés, sur leur territoire, sur le compte de paiement d’un bénéficiaire et permettant le paiement pour la seule fourniture de biens ou de services [7] , à la triple condition : i) que le PSP du bénéficiaire soit soumis à la directive Antiblanchiment, ii) qu’il soit en mesure, grâce à un identifiant de transaction unique, de remonter, par l’intermédiaire du bénéficiaire, jusqu’à la personne en lien contractuel avec ce dernier aux fins de la fourniture de biens ou de services et iii) que le montant du transfert de fonds n’excède pas 1 000 euros [8] (art. 2, 5).

II. À l’autre bout de la chaîne de paiement, le bénéficiaire

6. Chaîne de paiement. L’évolution est considérable : il ne suffit plus d’identifier le donneur d’ordre du paiement, de recueillir les « informations concernant le donneur d’ordre accompagnant les virements de fonds » (intitulé du règlement n° 1781/2006, abrogé). Car le nouveau règlement, désormais, « établit les règles relatives aux informations sur les donneurs d’ordre et les bénéficiaires accompagnant les transferts de fonds [9] », dispose son article 1er. Nous citions plus haut le considérant 9 du règlement nouveau, invitant à ce que les transferts de fonds soient accompagnés d’informations « sur le donneur d’ordre et le bénéficiaire », afin d’en assurer une pleine traçabilité. Mais le règlement précédent ne poursuivait-il pas cette même ambition, exposée en son considérant 6 ? Certes, sauf que le bénéficiaire n’y apparaît pas.

Évolution considérable, en effet, dans la mesure où les PSP seront tenus d’identifier (plus exactement recueillir des informations sur) tant leur client (donneur d’ordre ou bénéficiaire) que celui des autres (bénéficiaire ou donneur d’ordre), aux deux bouts de la chaîne de paiement. Avouons qu’il n’est pas commun d’exiger d’un commerçant (fût-il réglementé) qu’il ne connaisse pas que ses clients. C’est bien que le paiement n’est pas qu’un acte, mais un flux. Le bénéficiaire est donc roi dans le droit antiblanchiment nouveau : bénéficiaire effectif dans la directive (la ou les personnes qui, en dernier ressort, possèdent ou contrôlent le client et/ ou la ou les personnes physiques pour lesquelles une transaction est exécutée ou une activité réalisée) ; bénéficiaire tout court dans le règlement (personne qui est le destinataire prévu du transfert de fonds).

7. PSP du donneur d’ordre et PSP du bénéficiaire. Les obligations des PSP sont distribuées selon qu’elles le sont du donneur d’ordre ou du bénéficiaire (à quoi s’ajoutent les obligations pesant sur les PSP intermédiaires, définis comme ceux qui reçoivent et transmettent un transfert de fonds pour le compte du PSP du donneur d’ordre ou du bénéficiaire [10] ). Mais les obligations du PSP du bénéficiaire en cas d’informations manquantes ou incomplètes sur le donneur d’ordre existaient déjà dans le règlement de 2006, à ceci près qu’elles sont désormais parfaitement bi-latéralisées concernant tant le donneur d’ordre que le bénéficiaire.

La nouveauté est plutôt du côté du PSP du donneur d’ordre, qui n’a plus seulement l’obligation de savoir d’où proviennent les fonds (de ses clients) mais aussi où ils vont.

 

8. Obligations du PSP du donneur d’ordre vis-à-vis du bénéficiaire. Pèse sur celui-ci l’obligation principale de veiller à ce que les transferts de fonds soient accompagnés, en plus de celles concernant le donneur d’ordre, d’informations sur le bénéficiaire : son nom et son numéro de compte de paiement ou, lorsque le transfert n’est pas effectué à partir ou à destination d’un tel compte, un identifiant unique de transaction (art. 4, 2 et 3). Veiller, mais davantage encore : « Avant de transférer les fonds, le prestataire de services de paiement du donneur d’ordre vérifie l’exactitude des informations visées au paragraphe 1 sur la base de documents, de données ou de renseignements obtenus d’une source fiable et indépendante », sans quoi il ne peut effectuer le transfert de fonds (art. 4, 4 et 5).

Ces obligations sont ensuite modulées selon que les transferts de fonds s’opèrent au sein de l’Union ou vers l’extérieur (art. 5 et 6). On n’entrera pas dans le détail, sinon que le PSP du donneur d’ordre peut être sollicité par une demande d’information du PSP du bénéficiaire (ou d’un PSP intermédiaire), à laquelle il est tenu de répondre dans les trois jours ouvrables à compter de sa réception (art. 5, 2).

III. Varia

10. Un seuil à 1 000 euros. On l’a vu plus haut (cf. n° 5), faculté est laissée aux États de ne pas appliquer le règlement lorsque le montant du transfert de fonds n’excède pas 1 000 euros et que plusieurs autres conditions sont réunies.

Hormis cette hypothèse, le seuil de 1 000 euros permet, en deçà, non pas une dispense de recueillir les informations devant accompagner les transferts de fonds, mais de ne pas en vérifier l’exactitude, au bénéfice de cette considération : « Afin de ne pas nuire à l’efficacité des systèmes de paiement et de trouver un équilibre entre, d’une part, le risque de faire basculer des transactions dans la clandestinité en raison d’obligations d’identification trop strictes et, d’autre part, la menace terroriste potentiellement liée aux transferts de fonds de faible montant, il convient, pour les transferts de fonds n’ayant pas encore fait l’objet d’une vérification, de n’imposer la vérification de l’exactitude des informations sur le donneur d’ordre ou le bénéficiaire que pour les transferts de fonds individuels qui excèdent 1 000 euros, à moins que le transfert ne semble lié à d’autres transferts de fonds dont le montant cumulé excéderait 1 000 euros, que les fonds aient été reçus ou payés en espèces ou sous forme de monnaie électronique anonyme, ou lorsqu’il y a des motifs raisonnables de suspecter l’existence de blanchiment de capitaux ou de financement du terrorisme » (cons. 16).

 

11. Données à caractère personnel. Par définition, la lutte antiblanchiment est très consommatrice de données personnelles, qui commande l’identification de la clientèle (la sienne ou celle des autres), y compris du bénéficiaire effectif. Aussi ne peut-on qu’être sensible à ce que directive et règlement, enfin, s’attachent à clarifier l’interaction obligée entre lutte antiblanchiment et protection des données.

Au sein d’un chapitre « Informations, protection des données et conservation des informations », le principe de finalité est posé en ces termes : « Les données à caractère personnel ne sont traitées par des prestataires de services de paiement sur la base du présent règlement qu’aux fins de la prévention du blanchiment de capitaux et du financement du terrorisme et ne font pas l’objet d’un traitement ultérieur d’une manière incompatible avec lesdites finalités. Le traitement des données à caractère personnel sur la base du présent règlement à des fins commerciales est interdit » (art. 15, 2. On retrouve cette même disposition à l’article 41, 2, de la directive).

Autre mesure clé du droit de la protection des données à caractère personnel, celle de l’information des personnes concernées, exposée au point 3 de l’article 15 du règlement : « Les prestataires de services de paiement communiquent aux nouveaux clients les informations requises au titre de l’article 10 de la directive 95/46/CE avant d’établir une relation d’affaires ou d’exécuter une transaction à titre occasionnel. Ces informations contiennent en particulier un avertissement général concernant les obligations légales des prestataires de services de paiement au titre du présent règlement lorsqu’ils traitent des données à caractère personnel aux fins de la prévention du blanchiment de capitaux et du financement du terrorisme [11] » 11.

 

12. Sanction et mesures administratives. Un mot, enfin, au sujet de la sanction des infractions au règlement nouveau, commandée par un principe de subsidiarité : « Les États membres peuvent décider de ne pas fixer de régime de sanctions ou de mesures administratives pour les infractions aux dispositions du présent règlement qui sont déjà passibles de sanctions pénales dans leur droit national » (art. 17, 1, al. 2). Une subsidiarité toute relative néanmoins, puisque certaines infractions, résultant en particulier de manquements répétés, systématiques ou graves, justifient une sanction qui ne peut être moindre que celle fulminée par la directive Antiblanchiment (dont la sanction de 5 millions d’euros ou de 10 % du chiffre d’affaires annuel total).

 

La chronique Nouveaux moyens de paiement, banque digitale et protection des données est assurée par Pierre Storrer et Myriam Roussille.

 

1 On y ajouterait le règlement dit « end date » : règlement n° 260/2012 du 14 mars 2012 établissant des exigences techniques et commerciales pour les virements et les prélèvements en euros. 2 Cf. P. Storrer, « Le règlement CMI ou la renaissance d’un régime légal des paiements par carte », Revue Banque n° 784, mai 2015, p. 89. 3 Cf. P. Storrer, « Lutte anti-blanchiment : le pas de deux du législateur européen », Revue Banque n° 786, juill. 2015, p. 72. 4 Cf. Règl., cons. 23 : « Conformément à l’approche fondée sur les risques mise au point par le GAFI, il convient d’identifier les domaines où les risques sont plus élevés et ceux où ils sont plus faibles, de manière à mieux cibler les risques de blanchiment de capitaux et de financement du terrorisme ». 5 Cf. Règl. 1781/2006, art. 2, 7) : « toute opération effectuée par voie électronique pour le compte d’un donneur d’ordre par l’intermédiaire d’un prestataire de services de paiement en vue de mettre des fonds à la disposition d’un bénéficiaire auprès d’un prestataire de services de paiement, le donneur d’ordre et le bénéficiaire pouvant être ou non la même personne ». 6 Ajoutons que la condition première du règlement est qu’au moins un des PSP intervenant dans le transfert de fonds soit établi dans l’Union (art. 1er). 7 Mine de rien, l’opération de paiement n’est plus tout à fait abstraite, en ce sens qu’elle n’est pas « indépendante » de l’obligation sous-jacente entre le payeur et le bénéficiaire, au sens de l’article 4, 5), de la DSP et de l’article L. 133-3, I, du CMF. 8 Comp. cons. 17 : « Pour les transferts de fonds dont la vérification est supposée avoir eu lieu, les prestataires de services de paiement ne devraient pas être tenus de vérifier les informations sur le donneur d’ordre ou le bénéficiaire accompagnant chaque transfert de fonds, à condition que les obligations prévues par la directive (UE) 2015/849 soient respectées ». 9 Notons que le règlement s’applique aux transferts de fonds « dans quelque monnaie que ce soit » (art. 1er). 10 On retient que les articles relatifs aux obligations des PSP tiers sont rédigés à l’identique de ceux concernant les PSP du bénéficiaire (art. 10 à 13). 11 On ajoute qu’aux termes de l’article 16, les données sont conservées pendant une durée de cinq ans.