1. Méthodologie
Là où nous avions fait le choix de présenter la DSP 2 sous
Aux rubriques standards – « Publics concernés », « Objet », « Entrée en vigueur », « Notice » et « Références » – sera seulement ajoutée une relative au champ d’application du droit nouveau des services de paiement.
Nous renvoyons sinon au rapport au président de la République qui accompagne l’ordonnance, et présente celle-ci suivant les quatre grandes thématiques composant, selon lui, la DSP 2 : les conditions d’exercice des prestataires de services de paiement (PSP), les droits et obligations des utilisateurs et des PSP, les exigences en matière d’information relatives aux services de paiement, et les exigences de sécurité renforcées pour les paiements électroniques et la protection des données financières des consommateurs.
Enfin, cette notice explicative de l’ordonnance de transposition de la DSP 2 est annoncée avec « appendice », car l’ordonnance du 9 août 2017 s’accompagne de sept textes d’application, datés du 31 août 2017 et parus au JO du 2 septembre, qu’il faudra balayer rapidement.
2. Publics concernés
Lato sensu, les publics concernés sont les utilisateurs de services de
Si l’on resserre un peu l’objectif, l’on dirait volontiers que sont principalement concernés les utilisateurs titulaires de compte ainsi que les établissements de crédit teneurs de compte qui, lorsqu’ils se trouvent en concurrence avec les prestataires de services d’initiation de paiement (PSIP) ou les PSIC, se muent en prestataires de services de paiement gestionnaires de compte (PSPGC). Il est significatif que le teneur devienne gestionnaire de compte en présence des nouveaux entrants PSIP et PSIC, comme si le compte se détachait de sa personne. Quoi qu’il en soit – et sans céder à trop de facilité de langage –, l’ère de l’open banking est annoncée, du compte ouvert à d’autres que ceux qui le tiennent.
3. Objet
L’objet de l’ordonnance du 9 août 2017 est tout entier dans son
Si l’on veut en dire davantage, sans pour autant empiéter sur la suite, l’on ajouterait que l’ordonnance de transposition a pour objet d’établir un droit nouveau de l’accès aux comptes de paiement en ligne, un droit nouveau de la banque en ligne somme toute.
Sont ainsi insérés dans notre Code monétaire et financier (CMF), de manière spectaculaire :
- de nouvelles règles relatives à l’accès aux comptes de paiement (nouvel intitulé du chapitre III du titre III du livre Ier : « Les règles applicables aux autres instruments de paiement et à l’accès aux comptes ») ;
- deux nouveaux services de paiement au II de l’article L. 314-1 : le 7°, les services d’initiation de paiement, et le 8°, les services d’information sur les comptes, dont la définition figure à l’article D. 314-2 du CMF (voir Appendice) ;
- la réglementation exogène de l’enregistrement des PSIC aux articles L. 522-11-2 et s. du CMF.
4. Champ d’application
L’organisation du CMF (mais c’était vrai du temps de la DSP) oblige à doublonner la circonscription du champ d’application du droit des services de paiement. Aux articles L. 133-1 et L. 133-1-1 (opérations de paiement) répondent ainsi les articles L. 342-2 et L. 342-2-1 (services de paiement), qui s’ouvrent par cette même déclaration (sensiblement remaniée : on parle de « services » plutôt que d’« opérations ») : « Les dispositions du présent chapitre s’appliquent aux services de paiement fournis par les prestataires de services de paiement mentionnés au livre V dans le cadre des activités définies au II de l’article L. 314-1. »
Ratione loci, on renvoie à la lecture des textes ci-dessus qui mélangent géographies française et européenne. Ratione materiae (et outre le champ des services de paiement fournis par les PSP), on renvoie également aux exclusions que nous traitons ci-dessous (voir Notice).
5. Entrée en vigueur
La chose devrait être simple : « Les dispositions de la présente ordonnance entrent en vigueur le 13 janvier
Mais ce serait sans compter que la DSP 2 ne se suffit plus à elle-même et qu’elle doit composer avec ces fameuses normes techniques de second niveau ou RTS, dont les très fameux RTS de l’article 98 concernant l’authentification (forte) et la communication (entre PSP). Si bien qu’en son point VIII, l’article 34 de l’ordonnance du 9 août 2017 dispose que, par dérogation à la date d’entrée en vigueur du 13 janvier 2018, le 4° du II et le 1° du III de l’article L. 133-40 (initiation de paiement), le 3° du II et le 1° du III de l’article L. 133-41 (information sur les comptes), ainsi que les I, II et III de l’article L. 133-44 (authentification forte) n’entreront en vigueur que 18 mois (sic !) après l’entrée en vigueur du règlement délégué de la Commission européenne sur l’authentification et la communication, que l’on attend toujours…
Quel paradoxe tout de même, car voilà que les dispositions les plus novatrices de la DSP 2 (et de son texte de transposition) vont se trouver paralysées de (très) longs mois durant ! Et PSIP et PSIC, faute de pouvoir être reconnus par les établissements gestionnaires de compte, continueront à œuvrer en web ou screen
Étrange période transitoire (trou noir plutôt), en conséquence, qui verra une rédaction intermédiaire de l’article L. 133-44, IV, aux termes duquel les PSPGC devront autoriser PSIP et PSIC (dûment agréés ou enregistrés) à se fonder sur leurs procédures d’authentification lorsqu’ils agissent pour l’un de leurs utilisateurs ; qui interdira lesdits gestionnaires de comptes à se prévaloir de la non-conformité des nouveaux entrants pour bloquer ou entraver l’utilisation de leurs
Et l’on peut encore y ajouter cette autre période transitoire jusqu’à l’entrée en application du règlement général sur la protection des données (25 mai 2018), imposant une rédaction intermédiaire des articles L. 521-6 et L. 521-7, afin qu’ils continuent à viser la loi Informatique et Libertés de 1978.
6. Notice
Où nous retrouvons les trois lieux principaux des dispositions insérées dans le CMF : articles L. 133-1 et suivants (opérations de paiement), L. 314-1 et suivants (services de paiement) et L. 519-1 et suivants (PSP).
6.1. Opérations de paiement
En opérant un choix très arbitraire tellement le droit des opérations de paiement est remanié par la DSP 2, on abordera les trois thèmes suivants.
6.1.1. Accès aux comptes. Deux nouveaux services d’accès aux comptes de
- le premier au profit partagé du payeur et du bénéficiaire (du bénéficiaire avant tout
peut-être ) : le service d’initiation de paiement de l’article L. 133-40 (issu de DSP 2, art. 66) ;[10] - le second au bénéfiie immédiat du titulaire de compte : le service d’information sur les comptes de l’article L. 133-41 (issu de DSP 2, art. 67).
Nous n’en dirons pas plus (il faut lire et relire les dispositions précitées), sinon que le consentement « explicite » (il est dommage que le CMF emploie tantôt « explicite », tantôt « exprès ») du payeur (ou utilisateur de services de paiement) est
6.1.2. Relations entre PSP. L’intrusion de nos nouveaux entrants oblige désormais à s’intéresser aux relations « horizontales » entre
Outre ce texte, deux autres encore, les articles L. 133-18 et L. 133-22-1 du CMF, commandent qu’en cas d’opération de paiement non autorisée ou mal exécutée initiée par l’intermédiaire d’un PSIP, ce soit le gestionnaire de compte qui rembourse au premier chef, quitte à se retourner ensuite vers le PSIP responsable.
6.1.3. Authentification. On ne peut bien sûr omettre d’évoquer (pas davantage, c’est tout l’enjeu des RTS de l’article 98 et de la paralysie à venir : voir Entrée en vigueur) la nouvelle section 15 « Authentification », composée d’un article unique : l’article L. 133-44, dont le I dispose que « le prestataire de services de paiement applique l'authentification forte du client définie au f de l'article L.
6.2. Services de paiement
Ce n’est pas la partie la plus riche en innovations, mais celles-ci méritent que l’on s’y arrête.
6.2.1. Nouveaux services. L’innovation spectaculaire est bien sûr l’amendement porté à la fameuse liste des 7 services de paiement, désormais 8, avec la suppression de l’ancien service 7° au bénéfice d’un 7° nouveau : les services d’initiation de paiement, suivi d’un 8° inédit : les services d’information sur les comptes (CMF, art. L. 314-1,
6.2.2. Exclusions. Il serait trop long de les commenter toutes, mais notons que le point III de l’article L. 314-1 du CMF (« N’est pas considéré comme un service de paiement : ») s’enrichit notablement des exclusions suivantes (qu’il fallait aller rechercher, pour certaines d'entre elles, dans la DSP), dont chacune pourrait mériter une étude à part entière :
- « 3° La réalisation d'opérations de paiement allant du payeur au bénéficiaire, par l'intermédiaire d'une personne habilitée par contrat à négocier ou à conclure la vente ou l'achat de biens ou de services pour le compte du payeur uniquement ou du bénéficiaire uniquement » ;
- « 4° La réalisation d'opérations de paiement entre une entreprise mère et sa filiale, ou entre filiales d'une même entreprise mère, ou au sein d'un groupe au sens du h de l'article L. 133-4, sans qu'aucun autre prestataire de services de paiement qu'une entreprise du même groupe ne fasse office d'intermédiaire, ainsi que la centralisation des ordres de paiement pour le compte d'un groupe par une entreprise mère ou sa filiale pour transmission ultérieure à un prestataire de services de paiement » ;
- « 5° La fourniture de services de retrait d'espèces proposés, au moyen de distributeurs automatiques de billets, par des prestataires agissant pour le compte d'un ou de plusieurs prestataires de services de paiement émetteurs de cartes, qui ne sont pas parties au contrat-cadre avec le client retirant de l'argent d'un compte de paiement, à condition que ces prestataires de fourniture de services de retrait d'espèces ne soient pas eux-mêmes prestataires de services de paiement. Le cas échéant, l'utilisateur est informé de tous frais dans les conditions prévues au premier alinéa du I et du V de l'article L. 314-11 et au IV de l'article L. 314-7 avant de procéder au retrait, ainsi que lors de la réception des espèces au terme de l'opération de retrait » ;
- « 6° La fourniture de services pour lesquels des espèces sont fournies par le bénéficiaire au bénéfice du payeur dans le cadre d'une opération de paiement, à la demande expresse de l'utilisateur de services de paiement formulée juste avant l'exécution de l'opération de paiement via un paiement pour l'achat de biens ou de services » ;
- « 7° La fourniture de services par un prestataire de services techniques à l'appui de la fourniture de services de paiement, sans qu'il entre, à aucun moment, en possession des fonds à transférer et consistant notamment dans le traitement et l'enregistrement des données, les services de protection de la confiance de la vie privée, l'authentification des données et des entités, les technologies de l'information et la fourniture de réseaux de communication, ainsi que la fourniture et la maintenance des terminaux et dispositifs utilisés aux fins des services de paiement, à l'exception des services d'initiation de paiement et des services d'information sur les comptes ».
C’est là, pour partie, une exception à la règle posée à l’article L. 314-2, V, qui veut que le chapitre sur les services de paiement ne s’applique pas aux services fournis par les PSIC ; c’est là aussi révélateur d’une contradiction, que l’information sur les comptes est un service de paiement sans en être…
6.3. PSP
Les innovations sont nombreuses et obligent à faire un tri.
6.3.1. Principes directeurs. Oui, il s’agit bien de principes directeurs (on n'en a pas l’habitude) de l’activité des PSP, à lire et relire, qui sont ajoutés aux articles L. 521-5 à L. 521-10 du CMF, ainsi rédigés :
- article L. 521-5 : « Les prestataires de services de paiement n'ont accès à des données à caractère personnel nécessaires à l'exécution de leurs services de paiement, ne les traitent et ne les conservent qu'avec le consentement exprès de l'utilisateur de services de paiement » : c’est tout à fait nouveau et rejoint ce que nous disions plus haut au sujet du consentement explicite ou (exprès), requis de manière générale de l’utilisateur de services de paiement pour donner accès tant à ses données de compte qu’à ses données à caractère personnel ;
- article L. 521-6 : « Les systèmes de paiement et les prestataires de services de paiement sont autorisés à traiter des données à caractère personnel lorsque cela est nécessaire pour garantir la prévention, la recherche et la détection des fraudes en matière de paiements. La communication aux personnes d'informations sur le traitement des données à caractère personnel et le traitement de ces données à caractère personnel ainsi que tout autre traitement de données à caractère personnel sont effectués conformément aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil et du règlement (CE) 45/2001 du Parlement européen et du Conseil » : rapidement dit, on voit dans la lutte contre la fraude une autorisation légale de traitement des données à caractère personnel ;
- article L. 521-7 : « Par dérogation aux dispositions de l'article L. 612-1, la Commission nationale de l'informatique et des libertés veille au respect des dispositions des articles L. 521-5 et L. 521-6 en utilisant les compétences qui lui sont reconnues par le règlement (UE) 2016/679 du Parlement européen et du Conseil. À cette fin, elle peut notamment recevoir, par tous moyens, les plaintes relatives aux infractions aux dispositions des articles L. 521-5 et L. 521-6 » (voir infra) ;
- article L. 521-8 : « La Banque de France s'assure de la sécurité de l'accès aux comptes de paiement et à leurs informations dans le cadre de la fourniture des services de paiement mentionnés au 7° et 8° du II de l'article L. 314-1 par tout prestataire de services de paiement et de la pertinence des normes applicables en la matière. Pour l'accomplissement de cette mission, la Banque de France dispose des mêmes pouvoirs auprès de ces prestataires que ceux prévus aux quatrième et cinquième alinéas du I de l'article L. 141-4 » (voir infra) ;
- article L. 521-9 : « Les prestataires de services de paiement mettent en place des procédures prévoyant des mesures d'atténuation et des mécanismes de contrôle appropriés en vue de gérer les risques opérationnels et de sécurité, liés aux services de paiement qu'ils fournissent. Un arrêté du ministre en charge de l'économie et des finances précise le contenu de ces procédures » (voir Appendice) ;
- article L. 521-10 : « I. Les prestataires de services de paiement informent sans retard injustifié l'Autorité de contrôle prudentiel et de résolution de tout incident opérationnel majeur. / II. Les prestataires de services de paiement informent sans retard injustifié la Banque de France de tout incident de sécurité majeur. La Banque de France évalue l'incident et prend au besoin des mesures appropriées et si elle l'estime nécessaire, elle en informe l'Autorité de contrôle prudentiel et de résolution en application de l'article L. 631-1. / III. Lorsque l'incident a ou est susceptible d'avoir des répercussions sur les intérêts financiers de ses utilisateurs de services de paiement, le prestataire de services de paiement informe sans retard injustifié ses utilisateurs de services de paiement de l'incident et de toutes les mesures disponibles qu'ils peuvent prendre pour atténuer les effets dommageables de l'incident. / IV. Dès réception de la notification visée au I ou au II, l'Autorité de contrôle prudentiel et de résolution ou la Banque de France communique sans retard injustifié les détails importants de l'incident à l'Autorité bancaire européenne et à la Banque centrale européenne, et, après avoir évalué la pertinence de l'incident pour d'autres autorités nationales concernées, informe celles-ci en conséquence. / V Les modalités des notifications prévues aux I à III sont précisées par arrêté du ministre de l'économie et des finances » (voir Appendice).
6.3.3. PSIC. Les PSIC sont comme une
C’est à l’évidence une innovation de la DSP 2 et de son ordonnance de transposition : l’enregistrement, plutôt que l’agrément, des PSIC. Sans même attendre l’arrêté qui définira les informations requises dans la demande d’enregistrement (Voir Arrêtés), on sait déjà qu’elles emprunteront pour partie aux conditions d’un agrément (CMF, art. L. 522-11-2, II, al. 1er). On sait encore que les PSIC seront traitées comme des EP à l’égard des dispositions sur le passeport européen d’une part, de celles relatives au secret professionnel, à la comptabilité et au contrôle légal des comptes, d’autre part (CMF, art. L. 522-11-2, II, in
Retenons
6.3.4. Passeport européen. S’il y avait à ériger une autre innovation d’importance à côté de la création des services d’initiation de paiement et d’information sur les comptes, ce serait celle-ci, telle qu’ainsi décrite par le rapport au président de la République : « En matière de supervision des activités transfrontalières, la directive organise une procédure de coopération entre les autorités compétentes et renforce les pouvoirs de l'État membre d'accueil. Ainsi est-il prévu dans le cadre de la présente ordonnance la désignation d'un point de contact central pour les établissements de paiement ayant recours à des agents en libre établissement et remplissant les conditions qui seront fixées par un règlement délégué de l'Autorité bancaire européenne » (p. 1).
De l'article L. 522-13 du CMF réécrit, on retient en effet que lorsqu’un EP européen « entend recourir à des agents et remplit les critères prévus par l'acte délégué adopté en vertu de l'article 29.5 et 29.7 de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 susvisée, il désigne un point de contact central établi sur le territoire de la France métropolitaine, en Guadeloupe, en Guyane, en Martinique, à La Réunion, à Mayotte ou à Saint-Martin. Ce point de contact central est en charge de la communication d'informations relatives au respect des dispositions de la section 5 du chapitre II du titre Ier du livre Ier, du chapitre III du titre III du livre Ier, du chapitre IV du titre Ier du livre III et du chapitre Ier du titre II du livre V afin de faciliter la surveillance des autorités compétentes de l'État d'origine et de l'Autorité de contrôle prudentiel et de résolution » (CMF, art. L. 522-13, II, 1°, al. 2).
6.3.5. EME. Bien que directive sur les services de paiement, la DSP 2, par jeu de renvois, modifie assez sensiblement la réglementation des EME. On consultera à cet égard aux articles 15 et 16 de l’ordonnance du 9 août 2017.
6.3.6. Autorités. On l’a vu plus haut (Principes directeurs), une compétence exceptionnelle (« par dérogation ») est reconnue à la CNIL, par application des compétences qui lui sont reconnues par le règlement général sur la protection des données du 27 avril 2016, de veiller au respect des articles L. 521-5 et L. 521-6 du CMF (CMF, art. L. 521-7). C’est là une réelle immixtion du droit des données à caractère personnel (et de son autorité de supervision) dans le droit des services de paiement, dont les PSP devront prendre toute la mesure.
Et que dire du rôle majeur nouvellement attribué à la Banque de France, spécialement chargée de s’assurer de la sécurité de l’accès aux comptes de paiement par les PSIP et PSIC, d’une part (CMF, art. L. 521-8) ; destinataire de toute information concernant un incident de sécurité majeur remonté par un PSP, d’autre part, à concurrence de l’ACPR qui, elle, aura connaissance des incidents opérationnels majeurs (CMF, art. L. 521-10).
6.3.7. LCB-FT. Un mot pour dire que nos nouveaux PSIP et PSIC seront exonérés de toute obligation de lutte contre le blanchiment des capitaux et le financement du terrorisme (la « LCB-FT ») : les seconds en vertu d’un nouvel article L. 561-2-3 du CMF qui dispose que les établissements de crédit, les EP et les EME, y compris lorsqu’ils exercent sur le territoire national par voie d’agents ou de distributeurs, ne sont pas soumis aux dispositions relatives à la LCB-FT lorsqu’ils exercent le service 8° ; les premiers, moins évidemment toutefois, en application d’un nouvel article R. 561-16, 10° (voir ci-dessous Décrets).
7. Références
On l’a vu plus haut : l’ordonnance de transposition de la DSP 2 modifie le CMF (quasi exclusivement) en trois endroits principaux : chapitre III du titre III du livre Ier (droit des opérations de paiement), chapitre IV du titre Ier du livre III (droit des services de paiement) et chapitres I et suivants du titre II du livre V (droit des PSP).
Par ailleurs, le rapport au président de la République relatif à l’ordonnance sous commentaire précise utilement qu’elle s’accompagnera d’un décret en Conseil d’État, d’un décret simple et de cinq arrêtés, tous parus depuis.
8. Appendice
Les textes infra-législatifs (en vigueur le 13 janvier 2018) sont donc au nombre de sept.
8.1. Décrets
Sont parus au JO du 2 septembre deux décrets n° 2017-1313 et n° 2017-1314 du 31 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.
Le premier décret est de peu d’intérêt dans le cadre de ce commentaire, sinon pour sa disposition relative à la LCB-FT concernant les PSIP : « En application du II de l’article L. 561-9, les personnes mentionnées à l’article L. 561-2 ne sont pas soumises aux obligations de vigilance prévues aux articles L. 561-5 et L. 561-6, pour autant qu’il n’existe pas de soupçons de blanchiment de capitaux ou de financement du terrorisme, lorsque l’opération porte sur les produits ou services suivants : […] 11° Les services mentionnés au 7 du II de l’article L. 341-1 » (CMF, art. R. 561-16).
Le second est en revanche riche d’un nouvel article D. 314-2, portant un certain nombre de définitions inédites – et parfois
Et, bien sûr, l’on ne peut omettre les définitions de nos nouveaux services 7° et 8° :
- « Service d'initiation de paiement, un service consistant à initier un ordre de paiement à la demande de l'utilisateur de services de paiement concernant un compte de paiement détenu auprès d'un autre prestataire de services de paiement » (CMF, art. D. 314-2, 6°) ;
- « Service d'information sur les comptes, un service en ligne consistant à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l'utilisateur de services de paiement soit auprès d'un autre prestataire de services de paiement, soit auprès de plus d'un prestataire de services de paiement » (CMF, art. D. 314-2, 7°).
8.2. Arrêtés
Il y a d’abord l’arrêté du 31 août 2017 modifiant l'arrêté du 29 juillet 2009 relatif aux relations entre les prestataires de services de paiement et leurs clients en matière d'obligations d'information des utilisateurs de services de paiement et précisant les principales stipulations devant figurer dans les conventions de compte de dépôt et les contrats-cadres de services de paiement. Point besoin de s’attarder, son intitulé parle de lui-même, les modifications sont significatives, notamment concernant les PSIP, on y renvoie.
Vient ensuite l’arrêté du 31 août 2017 modifiant l'arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution. On y retient cette définition intéressante de l’incident de sécurité, dont on a vu qu’il justifiait la compétence de la Banque de France plutôt que celle de l’ACPR (voir Autorités) : « un événement ou une série d'événements imprévus résultant de processus internes inadaptés ou défaillants ou d'événements extérieurs affectant la disponibilité, l'intégrité, la confidentialité et la continuité des systèmes d'information et de communication et/ou les informations utilisées pour la fourniture de services de paiement. Ceci inclut les incidents provenant de cyber-attaque ou de la non-pertinence des mesures de sécurité physique » (art. 10,
Nous passerons sur l’arrêté du 31 août 2017 modifiant l'arrêté du 20 mai 2015 portant réglementation prudentielle et comptable en matière bancaire et financière en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna, et terminerons en énonçant seulement que deux derniers arrêtés du 31 août 2017, évidemment importants en
- un nouvel article 2-2 précisant le détail de la demande d’enregistrement des PSIC ;
- la création d’un chapitre 2 bis portant sur le montant minimal de l’assurance de responsabilité civile professionnelle ou d’une autre garantie comparable requise des PSIP ou des PSIC.