Pour revenir brièvement sur ces évolutions, le statut d’établissement de paiement instauré par la
L’agrément est une étape obligatoire pour que ces
La demande d’agrément
L’élaboration d’un dossier de demande d’agrément constitue le premier pas de l’établissement dans le monde régulé. Une fois agréé par l’Autorité de Contrôle Prudentiel et de
La gouvernance de l’établissement
La gouvernance constitue les fondations du dispositif de conformité et de contrôle interne. Au sein d’un établissement de paiement, la réglementation impose l’existence de deux dirigeants effectifs et d’un organe de surveillance. À cela s’ajoute le classique dispositif de contrôles à 3 à niveaux, avec les fonctions commerciales et opérationnelles qui appliquent les contrôles de 1er
Une documentation adaptée et pertinente
Comme pour tous les établissements financiers, le dispositif de contrôle interne doit intégrer une documentation formalisée par l’établissement. Il s’agit notamment des politiques, des procédures et des cartographies des risques implémentées par l’établissement pour assurer l’application correcte des process décidés ainsi que la maîtrise des risques. De même, face à une réglementation en perpétuelle évolution, tant au niveau européen, national que sectoriel, la mise en place d’une veille réglementaire est indispensable pour assurer la conformité de la société. Or l’importance de cette démarche est encore souvent sous estimée par les établissements de paiement. À titre d’exemple, ces deux dernières années des évolutions réglementaires significatives sont intervenues dans le secteur des paiements :
- la 4e directive LCB-FT, qui modifie l’approche par les risques, prévoit un registre central des bénéficiaires effectifs, élargit la notion de Personne Politiquement Exposée en y intégrant les PPE nationales, et modifie les seuils d’exemption prévus pour la monnaie électronique ;
- la DSP2, qui impose de nouvelles modalités d’authentification du client (authentification forte), des obligations de reporting des incidents majeurs répondant à un formalisme précis ou encore de nouveaux délais dans le traitement des réclamations clients ;
- à cela s’ajoutent des textes souvent sous-estimés par les acteurs régulés. Il s’agit des communications réglementaires des autorités, tels que les rapports annuels de TRACFIN et du GAFI et les lignes directrices de l’ACPR. À ce titre, dans les lignes directrices conjointes de l’ACPR et de TRACFIN, sur les obligations de déclaration et d’information à TRACFIN, il est précisé que les organismes financiers doivent intégrer à leur dispositif interne, les risques liés « aux produits, services et/ou canaux de distribution utilisés, en tenant compte des cas typologiques diffusés par TRACFIN ou par toute autre instance ou autorité nationale ou internationale compétente en matière LCB-FT » ;
- les sanctions prononcées par l’ACPR à l’encontre d’établissements régulés sont également à intégrer au dispositif de veille réglementaire. Ces décisions fortes en enseignement permettent d’appréhender au mieux la méthodologie d’audit de l’ACPR et ses points d’attention. On peut notamment constater que la grande majorité des sanctions prononcées sont liées à des défaillances du dispositif LCB-FT ;
- et bien sûr, le RGPD qui est l’enjeu réglementaire majeur de l’année 2018 pour toutes les sociétés, qu’elles relèvent du secteur bancaire ou non.
Les spécificités propres aux établissements de paiement
L’obligation de protection des fonds
Les établissements de paiement ont l’obligation de protéger les fonds qu’ils reçoivent des tiers au titre de leurs activités. Le
- la souscription d’une assurance ou d’une garantie comparable ;
- la protection des fonds sur un ou des comptes de cantonnement.
À noter que cette obligation ne s’applique pas aux initiateurs et aux agrégateurs de comptes, étant donné qu’ils n’entrent pas en possession des fonds des tiers dans le cadre de leurs activités. Ils restent néanmoins tenus de souscrire à une assurance de responsabilité civile
La maîtrise du réseau d’agents
Le réseau d’agents est également un enjeu majeur pour les établissements de paiement et de monnaie
Les établissements de paiement et de monnaie électronique ont la possibilité de recourir aux services d'un ou plusieurs agent(s), déclaré(s) au préalable à l’ACPR. Ces agents peuvent exercer une activité de paiement dans la limite de l’agrément de l’établissement mandant. Conformément à l’article L. 523-3 du CMF, les établissements mandants demeurent pleinement responsables, à l’égard des tiers, des actes des agents. Ils doivent notamment, s’assurer que les agents se conforment en permanence aux dispositions législatives et réglementaires applicables et les soumettre à leur dispositif de contrôle interne. Concrètement, le recours à des agents se traduit par la mise en place de procédures spécifiques et d’un plan de contrôle à réaliser tant sur pièce que sur place.
Les établissements de monnaie électronique peuvent avoir, en plus de leur réseau d’agents, un réseau de distributeurs de monnaie électronique. Le dispositif de contrôle est similaire à celui décrit précédemment. En revanche, aucun formalisme de déclaration des distributeurs n’est prévu par la réglementation.
Une adéquation des moyens humains
Cette liste, non exhaustive, des éléments à intégrer au dispositif de contrôle interne nécessite de la part de l’établissement une adéquation de ses moyens humains. L’effectif dédié aux fonctions de conformité et de contrôle interne doit être adapté aux activités et aux volumes de l’établissement mais surtout à son exposition aux risques. Bien que l’éventail de risques des Fintech soit limité comparativement aux risques rencontrés par les banques, les autorités restent vigilantes. Ces nouveaux acteurs sont soumis à une réunion annuelle avec l’ACPR, pour justifier d’un dispositif de contrôle interne suffisamment robuste, ils ont également l’obligation de remettre un rapport de contrôle interne chaque année. Ces communications peuvent donner lieu à des interrogations de l’ACPR (généralement communiquées par courrier), l’établissement doit alors être en capacité de répondre aux sollicitations de l’ACPR avec réactivité, qualité et cohérence.
Rappelons qu’à date l’ACPR a déjà sanctionné quatre établissements de paiement et un établissement de monnaie électronique : Aqoba qui a perdu son agrément,