+
-
Cet article appartient au dossier :

Europe

Agrément des nouveaux PSP : une comparaison européenne des pratiques des régulateurs

Cinq pays européens se démarquent par le nombre d’agréments DSP 2 accordés à des prestataires de services de paiement. Chacun a l’ambition de se positionner comme épicentre des services de paiement innovants européens et, au-delà, comme « hub des FinTechs ».

Le 17/04/2019
Bertrand Annette | Émilien Jauny

Le secteur des services financiers fait face depuis plusieurs années à l’arrivée de technologies d’une puissance sans précédent et à des usages renouvelés. La relation client est réinventée par l’utilisation d’outils simples et agiles, une connaissance profonde des habitudes de consommation et un service proactif exploitant les potentialités de l’intelligence artificielle. Le marché des paiements est une illustration marquante de ces évolutions de fond :

  • 50 % des FinTechs dans le monde opèrent dans ce domaine ;
  • les opérations de M&A atteignent des montants considérables, comme lors du rachat de Worldpay par FIS pour 35 milliards de dollars ;
  • des partenariats stratégiques se nouent, tels que celui d'Apple Card adossé à Goldman Sachs et Mastercard ;
  • un potentiel de 2 000 milliards de dollars à 2026, soit un quasi-doublement en 10 ans.

Le paiement, tête de pont de la transformation des activités bancaires ?

Si le mouvement s’est accéléré récemment, notamment sous l’impulsion de nouveaux acteurs, les banques ont été depuis les années 1990 à l’origine de nombreuses innovations dans les paiements. Elles ont progressivement transformé cette activité, la propulsant de fonction support à centre de profit pouvant représenter plus de 20 % de leurs revenus totaux. Cette activité est donc un des lieux stratégiques de la conquête et de la fidélisation des clients. Pour autant, initialement concentrés sur les parties de la chaîne de valeur reposant sur le traitement des flux (paiements), ces nouveaux acteurs affichent, capitalisant sur l’exploitation de la donnée, leurs ambitions dans les activités liées aux stocks, tels que les crédits. Certes, les défis seront d’une tout autre ampleur, portant notamment sur la confiance, la sécurité ou la réglementation. Mais ils pourraient annoncer des transformations radicales de ces activités encore largement dominées par les acteurs traditionnels.

La réglementation comme support durable

Moins détectables par le grand public, les directives européennes successives (DME en 2000, DSP en 2007, DME 2 en 2009, puis DSP 2 en 2015) constituent pourtant le socle réglementaire qui a ancré les innovations sur les paiements. Elles répondaient à l’objectif clairement affiché des autorités de régulation d’adapter le marché européen des paiements pour le rendre plus efficace, concurrentiel, innovant et sûr et in fine de soutenir la croissance de l'économie.

Rappelons que la directive sur les services de paiement (DSP2) a été adoptée par la Commission dans un cadre plus global de « paquet législatif » qui comprenait le règlement relatif aux commissions d’interchange pour les paiements par carte. Le commissaire européen déclarait en 2013 : « Le marché des paiements de l’Union est fragmenté et onéreux, son coût s’élevant à plus de 1 % du PIB de l’UE, soit 130 milliards d’euros par an. Notre économie ne peut se permettre de tels coûts. »

La DSP 2 est donc le nouveau cadre qui régit les services de paiement en Europe, avec pour objectifs principaux de renforcer la protection des consommateurs, favoriser l’innovation et améliorer la sécurité. Sa transposition anticipée en France (ordonnance du 9 août 2017), au Royaume-Uni et en Allemagne (lois publiées en juillet 2017), a précédé de quelques mois l’entrée en application, le 25 mai 2018, d’un autre texte particulièrement structurant, le règlement européen sur la protection des données.

Les modifications marquantes de la DSP2 ont porté sur :

  • la création des statuts de prestataires de services d’initiation de paiement et de prestataires de services d’information sur les comptes, proposant des services basés sur l’accès aux données des comptes de paiement ;
  • la mise en place d'exigences de sécurité strictes ;
  • le renforcement des droits des consommateurs ;
  • l’interdiction de facturer des frais supplémentaires.

Le cadre de constitution du dossier d’agrément [1] des prestataires de services de paiement (PSP) est proche de celui de la précédente directive et prévoit :

  • le programme d’activité ;
  • le plan d’affaires démontrant la capacité de fonctionner durablement ;
  • le niveau de capital initial et de fonds propres requis ;
  • les mesures de protection des fonds des utilisateurs [2];
  • le dispositif de gouvernance d’entreprise, les compétences et l’expérience des dirigeants ;
  • l’organisation, le corpus de procédures ainsi que le système de contrôle interne et de maîtrise des risques.

Des standards techniques et orientations de l’Autorité bancaire européenne(ABE) [3] précisent les éléments nécessaires à l’agrément et visent à assurer une homogénéité d’application entre les pays. Ils portent sur des sujets tels que la coordination de la supervision entre régulateurs (home-host), la protection du consommateur et tout particulièrement la sécurité (authentification forte, communication sécurisée via API, fraude, reporting des incidents). L’octroi de l’agrément relève de la diligence du régulateur national qui, par un examen attentif du dossier, vérifie que les conditions d’une gestion saine et prudente sont en place. La décision est notifiée dans un délai de trois mois de la réception du dossier complet. L’agrément permet d’exercer en libre prestation de services ou libre établissement.

Un cadre français propice

La transposition en France, respectueuse du cadre européen, distingue les rôles de l’Autorité de contrôle prudentiel et de résolution (ACPR), responsable de l’instruction du dossier et de la décision d’agrément, de celui de la Banque de France chargée d’émettre préalablement son avis après s’être assurée de la sécurité des moyens de paiement. Cette dernière a publié le 11 mars la stratégie nationale des moyens de paiement scripturaux (2019-2024 [4]) visant à poursuivre les actions (digitalisation, sécurité, inclusion), accélérer le déploiement des innovations et promouvoir des solutions de paiements permettant une indépendance européenne.

L’approche volontariste des autorités nationales, le dispositif mis en place dès mi-2017, la rigueur dans la préparation du dossier par le prétendant et l’allocation de ressources qui en découle, ont permis à Bankin’ d’être le premier établissement de paiement – au niveau européen – à obtenir son agrément, deux jours après l’entrée en vigueur de la directive. Si le process s’est déroulé dans des délais courts, la constitution du dossier a comporté de nombreux points de complexité tels que le process d’entrée en relation, les règles relatives à la lutte contre le blanchiment et le financement du terrorisme ou la sécurité du système d’information.

Panorama de la mise en œuvre de DSP 2 dans les principaux pays d’Europe

Au 12 mars 2019, parmi les 24 pays ayant transposé la directive, seuls douze d’entre eux l’avaient effectué dans les délais requis. Trois pays l’ont fait partiellement et un pays ne l’a pas fait.

La comparaison des pratiques des régulateurs relatives à l’instruction des dossiers qui leur sont soumis permet de dégager trois grandes tendances caractérisant les comportements des autorités nationales au sein de l’Union européenne:

  • les pays volontaristes mais exigeants affichent une volonté politique forte et s’appuient sur des régulateurs expérimentés;
  • le second groupe de pays communique tout autant sur ses ambitions, mais met en œuvre des process d’agrément qui ne semblent pas témoigner de la même rigueur ;
  • enfin, le troisième groupe de pays reste très discret, soit par volonté, par manque de ressources ou parce que l’environnement ne s’y prête pas.

Cinq pays européens se démarquent en nombre d’agréments DSP 2 délivrés. France, Royaume-Uni, Allemagne, Pays-Bas et Lituanie ont chacun l’ambition de se positionner comme futur épicentre des services de paiement innovants européens et au-delà comme « hub des FinTechs ».

Le cas de la Lituanie mérite un temps d’arrêt. Dans la continuité de son succès dans les monnaies électroniques, elle cherche plus globalement à devenir une destination de référence. L’obtention d’une autorisation s’y révèle rapide et accessible. L’écosystème y est très favorable. Pour autant, le volume élevé d’agréments délivrés, le positionnement assumé de place permettant la mise en œuvre du passeport poseront rapidement la question de la capacité de contrôle par le régulateur dans la durée et sur un périmètre européen.

Un arbitrage réglementaire

La tentation est grande de pratiquer un arbitrage réglementaire en exploitant les disparités de transpositions. Les signaux récents sur l’écosystème incitent à la prudence. Revolut, établissement de monnaie électronique agréé en Angleterre et disposant, pour faire face au risque de Brexit, aussi d’une licence bancaire spécialisée et d’une licence de monnaie électronique de la Banque de Lituanie, fait l’objet d’une enquête de la Financial Conduct Authority (FCA). Le récent échange de courrier entre le député européen Markus Ferber et l'Autorité bancaire européenne (ABE) sur la licence de monnaie électronique accordée à Google questionne quant à l’application de la procédure d’agrément [5]. Enfin, Tracfin dans son rapport de novembre 2018, alerte sur les enjeux de la supervision dans le cadre de l’exercice du passeport européen et appelle au renforcement des capacités de contrôle des superviseurs nationaux (en l’occurrence, l’ACPR).

La DSP 2 a donc ouvert réglementairement un nouveau front en permettant l’accès par de nouveaux acteurs aux comptes gérés par les acteurs historiques – l'open banking – et en plaçant au centre des enjeux les interfaces de programmation (API). Sa transposition récente dans les pays de l’Union européenne n’a pas encore permis la constitution d’un « level playing field ». Cela incite certains acteurs à chercher un agrément dans des pays ayant un degré d’exigence plus faible avec l’intention de revenir exercer leurs activités en France grâce au système du passeport. Cette approche ne devrait-elle pas être replacée dans un cadre stratégique de moyen terme alliant enjeux de souveraineté, responsabilité, sociétaux ou de gestion des risques dans un domaine aussi sensible que la gestion des moyens de paiement ? Gageons que les évolutions de la réglementation européenne offriront un cadre permettant une plus grande harmonisation.

 

 

[1] L’exercice du seul service d’information sur les comptes requiert un enregistrement.

[2] Les PSIP et les PSIC, lorsqu’ils fournissent exclusivement ce type de services, ne détiennent pas de fonds des clients.

[3] Non finalisés pour certains.

[4] Coïncidant avec les Jeux Olympiques.

[5] Il sera intéressant de consulter l’analyse que l’EBA devrait rendre mi-2019 sur les pratiques des autorités nationales.

L'auteur

Séminaires

Sommaire du dossier

Sur le même sujet