La voici donc, publiée au JO du 10 août***, l’ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (la « DSP 2 »).
[1]On se rappellera que la 1re directive sur les services de paiement (dir. 2007/64/CE, 13 nov. 2007,la « DSP ») fut elle-même transposée par une ordonnance d’été : ordonnance n° 2009-866 du 15 juillet 2009 relative aux conditions régissant la fourniture de services de paiement et portant création des établissements de paiement.
1. Méthodologie
Là où nous avions fait le choix de présenter la DSP 2 sous forme d’abécédaire [1], nous détournerons ici le modèle de la « notice explicative » qui accompagne désormais décrets et arrêtés réglementaires [2].
Aux rubriques standards – « Publics concernés », « Objet », « Entrée en vigueur », « Notice » et « Références » – sera seulement ajoutée une relative au champ d’application du droit nouveau des services de paiement.
Nous renvoyons sinon au rapport au président de la République qui accompagne l’ordonnance, et présente celle-ci suivant les quatre grandes thématiques composant, selon lui, la DSP 2 : les conditions d’exercice des prestataires de services de paiement (PSP), les droits et obligations des utilisateurs et des PSP, les exigences en matière d’information relatives aux services de paiement, et les exigences de sécurité renforcées pour les paiements électroniques et la protection des données financières des consommateurs.
Enfin, cette notice explicative de l’ordonnance de transposition de la DSP 2 est annoncée avec « appendice », car l’ordonnance du 9 août 2017 s’accompagne de sept textes d’application, datés du 31 août 2017 et parus au JO du 2 septembre, qu’il faudra balayer rapidement.
2. Publics concernés
Lato sensu, les publics concernés sont les utilisateurs de services de paiement [3] et les PSP que sont les établissements de crédit, les établissements de monnaie électronique (EME) et les établissements de paiement (EP), auxquels s’ajoute cette catégorie « bâtarde » (on y reviendra) : les « prestataires de services d’information sur les comptes » (PSIC), qui sont PSP mais sans être EP [4].
Si l’on resserre un peu l’objectif, l’on dirait volontiers que sont principalement concernés les utilisateurs titulaires de compte ainsi que les établissements de crédit teneurs de compte qui, lorsqu’ils se trouvent en concurrence avec les prestataires de services d’initiation de paiement (PSIP) ou les PSIC, se muent en prestataires de services de paiement gestionnaires de compte (PSPGC). Il est significatif que le teneur devienne gestionnaire de compte en présence des nouveaux entrants PSIP et PSIC, comme si le compte se détachait de sa personne. Quoi qu’il en soit – et sans céder à trop de facilité de langage –, l’ère de l’open banking est annoncée, du compte ouvert à d’autres que ceux qui le tiennent.
3. Objet
L’objet de l’ordonnance du 9 août 2017 est tout entier dans son intitulé [5] : transposition de la DSP 2, texte d’harmonisation totale, sans préjudice de la bonne dizaine d’options ouvertes par l’article 107 de la directive.
Si l’on veut en dire davantage, sans pour autant empiéter sur la suite, l’on ajouterait que l’ordonnance de transposition a pour objet d’établir un droit nouveau de l’accès aux comptes de paiement en ligne, un droit nouveau de la banque en ligne somme toute.
Sont ainsi insérés dans notre Code monétaire et financier (CMF), de manière spectaculaire :
4. Champ d’application
L’organisation du CMF (mais c’était vrai du temps de la DSP) oblige à doublonner la circonscription du champ d’application du droit des services de paiement. Aux articles L. 133-1 et L. 133-1-1 (opérations de paiement) répondent ainsi les articles L. 342-2 et L. 342-2-1 (services de paiement), qui s’ouvrent par cette même déclaration (sensiblement remaniée : on parle de « services » plutôt que d’« opérations ») : « Les dispositions du présent chapitre s’appliquent aux services de paiement fournis par les prestataires de services de paiement mentionnés au livre V dans le cadre des activités définies au II de l’article L. 314-1. »
Ratione loci, on renvoie à la lecture des textes ci-dessus qui mélangent géographies française et européenne. Ratione materiae (et outre le champ des services de paiement fournis par les PSP), on renvoie également aux exclusions que nous traitons ci-dessous (voir Notice).
5. Entrée en vigueur
La chose devrait être simple : « Les dispositions de la présente ordonnance entrent en vigueur le 13 janvier 2018 » [6], conforme en cela au point 2 de l’article 115 de la DSP 2, qui commande que les États membres appliquent ses dispositions « à partir » de cette date.
Mais ce serait sans compter que la DSP 2 ne se suffit plus à elle-même et qu’elle doit composer avec ces fameuses normes techniques de second niveau ou RTS, dont les très fameux RTS de l’article 98 concernant l’authentification (forte) et la communication (entre PSP). Si bien qu’en son point VIII, l’article 34 de l’ordonnance du 9 août 2017 dispose que, par dérogation à la date d’entrée en vigueur du 13 janvier 2018, le 4° du II et le 1° du III de l’article L. 133-40 (initiation de paiement), le 3° du II et le 1° du III de l’article L. 133-41 (information sur les comptes), ainsi que les I, II et III de l’article L. 133-44 (authentification forte) n’entreront en vigueur que 18 mois (sic !) après l’entrée en vigueur du règlement délégué de la Commission européenne sur l’authentification et la communication, que l’on attend toujours…
Quel paradoxe tout de même, car voilà que les dispositions les plus novatrices de la DSP 2 (et de son texte de transposition) vont se trouver paralysées de (très) longs mois durant ! Et PSIP et PSIC, faute de pouvoir être reconnus par les établissements gestionnaires de compte, continueront à œuvrer en web ou screen scraping [7] !
Étrange période transitoire (trou noir plutôt), en conséquence, qui verra une rédaction intermédiaire de l’article L. 133-44, IV, aux termes duquel les PSPGC devront autoriser PSIP et PSIC (dûment agréés ou enregistrés) à se fonder sur leurs procédures d’authentification lorsqu’ils agissent pour l’un de leurs utilisateurs ; qui interdira lesdits gestionnaires de comptes à se prévaloir de la non-conformité des nouveaux entrants pour bloquer ou entraver l’utilisation de leurs services [8].
Et l’on peut encore y ajouter cette autre période transitoire jusqu’à l’entrée en application du règlement général sur la protection des données (25 mai 2018), imposant une rédaction intermédiaire des articles L. 521-6 et L. 521-7, afin qu’ils continuent à viser la loi Informatique et Libertés de 1978.
6. Notice
Où nous retrouvons les trois lieux principaux des dispositions insérées dans le CMF : articles L. 133-1 et suivants (opérations de paiement), L. 314-1 et suivants (services de paiement) et L. 519-1 et suivants (PSP).
6.1. Opérations de paiement
En opérant un choix très arbitraire tellement le droit des opérations de paiement est remanié par la DSP 2, on abordera les trois thèmes suivants.
6.1.1. Accès aux comptes. Deux nouveaux services d’accès aux comptes de paiement [9] (en ligne), sont rangés sous une section 13 nouvelle, précisément intitulée « Modalités d’accès aux comptes de paiement » :
À quoi s’ajoute, en faveur des émetteurs d’instruments de paiement liés à une carte sans compte, la faculté octroyée à ces derniers de demander au gestionnaire de compte confirmation de la disponibilité des fonds (cf. CMF, art. L. 133-39, issu de DSP 2, art. 65).
Nous n’en dirons pas plus (il faut lire et relire les dispositions précitées), sinon que le consentement « explicite » (il est dommage que le CMF emploie tantôt « explicite », tantôt « exprès ») du payeur (ou utilisateur de services de paiement) est exigé [11], dessinant par-là les contours de nouvelles clauses à insérer dans les conventions de compte, contrats de banque en ligne out contrats-cadres de services de paiement.
6.1.2. Relations entre PSP. L’intrusion de nos nouveaux entrants oblige désormais à s’intéresser aux relations « horizontales » entre PSP [12], que le CMF aborde sous un intitulé particulièrement raté, celui de « relation entre les prestataires de services de paiement respectivement parties avec l’utilisateur de services de paiement » ; dans une sous-section composée d’un article L. 133-17-1, qui encadre strictement les conditions dans lesquelles un PSPGC peut refuser à un PSIP ou PSIC l’accès à son compte (refus, soit dit en passant, caractéristique d’un « incident » à relayer auprès de la Banque de France).
Outre ce texte, deux autres encore, les articles L. 133-18 et L. 133-22-1 du CMF, commandent qu’en cas d’opération de paiement non autorisée ou mal exécutée initiée par l’intermédiaire d’un PSIP, ce soit le gestionnaire de compte qui rembourse au premier chef, quitte à se retourner ensuite vers le PSIP responsable.
6.1.3. Authentification. On ne peut bien sûr omettre d’évoquer (pas davantage, c’est tout l’enjeu des RTS de l’article 98 et de la paralysie à venir : voir Entrée en vigueur) la nouvelle section 15 « Authentification », composée d’un article unique : l’article L. 133-44, dont le I dispose que « le prestataire de services de paiement applique l'authentification forte du client définie au f de l'article L. 133-4 [13] lorsque le payeur : 1° Accède à son compte de paiement en ligne ; 2° Initie une opération de paiement électronique ; 3° Exécute une opération par le biais d'un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse ».
6.2. Services de paiement
Ce n’est pas la partie la plus riche en innovations, mais celles-ci méritent que l’on s’y arrête.
6.2.1. Nouveaux services. L’innovation spectaculaire est bien sûr l’amendement porté à la fameuse liste des 7 services de paiement, désormais 8, avec la suppression de l’ancien service 7° au bénéfice d’un 7° nouveau : les services d’initiation de paiement, suivi d’un 8° inédit : les services d’information sur les comptes (CMF, art. L. 314-1, II) [14]. On saluera au passage la disparition de l’ancien service 7°, dont la formulation nous avait toujours parue brumeuse et dont l’article 34 de l’ordonnance sous commentaire nous apprend que les EP qui étaient à ce jour agréés pour fournir ledit service sont désormais réputés agréés pour la fourniture des services 3° et 5°. Dont acte.
6.2.2. Exclusions. Il serait trop long de les commenter toutes, mais notons que le point III de l’article L. 314-1 du CMF (« N’est pas considéré comme un service de paiement : ») s’enrichit notablement des exclusions suivantes (qu’il fallait aller rechercher, pour certaines d'entre elles, dans la DSP), dont chacune pourrait mériter une étude à part entière :
6.2.3. Contrat-cadre de services de paiement. Disposition évidemment importante que celle-ci : « Un contrat-cadre de services de paiement doit également être conclu lorsque les services de paiement mentionnées aux 7° et 8° du II de l’article L. 314-1 sont fournis » (CMF, art. L. 314-12, I, 2e al.).
C’est là, pour partie, une exception à la règle posée à l’article L. 314-2, V, qui veut que le chapitre sur les services de paiement ne s’applique pas aux services fournis par les PSIC ; c’est là aussi révélateur d’une contradiction, que l’information sur les comptes est un service de paiement sans en être…
6.3. PSP
Les innovations sont nombreuses et obligent à faire un tri.
6.3.1. Principes directeurs. Oui, il s’agit bien de principes directeurs (on n'en a pas l’habitude) de l’activité des PSP, à lire et relire, qui sont ajoutés aux articles L. 521-5 à L. 521-10 du CMF, ainsi rédigés :
6.3.2. Agrément allégé d’EP et d’EME. Jadis qualifié de limité, l’agrément désormais « allégé » d’EP (CMF, art. L. 523-11-1) ou d’EME (CMF, art. L. 526-19) sera délivré à la condition que l’établissement dispose de « dispositifs à même d’assurer la sécurité des services […] fournis et la protection des données de paiement sensibles ». L’accent mis sur la sécurité et la protection des données (sensibles [15]) est une nouveauté de la DSP 2.
6.3.3. PSIC. Les PSIC sont comme une scorie [16] dans le droit des EP, dont le point II ajouté à l’article L. 522-1 dispose : « Les prestataires de services d'information sur les comptes sont les personnes physiques ou morales, autres que les établissements de crédit, les établissements de monnaie électronique, les établissements de paiement et les personnes mentionnées au II de l'article L. 521-1, qui fournissent à titre de profession habituelle le service d'information sur les comptes mentionnés au 8° du II de l'article L. 314-1 à l'exclusion de tout autre service de paiement ». Où l’on apprend que les PSIC, au contraire des PSP, et des EP en particulier, peuvent être des personnes physiques.
C’est à l’évidence une innovation de la DSP 2 et de son ordonnance de transposition : l’enregistrement, plutôt que l’agrément, des PSIC. Sans même attendre l’arrêté qui définira les informations requises dans la demande d’enregistrement (Voir Arrêtés), on sait déjà qu’elles emprunteront pour partie aux conditions d’un agrément (CMF, art. L. 522-11-2, II, al. 1er). On sait encore que les PSIC seront traitées comme des EP à l’égard des dispositions sur le passeport européen d’une part, de celles relatives au secret professionnel, à la comptabilité et au contrôle légal des comptes, d’autre part (CMF, art. L. 522-11-2, II, in fine) [17].
Retenons enfin [18] que les PSIC ne pourront pas recourir à des agents, si l’on comprend bien le sens du point II de l’article L. 523-1 : « Les prestataires de services de paiement autre[s] que les prestataires de services d'information sur les comptes mentionnés au II de l'article L. 522-1 font enregistrer auprès de l'Autorité de contrôle prudentiel et de résolution les agents auxquels ils entendent recourir » [19].
6.3.4. Passeport européen. S’il y avait à ériger une autre innovation d’importance à côté de la création des services d’initiation de paiement et d’information sur les comptes, ce serait celle-ci, telle qu’ainsi décrite par le rapport au président de la République : « En matière de supervision des activités transfrontalières, la directive organise une procédure de coopération entre les autorités compétentes et renforce les pouvoirs de l'État membre d'accueil. Ainsi est-il prévu dans le cadre de la présente ordonnance la désignation d'un point de contact central pour les établissements de paiement ayant recours à des agents en libre établissement et remplissant les conditions qui seront fixées par un règlement délégué de l'Autorité bancaire européenne » (p. 1).
De l'article L. 522-13 du CMF réécrit, on retient en effet que lorsqu’un EP européen « entend recourir à des agents et remplit les critères prévus par l'acte délégué adopté en vertu de l'article 29.5 et 29.7 de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 susvisée, il désigne un point de contact central établi sur le territoire de la France métropolitaine, en Guadeloupe, en Guyane, en Martinique, à La Réunion, à Mayotte ou à Saint-Martin. Ce point de contact central est en charge de la communication d'informations relatives au respect des dispositions de la section 5 du chapitre II du titre Ier du livre Ier, du chapitre III du titre III du livre Ier, du chapitre IV du titre Ier du livre III et du chapitre Ier du titre II du livre V afin de faciliter la surveillance des autorités compétentes de l'État d'origine et de l'Autorité de contrôle prudentiel et de résolution » (CMF, art. L. 522-13, II, 1°, al. 2).
6.3.5. EME. Bien que directive sur les services de paiement, la DSP 2, par jeu de renvois, modifie assez sensiblement la réglementation des EME. On consultera à cet égard aux articles 15 et 16 de l’ordonnance du 9 août 2017.
6.3.6. Autorités. On l’a vu plus haut (Principes directeurs), une compétence exceptionnelle (« par dérogation ») est reconnue à la CNIL, par application des compétences qui lui sont reconnues par le règlement général sur la protection des données du 27 avril 2016, de veiller au respect des articles L. 521-5 et L. 521-6 du CMF (CMF, art. L. 521-7). C’est là une réelle immixtion du droit des données à caractère personnel (et de son autorité de supervision) dans le droit des services de paiement, dont les PSP devront prendre toute la mesure.
Et que dire du rôle majeur nouvellement attribué à la Banque de France, spécialement chargée de s’assurer de la sécurité de l’accès aux comptes de paiement par les PSIP et PSIC, d’une part (CMF, art. L. 521-8) ; destinataire de toute information concernant un incident de sécurité majeur remonté par un PSP, d’autre part, à concurrence de l’ACPR qui, elle, aura connaissance des incidents opérationnels majeurs (CMF, art. L. 521-10).
6.3.7. LCB-FT. Un mot pour dire que nos nouveaux PSIP et PSIC seront exonérés de toute obligation de lutte contre le blanchiment des capitaux et le financement du terrorisme (la « LCB-FT ») : les seconds en vertu d’un nouvel article L. 561-2-3 du CMF qui dispose que les établissements de crédit, les EP et les EME, y compris lorsqu’ils exercent sur le territoire national par voie d’agents ou de distributeurs, ne sont pas soumis aux dispositions relatives à la LCB-FT lorsqu’ils exercent le service 8° ; les premiers, moins évidemment toutefois, en application d’un nouvel article R. 561-16, 10° (voir ci-dessous Décrets).
7. Références
On l’a vu plus haut : l’ordonnance de transposition de la DSP 2 modifie le CMF (quasi exclusivement) en trois endroits principaux : chapitre III du titre III du livre Ier (droit des opérations de paiement), chapitre IV du titre Ier du livre III (droit des services de paiement) et chapitres I et suivants du titre II du livre V (droit des PSP).
Par ailleurs, le rapport au président de la République relatif à l’ordonnance sous commentaire précise utilement qu’elle s’accompagnera d’un décret en Conseil d’État, d’un décret simple et de cinq arrêtés, tous parus depuis.
8. Appendice
Les textes infra-législatifs (en vigueur le 13 janvier 2018) sont donc au nombre de sept.
8.1. Décrets
Sont parus au JO du 2 septembre deux décrets n° 2017-1313 et n° 2017-1314 du 31 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.
Le premier décret est de peu d’intérêt dans le cadre de ce commentaire, sinon pour sa disposition relative à la LCB-FT concernant les PSIP : « En application du II de l’article L. 561-9, les personnes mentionnées à l’article L. 561-2 ne sont pas soumises aux obligations de vigilance prévues aux articles L. 561-5 et L. 561-6, pour autant qu’il n’existe pas de soupçons de blanchiment de capitaux ou de financement du terrorisme, lorsque l’opération porte sur les produits ou services suivants : […] 11° Les services mentionnés au 7 du II de l’article L. 341-1 » (CMF, art. R. 561-16).
Le second est en revanche riche d’un nouvel article D. 314-2, portant un certain nombre de définitions inédites – et parfois maladroites [20] – des services de paiement, dont celle particulièrement bienvenue du service d’acquisition d’opérations de paiement : « un service fourni par un prestataire de services de paiement convenant par contrat avec un bénéficiaire d'accepter et de traiter des opérations de paiement, de telle sorte que les fonds soient transférés au bénéficiaire » (CMF, art. D. 314-2, 4°).
Et, bien sûr, l’on ne peut omettre les définitions de nos nouveaux services 7° et 8° :
8.2. Arrêtés
Il y a d’abord l’arrêté du 31 août 2017 modifiant l'arrêté du 29 juillet 2009 relatif aux relations entre les prestataires de services de paiement et leurs clients en matière d'obligations d'information des utilisateurs de services de paiement et précisant les principales stipulations devant figurer dans les conventions de compte de dépôt et les contrats-cadres de services de paiement. Point besoin de s’attarder, son intitulé parle de lui-même, les modifications sont significatives, notamment concernant les PSIP, on y renvoie.
Vient ensuite l’arrêté du 31 août 2017 modifiant l'arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution. On y retient cette définition intéressante de l’incident de sécurité, dont on a vu qu’il justifiait la compétence de la Banque de France plutôt que celle de l’ACPR (voir Autorités) : « un événement ou une série d'événements imprévus résultant de processus internes inadaptés ou défaillants ou d'événements extérieurs affectant la disponibilité, l'intégrité, la confidentialité et la continuité des systèmes d'information et de communication et/ou les informations utilisées pour la fourniture de services de paiement. Ceci inclut les incidents provenant de cyber-attaque ou de la non-pertinence des mesures de sécurité physique » (art. 10, ak) [21].
Nous passerons sur l’arrêté du 31 août 2017 modifiant l'arrêté du 20 mai 2015 portant réglementation prudentielle et comptable en matière bancaire et financière en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna, et terminerons en énonçant seulement que deux derniers arrêtés du 31 août 2017, évidemment importants en pratique [22], modifient l’un l'arrêté du 2 mai 2013 portant sur la réglementation prudentielle des établissements de monnaie électronique, l’autre l'arrêté du 29 octobre 2009 portant sur la réglementation prudentielle des établissements de paiement. Retenons de ce dernier :
Achevé de rédiger le 18 septembre 2017.
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
[16]
[17]
[18]
[19]
[20]
[21]
[22]