Lundi 28 Août 2017
Dans la torpeur estivale, alors que la plupart d’entre nous avaient leurs pieds en éventails sur la plage, l’Ordonnance n°2017-1252 du 9 août 2017 vient intégrer la Directive Services de Paiement 2 (DSP 2) dans le Code monétaire et financier français. Cet article est le moyen de faire un survol des principales nouveautés, applicables pour la plupart en janvier 2018.

Qu’apporte cette Ordonnance pour les agréments des prestataires et la supervision du marché ?  

Transposant la DSP 2 en droit français, l’Ordonnance complète les conditions d’octroi de l’agrément des établissements de paiement, à savoir des personnes morales autres que les établissements de crédit et de monnaie électronique qui fournissent à titre de profession habituelle des services de paiement, tels que les versements ou retraits d'espèces, les prélèvements, les opérations de paiement effectuées avec une carte, les virements, ou les transmissions de fonds. En outre, pour les établissements dont la moyenne mensuelle de la valeur totale des opérations de paiement ne dépasse pas 3 millions d'euros, un agrément simplifié est ouvert. 

Les dispositions relatives aux établissements de monnaie électronique sont également adaptées, et ce dans les mêmes conditions.

En matière de supervision des activités transfrontalières, les pouvoirs de l'Autorité de contrôle prudentiel et de résolution (ACPR) sont renforcés, cette dernière pouvant désormais prendre des mesures conservatoires en cas d'urgence à l'égard des établissements agréés dans un autre Etat membre de l'Union européenne et exerçant leur activité en France, lorsqu'une action immédiate est nécessaire pour contrer une menace grave pour les intérêts collectifs des utilisateurs de services de paiement.

En matière de nouveaux services ? 

Deux nouveaux services de paiement sont intégrés dans le Code monétaire et financier, à savoir :
  • les services d'information sur les comptes, qui permettent à l'utilisateur de services de paiement d'avoir une vue d'ensemble de sa situation financière à tout moment et de gérer au mieux ses finances personnelles, 
  • et les services d'initiation de paiement, qui permettent aux consommateurs de payer leurs achats en ligne par simple virement, tout en donnant aux commerçants l'assurance que le paiement a été initié de sorte que les biens peuvent être livrés ou les services fournis sans délai. 
La fourniture de chacun de ces services représentant un risque modéré en raison de l'absence de détention de fonds par leurs prestataires, ces activités bénéficient d'un régime prudentiel dérogatoire - absence de capital initial et, pour les prestataires de services d'information sur les comptes, absence de fonds propres. Les dispositions relatives à leur régime quant aux obligations relatives à la lutte contre le blanchiment et le financement du terrorisme sont également précisées dans le cadre de cette ordonnance.
On notera en parallèle que les prestataires de ces nouveaux services disposant d’un régime juridique légal sont souvent considérés comme des fintech. D’autres types de services émergent qui sont désormais objets de l’attention de l’Autorité Bancaire Européenne

Un renforcement des droits et obligations des utilisateurs. 

Désormais, les utilisateurs de moyens de paiement voient leur responsabilité réduite de 150 euros à 50 euros en cas de paiements non autorisés, c'est-à-dire de paiements consécutifs à un vol, une perte ou un détournement de l'instrument de paiement. Les utilisateurs doivent également être informés sans délai des incidents opérationnels et de sécurité majeurs - c'est-à-dire des incidents affectant le fonctionnement de l'établissement ou la sécurité de l'opération de paiement - lorsque l'incident est susceptible d'avoir des répercussions sur leurs intérêts financiers. Enfin les utilisateurs de services de paiement doivent être informés des procédures de réclamation existantes, ainsi que des procédures de règlement extrajudiciaire en cas de litige.

Un dernier point et non des moindres : l’authentification forte. 

Pour renforcer la sécurité pour les paiements électroniques et la protection des données financières des consommateurs, le Code monétaire et financier intègre désormais des dispositions sur l'authentification forte du client. Elle consiste à vérifier l'identité du payeur lors de l'opération de paiement, suivant des conditions précisées par l'Autorité bancaire européenne. Pour l’heure, les standards techniques relatifs à l’authentification forte ne devraient pas tarder à être publiés. 

On retiendra ainsi que l’authentification forte repose sur l'utilisation de deux éléments ou plus appartenant aux catégories "connaissance" (quelque chose que seul l'utilisateur connaît), "possession" (quelque chose que seul l'utilisateur possède) et "inhérence" (quelque chose que l'utilisateur est) et indépendants en ce sens que la compromission de l'un ne remet pas en cause la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification.

De plus, certaines des méthodes actuelles d’authentification à double facteur comme l’OTP SMS sont en train d’être battus en brèche pour des raisons de sécurité technique, mettant ainsi en valeur les facteurs d’authentification biométriques comme les reconnaissances vocale ou faciale, reconnues plus fiables. 

L’entrée en vigueur des nouvelles dispositions du Code monétaire et financier est prévue le 13 janvier 2018, à l'exception de dispositions transitoires prises conformément à la directive eu égard à l'entrée en vigueur différée de normes techniques de réglementation.

Aux établissements bancaires, financiers et aux compagnies d’assurance maintenant de prévoir les évolutions requises par cette nouvelle législation en conjonction avec les exigences de privacy by design prévues dans le RGPD

Pascal AGOSTI, avocat au Barreau de Nice, Docteur en droit


  • Ajouté : 10-07-2017
  • Modifié : 30-01-2018
  • Visiteurs : 405