le forum de la relation banque-entreprise - LES FINTECHS€¦ · MyStandards aide à simplifier le processus d'implémentation pour les entreprises quel que soit le canal utilisé

Numéro spécialMars 2017ISSN 1772-6638

revue-banque.fr

NUMÉRO SPÉCIALréalisé en partenariat avec

LES FINTECHSAU SERVICE DES TRÉSORIERS

t

•• •• ••

•• •• •• ••

Divisez par deux le temps d'implémentation des entreprises avec MyStandards Plus de la moitié des 20 premières banques mondiales utilisent MyStandards pour simplifier l'intégration de leurs clients entreprise

Chaque jour, les banques veulent offrir le meilleur service possible à leurs clients. MyStandards aide à simplifier le processus d'implémentation pour les entreprises quel que soit le canal utilisé. Cet outil permet de simplifier la vie des clients entreprise en rendant les guides d'implémentation des banques plus clairs, plus faciles à mettre en place, et alignés aux meilleures pratiques de l'industrie. La banque peut également offrir des services de test sur Internet avant même l'établissement complet d'une relation commerciale. Pour plus d'information sur MyStandards, la plate-forme de standardisation sécurisée et conviviale, consultez mystandards.swift.com.

mars 2017 – numéro spécial UNIVERSWIFTNET – Revue Banque 3

É D I T O R I A LPascal AugéPrésident du GUF (Groupement des utilisateurs de Swift en France)

REVUE BANQUE18, rue La Fayette, 75 009 Paris

Directeur de la publication :Valérie Ohannessian

ISSN 1772-6638

Imprimé par Imprimerie de Champagne, Langres (52)

Dépôt légal 1er trimestre 2017

La reproduction totale ou partielle des articles publiés dans Revue Banque, sans accord écrit de la société Revue Banque Sarl, est interdite conformément à la loi du 11 mars 1957 sur la propriété littéraire et artistique.

L’innovation est traditionnellement au cœur de toute stratégie d’entreprise s’inscrivant dans le long terme. Et l’univers des paiements et des métiers de gestion de trésorerie, à fort contenu technologique, est naturellement plus particu-

lièrement impacté par le contexte actuel de transfor-mation numérique global de l’ensemble de l’économie.Nous assistons de fait aujourd’hui, dans le domaine des paiements, à une phase de forte accélération caractéri-sée par la combinaison de trois facteurs principaux. En premier lieu, les nouvelles technologies, et plus particu-lièrement l’arrivée du sans contact et l’émergence rapide du paiement mobile, induisent des changements en pro-fondeur dans les modalités techniques d’échange. En second lieu, les comportements d’achat s’en trouvent durablement transformés, avec une attente croissante en matière d’instantanéité, comme en témoigne le fort développement du m-commerce (+40 % en valeur sur un an). Enfin l’évolution du cadre réglementaire, notam-ment via la DSP2, favorise l’émergence et le développe-ment de nouvelles solutions, de nouveaux acteurs et de nouveaux usages.Cette vague de transformation digitale concerne de surcroît l’ensemble de la chaîne de valeur et des com-posantes de l’écosystème des paiements. Elle part des usages clients, marqués par une exigence de mobilité, de transparence et par une capacité plus grande offerte aux banques, via l’utilisation du Big Data, à personnaliser les offres. Mais l’innovation concerne tout autant les pro-cessus opérationnels de gestion et les infrastructures de place, dans une logique de réduction des coûts unitaires de production via l’émergence de la robotisation et de l’intelligence artificielle. Et elle permet enfin de mieux maîtriser les enjeux sécuritaires dont l’acuité croît à la mesure de l’explosion des menaces de « cybercrime ».Face à toute cette effervescence, l’objectif doit clairement être double : développer des offres permettant de ren-forcer la satisfaction client en accompagnant ce dernier dans l’évolution de ses besoins, tout en garantissant un niveau d’efficacité industrielle et de maîtrise sécuritaire

impeccable. La sécurité et la création de valeur, aussi bien pour les acteurs bancaires que pour les clients, doivent donc être au cœur de la démarche d’innovation.Soutenus entre autres par les innovations technologiques autour du mobile, les acteurs bancaires sont d’ores et déjà en mesure de proposer à leurs clients de nouveaux services correspondant à leurs attentes en matière de mobilité, de sécurité, de temps réel et de reporting plus fin et personna-lisé. Tout ceci basé sur des outils et des systèmes à la fois plus sûrs, plus modulaires et plus efficients.Mais il est clair que le plein potentiel de ces techno-logies ne pourra être atteint que si l’on s’applique à développer, comme lors des précédentes ruptures tech-nologiques telles que l’introduction de la carte dans les années 1970 et 1980, une vision et une dynamique com-munes à l’ensemble des acteurs de l’écosystème des paiements : consommateurs, commerçants, banques, mais aussi infrastructures et réseaux tels que SWIFT. Et ce dans une logique de coopération et d’ouverture pou-vant s’ouvrir aux nouveaux acteurs, FinTechs ou autres, afin de combiner la maîtrise industrielle, réglementaire et sécuritaire des uns avec l’agilité des autres. La coopé-ration permet par ailleurs de servir le nécessaire effort de standardisation, afin d’éviter que l’innovation ne se transforme en fragmentation. Tout ceci s’organise enfin avec l’objectif constant de maintenir un modèle écono-mique suffisamment solide pour permettre de dégager les moyens financiers indispensables pour soutenir les investissements technologiques futurs.C’est dans cet esprit que les banques, les entreprises et leurs clients doivent aborder les grands sujets d’inno-vation déjà inscrits au calendrier de 2017 et des pro-chaines années, tels que le déploiement de l’offre GPI de SWIFT, l’introduction des paiements en temps réel ou, plus largement, l’introduction des technologies dites de blockchain ou distributed ledgers. Aujourd’hui plus que jamais, c’est l’émergence de cette intelligence collec-tive qui devrait permettre de développer une dynamique d’innovation durable et garante d’une satisfaction com-plète de nos clients. n

L’innovation,une affaire d’équipe


S O M M A I R E

6 P E R S P E C T I V E

« L’économie collaborative

trouve sa source dans une vision

californienne,exportée

vers le monde entier »*

I N T E R V I E W Monique Dagnaud, Directrice de recherche, CNRS, sociologue

8 P O R T R A I T D E P I E R R E B O I S S E L I E R

« Audacieux dans les idées,

prudent dans les choix »

Cécile Desjardins

10 TA B L E R O N D E U N I V E R S W I F T N E T

L’innovation dans la banque

d’entreprise aujourd’hui

Cécile Desjardins

14 L E P O I N T D E V U E D E L’AG R É G AT E U R

Linxo veut faciliter

l’ouverture des banques*

Bruno Van Haetsdaele, Linxo

18 É C O N O M I E C O L L A B O R AT I V E

La fin du cash management ?*

Hervé Postic, Utsit Groupe, Universwiftnet

22 S É C U R I S AT I O N D E S C O O R D O N N É E S F O U R N I S S E U R S

« Construire un produit

qui réponde à un réel besoin »

I N T E R V I E W Nathalie Salgado, Bouygues Telecom

cahier juridique *

Pierre Storrer, Kramer Levin Naftalis & Frankel LLP

24 D S P 2

Du droit de donner libre accès à son compte de paiement

33 DROIT DES MOYENS ET SERVICES DE PAIEMENT

Consultation Paper de l’ABE sur l’authentification et la communication

35 Abécédaire de la DSP 2

* Reprise de textes parus dans Revue Banque et Banque et Droit.

6 Revue Banque – numéro spécial UNIVERSWIFTNET – mars 2017

À l’heure où les banquessont confrontéesau développementdes FinTechs et autres start-up et cherchent à se convertirà l’économie collaborative,Monique Dagnaud, auteuredu « modèle californien »,resitue les origines dece mouvement et en identifi eles principaux ressorts.

interview

« L’économie collaborativetrouve sa source dans une vision californienne,exportée vers le mondeentier »

PERSPECTIVE

■■ D’où vient l’économie collabo-rative ? L’économie collaborative est un dérivé de l’histoire de l’Internet et d’une communication décentrali-sée d’individu à individu, rendue possible à l’origine grâce au déve-loppement des ordinateurs qui, de machines à calculer volumineuses, se sont transformés en ordinateurs personnels. Ce processus vers une communication décentralisée s’est noué dans les années 1970 dans les relations de l’armée américaine, qui

* Auteure de Le Modèle californien. Comment l’esprit collaboratif change le monde, Odile Jacob, 2016.

Monique Dagnaud*

a eu très tôt le projet d’améliorer les techniques de communication pour des fi nalités politiques et militaires, avec des laboratoires de recherche universitaires, notamment en Cali-fornie, mais aussi avec des hackers, des jeunes qui lançaient toutes sortes d’expérimentations. Ce mode de com-munication décentralisée est entré dans l’univers du business dans les années 1980-1990, pour devenir un mode de communication de masse à la fi n des années 1990 et au début des années 2000 avec l’arrivée d’Internet, la démocratisation des ordinateurs personnels et des messageries. Les smartphones et l’essor des réseaux sociaux, à partir des années 2000, amplifi ent aujourd’hui fortement ce mouvement. C’est ce processus que je décris dans mon livre pour montrer qu’au départ il s’agit d’un projet politico-culturel, qui s’est ancré dans des milieux à la fois d’entreprises et d’universités, dans les années 1970-1980 pour devenir dans les années 2000 un mode global d’organisation de la société. L’éco-nomie collaborative trouve ainsi sa source dans une vision californienne, née autour de San Francisco, expor-tée vers le monde entier y compris en

Europe, tout comme Venise a été au XIVe siècle le modèle du capitalisme à venir, structuré autour d’activités commerciales mondialisées.

■■ Sur quels critères se fonde l’éco-nomie collaborative ? Premier critère, l’économie collabo-rative se fonde sur des plates-formes qui permettent les mises en relations directes entre des producteurs de ser-vices et des consommateurs. Citons à ce sujet les expériences très impor-tantes de fi nancement collaboratif, à partir des années 2005. Celles-ci touchent un public large, notam-ment les nouvelles générations, avec de nombreux projets dans l’innova-tion sociale et culturelle. Elle repose aussi sur un principe important : une meilleure utilisation du capital existant (l’espace urbain, les biens immobiliers ou mobiliers). À cela s’ajoutent deux dimensions :

− la mise en commun et du partage : par exemple Wikipédia est la mise en commun de savoir et de connais-sances ; son statut est celui d’une fondation, qui vit de dons, donc une forme d’économie pas vraiment capitaliste. L’économie collaborative comprend une dimension de culture

SociologueDirectrice de rechercheCNRS

Cet article est extrait de Revue Banque n° 806 - mars 2017.

DROIT

72 Utilisation frauduleuse d’un instrument de paiement : la probatio diabolica ?Pierre Storrer, Kramer Levin Naftalis & Frankel LLP

TRANSITION ÉNERGÉTIQUE

58 Banques et territoires : quelles mesures post-COP 21 ?Arnaud Berger, BPCE

INTERVIEW

48 Faut-il réformer le traitement prudentiel de la dette souveraine ?Corso Bavagnoli, Chef du service du fi nancement, de l’économie, Direction générale du Trésor

N° 806 mars 201745 euros - ISSN 1772-6638

revue-banque.fr

22 DOSSIER

ÉLECTIONPRÉSIDENTIELLELes enjeux pour le secteur fi nancier22 Les propositions des candidats

28 Daniel Karyotis, Banque Populaire

Auvergne Rhône Alpes

38 Tania Sollogoub, Crédit Agricole


du partage, de ce que j’appelle la réciprocité créatrice, d’auto gestion, instigatrice de beaucoup de change-ments dans la société ;

− la transposition de cet état d’esprit collaboratif, intensifié grâce au numé-rique, dans le monde réel, avec une floraison d’espaces de travail, bap-tisés « hackerspaces », « makerspaces », espaces de co-working où se forment des nouveaux modes de collabora-tion autour de l’innovation, de la production et de l’échange de ser-vices et de la fabrication d’objets. Ces lieux nouveaux de bouillonne-ment techno-culturels, qui mettent en avant la création et l’innovation, remplacent, à leur manière, les tra-ditionnelles maisons de la jeunesse et de la culture et pourraient devenir un facteur d’intégration, notamment des jeunes défavorisés.Toutefois, le terme d’économie col-laborative est parfois contesté, car il peut recouvrir des finalités très dif-férentes : le principe initial d’une mise en relation d’un consommateur et d’un producteur de services est toujours le même, mais ce schéma relationnel peut ensuite déboucher sur des logiques qui peuvent être hypercapitalistes ou plutôt du type d’entraide. L’économie collaborative est au départ plutôt une économie de type solidaire, mais elle devient après la crise de 2008, au début des années 2010, un dérivé de l’économie capitaliste, avec de nouveaux modes de consommation et de production.

■■ Les grandes entreprises peuvent-elles s’adapter à ces nouveaux modes d’échange et de production ?Toutes les entreprises, marchandes ou non, sont obligées de tenir compte de l’évolution des modes de vie, de consommation, de l’état d’esprit qui irrigue les nouvelles générations. Aucune entreprise ne peut négli-ger cette dimension. Les grandes banques, par exemple, ne peuvent pas ignorer le développement des financements participatifs. Reste à

savoir comment s’adapter à ce mou-vement : les grandes entreprises ont ainsi développé un volet de sous-traitance ou de partenariat. Elles ne cherchent plus à tout gérer en interne, mais font appel ou s’asso-cient à des entreprises plus petites.Elles doivent aussi tenir compte des évolutions que suscite la culture numérique dans les rapports sociaux, marqués par un rejet de la hié-rarchie et des rigidités : les jeunes qui entrent dans l’entreprise ont bien sûr conscience de ce qu’elle peut leur apporter dans le savoir, l’expé-rience, la culture d’entreprise, mais ils considèrent que la réciproque est tout aussi vraie : ils vont lui appor-ter un certain état d’esprit, de l’in-novation et une autre façon de voir les choses. Ils se placent sur un plan égalitaire ; leur parole vaut autant que celle des membres de leur hié-rarchie. Les entreprises n’ignorent pas ce mouvement et essaient de le gérer en s’alliant avec des start-up, ou en embauchant des collabora-teurs qui ont une expérience de ce mode de fonctionnement.

■■ Cette économie collaborative est-elle perçue partout de la même façon ?Il peut y avoir des différences, entre les générations nouvelles, qui sont nées et rentrées dans le savoir et l’information via cette culture, et les anciennes générations, qui ont moins d’automatismes cogni-tifs. Mais j’ai pu remarquer dans mes enquêtes ou lors des confé-rences menées en entreprise, que ces anciennes générations mani-festent le plus souvent une curio-sité bienveillante vis-à-vis de cette nouvelle culture et cherchent par différents moyens de s’y adapter. Bien sûr, une certaine fraction de la population échappe à cette culture, en raison de l’âge, ou parce que ces personnes sont très éloignées du monde du travail, mais c’est aujourd’hui une minorité.

Cela étant, cette économie collabora-tive bénéfice aujourd’hui beaucoup à l’économie américaine, car elle est en phase avec un modèle culturel libé-ral d’entrepreneurs, de valorisation d’entreprises, d’un État plus facilita-teur qu’interventionniste, de valeurs libertaires que l’on retrouve en par-ticulier en Californie. En revanche, à l’exception de l’Angleterre, les socié-tés européennes sont historiquement acculturées à l’action d’un État cen-tralisateur et organisateur, aux lois, qui jouent un rôle important dans la redistribution et l’éducation.

■■ Ce nouveau mode collaboratif explique-t-il aussi la méfiance vis-à-vis du fonctionnement tradition-nel du monde politique ?La première raison de cette méfiance n’a rien à avoir avec la communi-cation par Internet : c’est le senti-ment d’impuissance, l’épuisement démocratique. Les politiques sont à la traîne de l’évolution des sociétés ; ils ont été incapables de réduire les fortes inégalités sociales générées par le capitalisme numérique, d’éle-ver le niveau éducatif pour tout le monde et donc le monde se sépare aujourd’hui entre ceux qui ont un très bon niveau d’éducation et ceux qui en sont démunis. Mais il est vrai aussi que dans ce contexte, le relais des réseaux sociaux constitue des mécanismes de communication, de diffusion de l’information qui inter-viennent beaucoup dans la formation des opinions, notamment auprès des jeunes, et qu’ils constituent un exu-toire pour les sentiments populistes ou d’indignation. Le monde d’Inter-net et des réseaux sociaux laisse une part beaucoup plus large à l’émotion et aux pulsions qu’au raisonnement, qui est l’apanage de l’éducation, de la presse et d’une partie des grands médias. Cela transforme énormé-ment la sphère de la communica-tion et pèse sur les représentations et préférences politiques. n

Propos recueillis par E. C.


C’est un peu par hasard que

Pierre Boisselier s’est orienté

vers la trésorerie après son

école de commerce. « J’ai

d’abord pensé à la banque d’entreprise

classique, mais j’ai découvert la trésorerie

au sein d’une filiale de la Société Générale

qui, en réalité, n’était pas du tout ban-

caire : nous faisions du trading de pro-

duits pétroliers ! », se souvient-il. Passé

depuis lors au sein de groupes aussi

variés que Arcelor, Ipsen ou Publi-

cis, Pierre Boisselier aime dans sa

matière « la diversité des sujets et les

nombreux échanges, à l’intérieur et à l’ex-

térieur de l’entreprise »… Aujourd’hui

responsable de l’ensemble des sujets

de trésorerie et de credit management

du groupe hôtelier Accor (6 milliards

d’euros de chiffre d’affaires et entre

12 et 14 milliards d’euros de flux par

an), Pierre Boisselier a constaté une

véritable évolution de la fonction de

trésorerie au cours des 20 dernières

Le responsable de la trésorerie,

des financements et du credit management

d’Accor se doit de soutenir la stratégie

du groupe hôtelier en proposant aux clients

des solutions de paiement pertinentes.

PORTRAIT DE PIERRE BOISSELIER

« Audacieux dans les idées, prudent dans les choix »

années et, en particulier, depuis la

crise de 2008. « L’accès aux financements

est devenu plus difficile pour beaucoup

d’entreprises. Pas pour celles qui, comme

Accor, sont cotées et notées, mais pour les

plus petites structures – mid cap ou PME. »

Accor, comme la plupart des grands

groupes, s’est de fait tourné vers des

financements désintermédiés : « Nous

nous finançons désormais essentiellement

sur les marchés obligataires. Toutefois,

nous ne nous privons pas du financement

bancaire qui peut constituer une liquidité

additionnelle ou transitoire intéressante »,

explique le trésorier d’Accor.

Mais le principal changement est que

les trésoriers sont aujourd’hui atten-

dus sur des sujets stratégiques. « Nous

sommes en train de passer d’un métier

d’expertise à un rôle de partenaire dans

l’entreprise. Nous sommes non seulement

les garants financiers de la réalisation de la

stratégie, mais nous devons aussi réfléchir

aux meilleures solutions d’accompagne-

ment de cette dernière, notamment vers le

digital. Dans le cas d’Accor, nous étudions

les solutions de paiement qui répondent le

mieux aux attentes de nos clients, et, sous

la pression des plus jeunes, à de nouvelles

options comme les e-wallet, Paypal, ou

équivalent. Il nous faut être en veille, voire

être moteurs sur ces sujets, car ce sont des

éléments de différenciation concurrentielle. »

UN ARBITRAGE DIFFICILE

Une démarche d’innovation qui

n’est pas toujours simple à mettre

en œuvre. « Je souhaiterais que mes

partenaires bancaires soient plus actifs

dans leur offre de solutions. Force est de

constater que les institutions financières

traditionnelles ne sont pas les plus agiles

dans le domaine des paiements », déplore

Pierre Boisselier. Mais de là à se jeter

dans les bras des FinTechs… « Il faut

se méfier des mots-valises : aujourd’hui,

on met beaucoup de choses derrière le mot

“Fintech”, mais il ne suffit pas d’avoir

une barbe et d’écrire trois lignes de code

pour apporter quelque chose ! », ironise

Pierre Boisselier, qui préfère analyser

le marché de façon beaucoup plus

large : « Il faut considérer l’ensemble des

acteurs technologiques non traditionnels.

Les grands opérateurs de téléphonie se

révèlent par exemple très disruptifs actuel-

lement : ils sont clairement en train de per-

turber les précarrés du monde bancaire. »

Mais reste l’enjeu majeur de la sécurité :

« Il nous faut arbitrer entre la crédibilité et

l’agilité de nos partenaires : le trésorier est

avant tout le garant de la sécurité en matière

de gestion des paiements et de contrôle des

risques », rappelle Pierre Boisselier.

Au quotidien, cela signifie « choisir

avec attention les partenaires avec lesquels

l’entreprise construit ses solutions… Nous

sommes dans une injonction paradoxale

qui nous contraint à être audacieux dans les

idées et prudent dans la sélection. » La solu-

tion ? Elle réside aussi dans l’attitude.

« Il faut être ouvert d’esprit et aller explo-

rer des territoires un peu iconoclastes. C’est

souvent grâce à la confrontation d’univers

assez différents qu’on fait naître des choses

nouvelles et qu’on apporte des solutions

pertinentes. » Une logique qui a aussi

conduit le trésorier d’Accor à élargir

ses profils de recrutement : « Pour

apporter un éclairage différent, il faut recru-

ter des talents et des profils multiples, issus

de parcours professionnels comme person-

nels diversifiés, de formations académiques

ou d’environnements industriels variés. Il

faut aujourd’hui construire des ponts entre

marketing, connaissance client, Big Data

et paiements pour apporter des services et

des solutions pertinentes à nos clients. » n

Portrait réalisé par

Cécile Desjardins.

La banque d’un monde qui change

DANS UN MONDE QUI CHANGE,

VOTRE CASH MANAGEMENT SE LIBÈRE DES FUSEAUX HORAIRES.

SOLUTIONS CASH MANAGEMENT* INTERCONNECTÉESNotre expertise, globale et locale, est déjà au service de plus de 40 000 entreprises dans le monde. Pour elles, comme pour vous demain, nous proposons la vision d’une gestion intégrée de l’ensemble des lux de trésorerie.

cashmanagement.bnpparibas.com

*Cash Management : gestion de trésorerie.BNP Paribas, SA au capital de 2 492 372 484 € - Siège social : 16 bd des Italiens, 75009 Paris - Immatriculée sous le n° 662 042 449 RCS Paris - Identifiant CE FR76662042449 - ORIAS n° 07022735.

10

Bruno Mellado (Head of Interna-tional Payments and Collections chez BNP Paribas Cash Mana-gement), Alexandra Lecompte

(présidente du Digital Council de GTB en Asie, pour Deutsche Bank), Ivar Wiersma (Head of Innovation Wholesale Banking d’ING) et Christophe Van Cauwenberghe (responsable Innova-tion paiements de Société Générale) nous ont expliqué ce qu’ils entendaient par « innovation », comment ils s’or-ganisaient concrètement pour favori-ser les démarches innovantes au sein de leurs établissements respectifs, en intégrant éventuellement clients, four-

Alors que toutes les banques ne jurent actuellementque par l’innovation, les nouveaux produits, la digitalisation et le collaboratif, nous avons demandé à quatre grands établissements de nous parler, très concrètement,de leur démarche d’innovation.

TABLE RONDE UNIVERSWIFTNET

L’innovation dans la banque d’entreprise aujourd’hui

nisseurs ou nouveaux acteurs. Enfin, ils se sont confiés sur les éventuelles difficultés qu’ils pouvaient rencontrer sur la route de l’innovation…

■■ Qu’est-ce que l’innovation ?Christophe Van Cauwenberghe (SG) : L’innovation est avant tout un état d’esprit, marqué par une volonté continue de rechercher d’autres façons de faire et de recueillir des points de vue pas toujours conventionnels, pour construire des produits qui sauront marquer par leur différence.Alexandra Lecompte (DB) : C’est aussi le moteur de la croissance et

de la compétitivité : les économistes estiment que 80 % des composants de croissance sont dus aux idées nou-velles et à l’innovation. Avec l’émer-gence de nouvelles technologies, l’innovation numérique est devenue un enjeu majeur pour les banques.Bruno Mellado (BNPP) : En effet, les établissements gagnants seront ceux qui adopteront un état d’esprit colla-boratif et insuffleront le co-dévelop-pement avec des clients pour dégager de la valeur. Il s’agit d’un processus continu.Ivar Wiersma (ING) : Les innovations significatives ont un impact sur le mar-

Bruno MelladoHead of International Payments and Collections

BNP Paribas Cash Management

Ivar WiersmaHead of Innovation Wholesale Banking

ING

Christophe Van CauwenbergheResponsable Innovation paiements

Société Générale

Alexandra LecomptePrésidente du Digital Council

GTB en Asie pour Deutsche Bank

Revue Banque – numéro spécial UNIVERSWIFTNET – mars 2017

Table ronde réaliséeet rédigée par

Cécile Desjardins.


ché. Avoir la bonne idée ne suffit pas : il faut l’accompagner, la pousser intel-ligemment pour garantir son succès. C’est ainsi que l’on créera une inno-vation qui réponde entièrement aux nouveaux besoins des clients.

■■ L’innovation est-elle importante pour votre maison ?ING : L’innovation est l’un de nos objectifs principaux chez ING. Nous nous sommes fixé comme mission de « permettre à nos clients de garder une longueur d’avance dans leur vie personnelle et professionnelle ». Dans un monde où tout change à un rythme effréné, pour rester dans la course, il faut augmen-ter le rythme d’innovation. Nous vou-lons qu’elle soit la clé de voûte d’ING, pour capitaliser sur les opportunités et parer les menaces potentielles. En pratique, cela nous conduit à transfor-mer notre banque commerciale, ING Wholesale Banking, en une entreprise disruptive et à multiplier les innova-tions qui bousculent le marché.DB : Pour nous, l’innovation est plus qu’un objectif : elle est constamment au cœur de notre métier. Il y a de nom-breuses années, Deutsche Bank avait lancé le concept d’applications ban-caires « Apps » sur une Place de marché appelée Autobahn. Mais l’innovation passe également par l’intégration de services bancaires de plusieurs sources, comme notre plate-forme multi-devises de paiements et d’encaissements appe-lée FX4Cash, qui combine les services de flux avec les besoins de change.BNPP : En tant que prestataires de services, il nous incombe de nous poser en permanence la question suivante : « mon offre de produits convient-elle à mon client ? ». Chaque membre de l’organisation suit donc un même objectif clair : trouver des solutions de croissance et d’effica-cité pour nos clients, tout en offrant davantage de contrôle, de transpa-rence et de simplicité.

■■ Quels sont les objectifs de votre démarche d’innovation ?

SG : Notre démarche d’innovation s’inscrit dans la stratégie du groupe Société Générale pour accompagner l’ambition d’être une banque de réfé-rence sur ses marchés, améliorer toujours plus la satisfaction de ses clients et capter les opportunités de croissance.DB : L’innovation numérique per-mettra notamment une utilisation plus efficace et efficiente de la tech-nologie existante, pour une meilleure expérience client, la réduction des complexités opérationnelles et de procédures internes, en vue d’éco-nomiser des coûts nets et d’offrir des services plus compétitifs à nos clients ou encore l’émergence de nouveaux services et de nouvelles compétences.ING : En parallèle des innovations prioritaires décidées par ING ou imposées par le marché, nous allons au contact de nos clients et explorons avec eux de nouvelles possibilités pour imaginer le monde de demain.

■■ Quels sont vos principaux axes d’innovation ?SG : L’innovation ne se conçoit qu’à travers des objectifs d’amélioration des produits, des métiers et du service client. Bien entendu, l’intelligence artificielle, les clouds, la blockchain sont les centres d’intérêt du moment, mais l’approche en matière d’innovation doit être pragmatique et basée sur la plus grande ouverture d’esprit pos-sible. C’est principalement la techno-logie et l’environnement concurrentiel qui permettent d’orienter les antennes là où le potentiel de disruption est le plus important, afin d’y consacrer les moyens de manière optimale.BNPP : Très concrètement, nous étu-dions des modèles d’affaires complé-tement nouveaux qui, au fil du temps, remplaceront les modèles tradition-nels. Ainsi, nous avons choisi de mettre en place un nombre grandis-sant de places de marché virtuelles. L’initiative SWIFT sur les paiements internationaux (GPI) pourrait elle aussi changer la donne et nous nous

sommes pleinement investis. La réa-lisation de paiements plus rapides et plus prévisibles est aussi la solu-tion innovante recherchée par notre pilote sur la technologie blockchain, « Cash without Borders », qui exécute en quelques secondes le règlement et la compensation de paiements intragroupe entre des comptes dans plusieurs pays. Une entreprise simi-laire commence pour les paiements instantanés en euros.DB : Nous sommes très engagés dans la transformation numérique de l’in-dustrie bancaire. Nous participons activement à de nombreux forums et conférences, dans des consortiums et dans des projets autour de la block-chain ou de la Distributed Ledger Tech-nology (DLT), une technologie qui va – et doit ! – évoluer en engendrant de nouvelles opportunités. Notre secteur clé de recherche est son application aux marchés de titres les moins digi-talisés, en portant une attention par-ticulière sur les smart contracts. Nous travaillons aussi sur des concepts digitaux relativement nouveaux tels que le digital cash. Dans ce contexte, nous nous intéressons tout particu-lièrement à ce que cela pourrait signi-fier pour la partie paiement, lors du règlement de titres, mais également au futur des transferts multi-devises.

■■ Comment vos collaborateurs per-çoivent-ils l’innovation ?SG : L’innovation est une des quatre valeurs de notre groupe. Elle est valo-risée par des trophées, challenges et hackathons, et animée par des com-munautés très actives. Tout est fait pour permettre aux collaborateurs, en particulier les chefs de produits, de prendre en compte la dimension innovation dans leur quotidien, ce qui signifie d’y consacrer régulière-ment du temps à mesure des enjeux qui concernent leurs produits.DB : L’innovation doit être l’ADN des collaborateurs, à tous les niveaux de responsabilités et dans toutes les divisions. La formation continue de


nos collaborateurs, notre gestion des ressources humaines et notre approche du recrutement de nou-veaux talents intègrent cette dimen-sion. Nous développons par exemple de nouvelles compétences au sein de la banque (cours de codage informa-tique pour les Business Managers) et nous formons de plus en plus nos équipes au « Design thinking » et au « Creative thinking », pour que penser innovation soit un réflexe pour tous.

■■ Comment avez-vous concrète-ment organisé votre démarche d’in-novation ?ING : Nos collaborateurs sont constam-ment invités à innover. Par exemple, nous avons lancé au niveau global l’« Innovation Bootcamp », un concours permettant aux collaborateurs ayant une idée innovante de la mettre en pratique et d’obtenir le soutien dont ils ont besoin pour la développer. Mais nous travaillons aussi avec des incubateurs locaux, pour accélérer le rythme de validation et d’implémentation des nouvelles idées.SG : Nous nous sommes organisés en réseau ouvert avec d’autres lignes métiers, des start-up, des cellules innovations un peu partout dans le Groupe afin de conserver un maxi-mum d’agilité : il faut savoir accep-ter un niveau raisonnable de désordre avec une bonne circulation d’infor-mation pour laisser de l’autonomie et de la souplesse.DB : Nous avons mis en place au sein du département GTB (Global Transaction Banking) des structures et des équipes dédiées à l’innovation, à commencer par un Chief Digital Offi-cer. Depuis 2014, nous avons aussi lancé quatre « Deutsche Bank Labs » pour aider à stimuler l’innovation et le changement en vue d’une crois-sance future. Ces « Labs » réunissent start-up, investisseurs, chercheurs, clients et employés, afin d’identifier les besoins des consommateurs et ainsi faciliter le déploiement rapide des solutions… Par ailleurs, nous

avons récemment organisé des « Hac-kathons » à Berlin, suivis et opérés en live par les employés de Deutsche Bank pendant 48 heures. L’objectif était de développer des logiciels innovants et de faire germer des idées pour le futur.BNPP : Nous avons nous aussi organisé en janvier 2016 deux jours de Bizhac-kathon sur la technologie blockchain dans le cadre des activités de transaction banking. Soixante-dix participants, y compris des FinTechs, des entreprises clientes, des consultants et nos propres équipes se sont réunis pour revoir et améliorer l’expérience client. L’offre potentielle, colossale, que renferme la blockchain en termes d’amélioration de l’efficacité est bien documentée ; le défi consiste à identifier des applica-tions utilisables à un niveau collectif pour convertir ce potentiel en valeur. Notre Bizhackathon a débouché sur cinq idées concrètes qui, grâce à nos investissements, se sont transfor-mées en projets réels, tous autour de la blockchain.

■■ Comment identifier les attentes et les besoins de vos clients ?SG : Nous sommes constamment à l’écoute du marché, à travers des panels et des enquêtes, mais aussi des « irritant clients » remontés par tous les canaux de communication et les réseaux sociaux. C’est d’ailleurs pour répondre à des préoccupations sur la sécurité des moyens de paiement que nous avons mis en place la carte bancaire à cryptogramme dynamique ainsi que la validation des opérations sur mobile, pour les professionnels et les entreprises.BNPP : Notre équipe de conseillers en gestion de trésorerie et nos équipes produits nourrissent des liens étroits avec les clients : c’est dans le cadre d’un dialogue ouvert que les tréso-riers formulent leurs désirs, souhaits ou idées. Par ailleurs, la multitude des données permet à nos conseillers de créer des outils de « diagnostic client » et de comparaison sur la performance de la gestion de trésorerie, outils qui

permettent à nos clients de réfléchir avec nous sur la manière de nous améliorer. Les conversations avec les clients débouchent souvent sur un dialogue vertueux donnant lieu aux meilleures innovations.DB : Nos clients ont toujours été impli-qués dans le développement de nos services et nos produits. Nous avons mis en place des sessions de travail plus spécialisées (ateliers, tables rondes, etc.) afin d’avoir une remontée régulière de leurs besoins. Alors qu’auparavant c’était nous qui mettions en avant la digitalisation, l’impulsion vient désor-mais des clients, qui nous approchent pour déterminer comment ils peuvent être impliqués, explorer les tendances de digitalisation et ainsi transformer leur business. La relation banque-client est transformée : l’approche est davantage celle d’un partenariat. L’agilité alliée à l’innovation permet ainsi de se focaliser sur les besoins du client en le mettant au cœur de nos développements.ING : Nous sommes toujours au contact de nos clients et à l’écoute de leurs besoins. Nous utilisons notre propre manière de travailler en combi-nant méthode Agile et design thinking. Nous nous inspirons de l’esprit des start-up, pour construire et apprendre main dans la main avec le client, qui reste au cœur de tout ce que nous entreprenons.

■■ Votre approche « collaborative » est-elle parfois plus large ?BNPP : Le co-développement est le véritable moteur de l’innovation : il permet d’intégrer la contribution d’un écosystème au sens large dans les modèles d’affaires applicables qui généreront de nouveaux flux de valeurs. Nous avons lancé plusieurs initiatives qui illustrent cette nouvelle approche collaborative, notamment dans l’e-commerce où nous soute-nons des modèles sûrs et efficaces qui se traduisent par une expérience client de grande qualité et, au final, par la croissance.


SG : Il est clair qu’une approche inno-vante doit, le plus possible, associer l’écosystème – les clients, les parte-naires et les compétiteurs, lorsque la « coopétition » est plus efficace que de rester tout seul. C’est ainsi qu’est né Paylib, fruit d’une véritable col-laboration interbancaire.DB : Notre stratégie est de nous enga-ger clairement avec certains groupes de projets et avec des consortiums. Nous favorisons les collaborations entre compétiteurs, mais également avec les FinTechs et, bien sûr, avec nos clients. Cet écosystème ne réa-lisera une véritable transformation numérique que s’il est réellement collaboratif, avec le régulateur au cœur des discussions pour conti-nuer à répondre aux attentes de nos clients. Une approche en silo dans notre monde connecté n’a aucun sens. Toutefois, il est naturellement important de continuer à travailler en interne. Il est primordial d’iden-tifier les questions relatives au busi-ness model qui valent la peine d’être résolues, et d’évaluer les moyens nécessaires à l’entreprise pour inté-grer concrètement cela au sein de son organisation.

■■ Vous appuyez-vous sur des Fin-Techs ?BNPP : Les FinTechs ont souvent de bonnes idées qui concernent un maillon précis de la chaîne de valeur, mais elles ne savent pas comment ancrer cette idée dans toute la pro-cédure de bout en bout pour rendre ces innovations opérationnelles et les traduire en proposition de valeur : c’est grâce au réseau commercial d’une grande banque comme BNPP qu’elles peuvent maximiser l’accès et diminuer leur coût d’acquisition client… Lorsqu’une Fintech offre une solution qui accroît l’efficacité de notre chaîne de valeur ou offre une expérience client extraordinaire, nous l’étudions, la mettons à l’épreuve et nous nous engageons dans une mise en œuvre pratique pour les deux par-

ties. Nos niveaux de co-développe-ment avec les FinTechs vont des études communes aux offres de produits complètes, en passant par des vali-dations de principe.SG : Les FinTechs peuvent être à la fois nos clients et nos fournisseurs. Nous privilégions plutôt des partenariats avec investissement afin d’accom-pagner les start-up dont le potentiel paraît le plus intéressant. Mais il y a aussi un champ possible pour des partenariats « gagnant-gagnant », ménageant l’autonomie des FinTechs en leur apportant des débouchés tout en améliorant plus rapidement les offres des banques.ING : Nous collaborons intensément avec les FinTechs, et comptons actuel-lement plus de 70 partenariats avec différentes FinTechs, que nous soyons entrés dans le capital ou que nous achetions leurs solutions.DB : Nous collaborons quand c’est nécessaire avec les partenaires de l’industrie afin d’explorer le poten-tiel des nouveaux concepts numé-riques. Les « Deutsche Bank Labs » ont notamment établi des partenariats avec la communauté FinTech. Dans certains pays, la collaboration entre les FinTechs et les banques est favo-risée par le régulateur local. C’est un environnement très enrichissant pour explorer et innover.

■■ Quels sont les principaux freins ?SG : Il y a d’abord une certaine iner-tie des métiers, qui défendent leurs modèles économiques et la charge du quotidien. Ensuite, les fonctions Conformité et Juridique ont des grilles d’analyse tenant encore peu compte de la proportionnalité des risques. Enfin, il reste difficile d’arrimer rapi-dement des solutions légères à des systèmes d’information peu agiles, très sécurisés, dont l’ouverture vers l’extérieur reste très limitée pour maintenir un haut niveau de fiabilité et de sécurité. Le challenge est donc de combiner innovation avec robus-tesse, fiabilité et sécurité.

BNPP : Nous devons tenir compte des barrières et mécanismes de vali-dation qui sont au cœur de notre industrie, d’autant que ce sont eux qui permettent à un établissement financier de conserver son rôle de gardien de l’intégrité des solutions proposées. Le véritable frein serait de ne pas suffisamment vérifier une idée au cours des phases amont : cela peut ultérieurement faire échouer le processus, car sa viabilité n’aurait pas été mise en cause de manière fondamentale.

■■ La sécurité n’est-elle pas un fac-teur limitant ?DB : Non, absolument pas. La sécu-rité est bien sûr une composante clé de nos services et de nos systèmes. Outre les investissements permanents réalisés en termes de cybersécurité, Deutsche Bank est extrêmement active dans la collaboration entre acteurs (et compétiteurs) et fournit une information continue auprès de ses clients.SG : La sécurité fait partie inté-grante du métier financier. Le client recherche la simplicité mais sera en première ligne comme victime d’une faille de sécurité. C’est même un sujet d’innovation où de nom-breuses FinTechs imaginent des solutions alliant des parcours de sécurité simples avec des analyses très sophistiquées de comporte-ments, utilisant par exemple de l’in-telligence artificielle pour s’assurer que l’utilisateur est bien celui qu’il prétend être.

■■ Disposez-vous des moyens finan-ciers nécessaires ?DB : L’innovation est l’un de nos axes stratégiques majeurs et les inves-tissements réalisés ces dernières années illustrent parfaitement cette orientation.SG : La contrainte de ressource est indispensable pour rester imagina-tifs et transformer efficacement les expérimentations dans les produits. n


La DSP 2 s’apprête à donner un statut offi ciel à des acteursnouveaux sur le marché :les agrégateurs de comptes.Ils fournissent à leurs clientsune vue de l’ensembledes comptes de paiementet d’épargne qu’ils possèdent.Service à faible valeur ajoutée,l’agrégation est néanmoinsun point d’entrée stratégiquepour la relation clientde demain. Les explicationsde l’un des acteurs français,Linxo.

Bruno Van Haetsdaele

Président et co-fondateur

Linxo

interview

Linxo veut faciliter l’ouverture des banques

LE POINT DE VUE DE L’AGRÉGATEUR

■■ Outre votre offre d’agrégation de comptes distribuée sous la marque Linxo, vous avez développé une offre BtoB à destination de banques. Comment fonctionne-t-elle ? Nous avons effectivement décidé de mettre en œuvre la mission que nous nous sommes fi xée – aider les particuliers et les professionnels à gérer leur argent pour mieux réaliser leurs projets – à travers deux canaux : en direct avec la marque Linxo et via une offre BtoBtoC[1] . Cette dernière a débuté en 2012 par un partenariat avec Fortuneo[2] à qui nous offrons

[1] Business-to-Business-to-Consumer.[2] Crédit Mutuel Arkea est actionnaire de Linxo

l’ensemble de nos services (applica-tion mobile, serveurs, algorithmes de catégorisation des dépenses et agré-gation de comptes) sous la marque Fortuneo Budget. Nous avons aussi travaillé avec Boursorama jusqu’à ce qu’elle rachète Fiduceo[3] . Nous fournissons aussi notre service à BforBank[4] , via nos API de gestion de budget (hors agrégation) et notre serveur installé directement dans leur système d’information. En 2016, nous avons lancé en marque blanche, pour la MAIF, le service Nestor. Enfi n, nous

depuis mars 2012.[3] Autre FinTech dédiée à l’agrégation de comptes.[4] Crédit Agricole est actionnaire de Linxo depuis décembre 2015.

travaillons avec HSBC sur leur service Personal Economy, en étant intégrés à leur système d’authentifi cation limi-tée en développant des modules spé-cifi ques. Nous avons donc un socle technologique fort tout en pouvant faire du sur-mesure.

■■ Comment s’articule la notion d’API ouverte dans votre modèle ? Pour l’instant, elle concerne unique-ment notre offre sous marque Linxo, mais pourrait très bien être propo-sée dans le futur à nos partenaires BtoB. Il s’agit de valoriser l’accès aux données bancaires que Linxo agrège en les rendant accessibles à des par-tenaires FinTech, et ce via une API

Cet article est extrait de Revue Banque n° 805, février 2017.

N° 805 février 201745 euros - ISSN 1772-6638

revue-banque.fr

20 DOSSIER

OPEN BANKLe jeu des services fi nanciers modulaires26 Emmanuel MéthivierDélégué général, CA Store

32 Sophie Guibaud Vice président European Expansion, Fidor

29 Bruno Van Haetsdaele Président et co-fondateurLinxo

SUPERVISION

93 La revue des modèles internes par la BCE : une illustration sur les modèles de risque de marchéMarie-Hélène Fortésa, EY, Adicef et Olivier Daumont, EY

RESSOURCES HUMAINES

80 Les écueils de la composition d’une équipe de Data ScientistsPierre Ménard, Dataiku


ouverte[5]. Trois partenariats ont ainsi été noués jusqu’à présent :

− Grisbee, qui propose une ana-lyse patrimoniale automatisée et des recommandations en matière de placements et de fiscalité : les clients Linxo qui souhaitent utili-ser ce service peuvent le faire en se connectant via leur compte Linxo et faire remonter automatiquement les informations liées aux comptes qu’ils ont synchronisés sur notre plate-forme ;

− Birdycent, qui permet d’arron-dir ses dépenses à l’euro supérieur pour épargner sur une cagnotte en ligne : les clients Linxo se connectent directement et font automatique-ment remonter leurs transactions à Birdycent ;

− OneUp pour les professionnels, qui fournit un ERP et un logiciel de comptabilité en mode SaaS : grâce à l’API de Linxo, les flux bancaires sont automatiquement intégrés dans le système de comptabilité.

■■ Symétriquement, collectez-vous les données des comptes des clients Linxo par l’intermédiaire d’API ban-caires ?Très peu de banques disposent d’API ouvertes : à ce jour, on peut unique-ment citer Axa Banque et CA Store. Nous avons utilisé les premières pendant un temps, mais elles n’ex-

[5] Baptisée Linxo Connect, disponible sur une marketplace dédiée à la finance, Linxo Market.

PERSPECTIVE

Services aux entreprises

n Les offres d’agrégateur n’intéressent pas uniquement les particuliers. Ainsi, précise Bruno Van Haetsdaele, « 10 % des utilisateurs Linxo ont ajouté des comptes d’entreprises dans leurs espaces Linxo alors même que nous n’avons pas d’offre dédiée pour la clientèle d’entreprise ! Ce sont plutôt aujourd’hui des petites entreprises et professionnels qui plébiscitent Linxo pour garder un œil sur leurs comptes, la facilité d’accès, les alertes et notifications. Certains ont personnalisé leurs catégories pour recréer un plan comptable simplifié ou pour mieux suivre leurs principaux clients ou fournisseurs. Certains utilisent Linxo pour regrouper les informations pour les réexporter plus facile-ment vers leur logiciel de comptabilité. »Face à cette demande, « nous essayons de comprendre au mieux comment nous pouvons répondre aux tracas du chef d’entreprise, comment nous pouvons l’aider à gagner du temps. Il y a beaucoup de temps, d’efficacité et de sécurité à gagner dans la gestion de la relation avec le comptable, le paiement des fournisseurs et des salariés. L’initiation de paiement va aussi ouvrir des perspectives très intéressantes pour la cible entreprise. Nous pensons également que les partenariats seront clés pour structurer notre offre et la distribuer. »

posaient pas toutes les données dont nous avions besoin et le système manquait de stabilité. Les API du CA Store n’ont pas été conçues à l’ori-gine pour l’agrégation de comptes donc à ce jour, nous ne les utilisons pas. Ceci pourrait changer.

■■ Vous avez donc recours au « web scraping »…Nous utilisons les espaces web des banques auxquels nous accédons en entrant les identifiants et mots de passe que les utilisateurs stockent, de manière hautement chiffrée, chez nous. Ceux-ci sont conservés dans plusieurs modules très sécurisés au sein de différents coffres-forts numériques auxquels nos salariés n’ont pas accès. Grâce à la DSP 2 et la mise en place d’API ouvertes, on verra peut-être émerger un système de jetons d’accès qui remplaceraient la transmission des identifiants et mots de passe. C’est ainsi que fonc-tionne déjà notre propre API proposée à nos partenaires FinTechs : ils n’ont ainsi jamais accès aux identifiants bancaires des clients.

■■ Faudrait-il que toutes les données soient accessibles sous forme d’API ?C’est le sens de l’histoire. Il est inté-ressant pour l’utilisateur de pouvoir agréger ses données en un même endroit grâce à des API puis de les exposer à des applications parte-naires, là aussi via une API. En matière d’utilisation des données financières

d’une personne, aucune entreprise n’aura le monopole des idées et de la valeur créée. Les banques qui com-prendront que leurs clients multiban-carisés ne veulent pas d’outils trop « maison » toucheront les meilleurs dividendes de ce que permet la DSP2. Nous pouvons jouer le rôle de faci-litateur de cette ouverture.

■■ Diriez-vous que les API vont vous permettre de gagner en sécurité et en souplesse ?Notre méthode actuelle est très sécu-risée, mais nous gagnerons en pro-ductivité si nous pouvons travailler


ZOOM

Agrégateurs et initiateurs : vainqueurs ou vaincus ?

n De prime abord, les nouveaux tiers de paiement – agréga-teurs de comptes, comme Linxo, Bankin ou Budget Insight, et initiateurs, comme l’allemand Sofort – apparaissent comme les principaux bénéficiaires de la DSP 2 qui leur offre un statut officiel et légalise la perte du monopole des banques sur les données des comptes. Les agrégateurs, doublés d’une activité d’initiation de paiement comme l’envisage Linxo et le testent déjà Budget Insight et Bankin[1], seraient en première ligne pour devenir les plates-formes de services financiers qui naî-tront de l’open banking.Pourtant, pour ces acteurs, c’est aussi une brutale ouverture à la concurrence. Dès l’entrée en vigueur de la DSP 2, et surtout dès que les banques auront développé des API ouvertes, l’ensemble des acteurs financiers a minima agréés « AISP » pourront offrir le même service sans mener de fastidieux développements banque par banque. Parmi ces bénéfi-ciaires potentiels, les établissements de crédit eux-mêmes. Que Société Générale ou Crédit Agricole agrègent pour leurs clients les comptes détenus chez Banque Populaire ou BNP Paribas et initient des virements de compte à compte : c’est aussi ce que pourrait permettre l’open banking. Les agréga-teurs, dont la valeur ajoutée actuelle, sur la simple compilation de données bancaires, est limitée, sont les premiers menacés par le réveil des banques traditionnelles. S.L.

[1] Comme annoncé à l’occasion d’une levée de fonds de la FinTech le 10 janvier 2017.

avec les banques via des interfaces bien définies. C’est ce à quoi doivent aboutir les travaux de l’EBA sur les standards techniques de la DSP2.

■■ Que pensez-vous des propositions de la consultation sur le RTS dédié aux questions d’authentification et de communication[6] ?Elles sont améliorables si l’on veut créer un cadre moderne qui puisse durer dans le temps. Il est ainsi envi-sagé de demander une authentifica-tion forte non seulement à la première utilisation de l’agrégateur – ce qui est souhaitable – mais aussi tous les trente jours – alors qu’il existe des solutions techniques autres pour obtenir plus de sécurité sans imposer une telle contrainte à l’utilisateur. Il serait également question de limiter

[6] Regulatory Technical Standard on Strong Authentication & Secure Communication, Discussion Paper de l’EBA publié le 8 décembre 2015.

le nombre d’accès de l’agrégateur au système bancaire.

■■ À travers le web scraping, accé-dez-vous autant de fois que vous le voulez aux comptes des clients ?En théorie oui. Cela a certes un coût pour la banque, mais aussi pour l’agrégateur. Il y a donc un équilibre à trouver, l’idée étant de ne pas créer de charge non justifiée d’un côté ou de l’autre. Nous échangeons sur ce sujet avec certaines banques, afin par exemple de nous connecter à des heures creuses. Cela contribue d’ail-leurs à lisser leurs pics de connexion : par exemple, si nous synchronisons à 5 heures du matin les comptes des clients, nous pouvons décharger les banques d’un pic de connexion à 9 heures, car nos clients vérifient leurs comptes auprès de nous plu-tôt qu’auprès de leurs banques. Les bonnes solutions se trouvent dans des échanges constructifs que l’on peut avoir avec les établissements.

■■ Comment transmettez-vous vos propositions ?Nous souhaitons échanger avec tous les acteurs qui le veulent. Nous sommes ainsi demandeurs pour participer aux groupes de travail qui peuvent se tenir sur ces sujets à la FBF. Ce serait utile pour créer le bon écosystème. Jusqu’à présent, nous avons travaillé entre agrégateurs : nous avons préparé des réponses communes avec Bankin et Budget Insight, que nous avons soumises à l’EBA. Un groupe de travail entre agrégateurs s’est aussi formé au niveau européen. En France, nous faisons partie de France FinTech et nous avons rejoint l’AFEPAME[7].

■■ Est-il difficile de réglementer des sujets aussi techniques ?Il n’est pas toujours aisé de trouver le bon équilibre entre les grands

[7] Association française des établissements de paiement et de monnaie électronique.

principes juridiques que traduisent les RTS et les solutions techniques à mettre en œuvre. Un texte juridique va graver dans le marbre des contraintes d’utilisation, comme l’authentifica-tion forte tous les 30 jours, alors que les solutions techniques à ces exi-gences de sécurité vont continuer d’évoluer dans le temps.

■■ La DSP 2 va créer deux nou-veaux statuts : celui d’agrégateur de comptes de paiement et celui d’initiateur de paiement. Qu’est-ce que cela change pour vous ?À l’heure actuelle, nous n’avons besoin d’aucun agrément pour exer-cer notre activité. Nous avons tou-tefois appelé à une réglementation car nous avons conscience que nous touchons à des données sensibles. Nos procédures sont déjà à un degré élevé de maturité et nous préférons la contrainte de l’agrément afin de profiter simultanément de ses béné-fices en matière de réassurance. Nous allons donc prendre le statut d’agrégateur (AISP[8]) et probable-ment d’initiateur (PISP[9]). Il serait en effet intéressant de proposer à nos utilisateurs qui, au vu de leurs dépenses récurrentes, risquent de se retrouver à découvert, de faire un vire-ment préventif de compte à compte.

■■ Disposer d’un statut européen pour les API est-il essentiel de votre point de vue ?Pas nécessairement. Aujourd’hui, nous avons un travail de dévelop-pement spécifique à faire pour nous connecter à chaque banque : une API par pays réduirait déjà beaucoup cette charge. Fixer trop de normes au niveau européen risque d’avoir des effets néfastes sur l’innovation, en nivelant l’offre sur le plus petit dénominateur commun. n

Propos recueillis par Séverine Leboucher.

[8] Account Information Services Provider.[9] Payment Initiative Services Provider.

CASHMANAGEMENT.SOCIETEGENERALE.COM

* Relevés de compte et alertes. 2016 Société Générale, S.A. au capital de 100 799 641,25 € - 552 120 222 RCS PARIS, Siège social : 29, bd Haussmann, 75009 PARIS. © GettyImages - FF GROUP

AVEC L’APPLI SOGECASH WEB, NOUS VOUS GARANTISSONS UNE GESTION DE VOS COMPTES SIMPLE ET SÉCURISÉE : REPORTING* – CENTRALISATION DE VOS PAIEMENTS –

VALIDATION DE VOS OPÉRATIONS À DISTANCE

SOCIÉTÉ GÉNÉRALE GLOBAL TRANSACTION BANKING

SOGE_CASH GTB_0802_UNIVERSWIFNET_165X240_MONTGOLFIERE_FR.indd 1 08/02/2016 14:48 BD

18

Voyant s’écrouler le mur de

Berlin, d’aucuns prédisaient

la fi n de l’histoire, boutée

hors de nos vies par le mar-

ché et la démocratie enfi n alliés par

toute la terre. La conjonction de la

technologie et de la collaboration

entre pairs va-t-elle pousser le cash

management offert par les banques

vers la sortie ? Avec plus de succès ?

Quelle que soit la taille de l’entre-

prise dans laquelle ils exercent leurs

talents, les trésoriers d’entreprise

font, peu ou prou, le même travail.

Les dimensions seules changent.

Chargé d’exécuter en toute sécurité

les opérations de paiement, de pré-

voir les variations de la trésorerie de la

société, de couvrir ses besoins à court

terme ou de placer ses excédents,

Rien ne s’oppose

aujourd’hui, sur le plan

juridique ou technologique,

à ce que les agrégateurs/

initiateurs de paiement

soient en capacité

de proposer leurs services

aux entreprises. Cette offre

viendrait concurrencer

directement celle de cash-

management des banques.

Comment ces dernières

vont-elles réagir ?

ÉCONOMIE COLLABORATIVE

La fi n du cash management ?

Hervé Postic

CEO

Utsit Groupe

Fondateur animateur

Forum Universwiftnet

Revue Banque – numéro spécial UNIVERSWIFTNET – mars 2017

Cet article est extrait de Revue Banque n° 806, mars 2017.


“La création d’une API commune à un nombre important de banques permettrait de standardiser au mieux les accès mais aussi les données échangées, comme cela a pu être fait pour les échanges de fichiers ISO20022 lors de la mise en place du SEPA.”

de qualifier et juguler les risques de change, de taux et de contrepartie, le trésorier se nourrit d’information, en particulier bancaire. Ses principaux interlocuteurs externes sont, en 2017, ses banquiers. Il utilise leurs services pour collecter les encaissements de ses clients, régler ses salaires, four-nisseurs et taxes, acheter ou vendre les devises que son activité génère ou nécessite, prêter ou emprunter à court terme les liquidités qui lui permettent de maintenir ses comptes bancaires le plus proche possible du zéro absolu, qui garantit à la fois les emprunts minimums et la meilleure valorisation des excédents.L’AFTE[1] est née en même temps que la micro-informatique ; les noces d’émeraude de l’informatique et de la gestion de trésorerie seront-elles célébrées par l’irruption des API[2], du Cloud, du Big Data, de l’intelli-gence artificielle et du règne de la donnée partagée orchestrée par des FinTechs sous le regard – bienveillant ou courroucé – des banquiers ? La technologie est présente, le régu-lateur européen pousse à la roue et l’esprit collaboratif s’impose déjà dans la vie personnelle de tous, y compris les trésoriers.

OPÉRATION PORTES OUVERTESDans moins d’un an, la révision de la directive sur les services de paiement, dite DSP2, entrera en application, ouvrant proprement la porte des banques à des acteurs qui n’avaient jusqu’ici trouvé que des fenêtres ouvertes : les agrégateurs de comptes[3] – qu’ils soient déjà présents sur le marché (Bankin’, Budget Insight, Linxo, par exemple) ou de ceux qui ne manqueront pas

[1] Association française des trésoriers d’entreprise.[2] Application Programming Interface : solution standardisée et sécurisée d’utilisation de données par un programme externe.[3] Techniquement connus sous le nom de prestataires de services d’information sur les comptes (PSIC, en anglais AISP).

de naître – et les initiateurs de paie-ment[4]. La directive crée un cadre qui garantit à la fois que ces tiers seront suffisamment régulés et que les banques leur ouvriront leurs portes en toute sécurité. Ce faisant, elle définit une nouvelle façon ordi-naire d’échanger entre les banques et leurs clients.Le succès que rencontrent les agréga-teurs auprès des particuliers (plusieurs millions d’utilisateurs en France) et des entreprises via leurs experts-comp-tables (plus de 30 000 pour Bankin’) et le démarrage, avant même le « go » de la directive, de services d’initiation de

paiements par Budget Insight ou Ban-kin’ démontrent aux plus sceptiques que la question ne devrait pas être de savoir si le service qu’ils rendent est utile, mais bien plus, pour les banques, de s’assurer que ces tiers pourront rendre le meilleur service possible en collaborant efficacement avec eux. Pour ce faire, la création d’une API commune à un nombre important de banques serait une très bonne nou-velle ; elle permettrait de standardi-ser au mieux les accès, mais aussi les données échangées, comme cela a pu être fait pour les échanges de fichiers ISO20022 lors de la mise en place du SEPA. La franche collaboration per-mettrait aussi de garantir une sécurité

[4] Techniquement connus sous le nom de prestataires de services d’initiation de paiement (PSIP, en anglais PISP).

accrue pour les différents acteurs de la chaîne, jusqu’à l’utilisateur final.

DES PARTICULIERS AUX ENTREPRISESLes services rendus aujourd’hui aux particuliers et aux petites entreprises sont très peu différents de ceux atten-dus par les grands groupes, du moins en ce qui concerne l’extraction des données qui composent un extrait de compte ou l’initiation d’un vire-ment, quelles que soient ses carac-téristiques. En revanche, la gestion classique en cycles (extraits de compte de fin de journée comptable, cam-pagnes de paiements quotidiennes ou hebdomadaires) qui prévaut dans la relation banque-grande entreprise est vue comme archaïque, quand on l’observe depuis les autres fonctions de l’entreprise qui ont, pour la plu-part, basculé en temps réel depuis longtemps. La mise en place de paie-ments en temps réel ou presque dans un grand nombre de pays dans les toutes prochaines années, et dès novembre 2017 en Europe, devrait forcer un mouvement vers une tenue de comptabilité au fil de l’eau et conduire à la nécessité d’un échange de données fondé non plus sur les « fichiers » et les « relevés » mais sur chaque transaction ou information, entrante ou sortante. Pour les agré-gateurs, récupérer les données d’un compte bancaire de particulier ou d’entreprise dans une banque est une opération identique, seul le site web change parfois, et les API imposées par la DSP2 leur faciliteront encore la tâche. Pour les banques, gérer l’ensemble des échanges avec leurs clients d’une unique façon est une source d’économie et une garantie de sécurité. L’échange de données entre les banques et leurs clients se fera certainement avant la fin de la décennie de manière ordinaire en utilisant les portes ouvertes par les banques aux agrégateurs/initiateurs. ETEBAC aura vécu 25 ans, EBICS ne passera sans doute pas l’adolescence.


COLLABORATION SANS PEINEPour les agrégateurs, la connexion

aux données bancaires et leur récu-

pération est un service de base, géné-

ralement gratuit. La valeur vient,

ensuite, de leur exploitation. Dans

le service de base qu’ils proposent,

les agrégateurs identifient et classent

les données pour permettre aux utili-

sateurs de gérer leur budget. Quand

François classe une transaction dans

la catégorie « vêtements », Paul et

Vincent se voient proposer cette

classification immédiatement. Sans

le savoir, Vincent, François, Paul et

les autres collaborent à une classi-

fication standardisée et affinée des

transactions, qui n’empêche en rien

Vincent de différencier les vêtements

de sport et de ville. La gestion du

budget des dépenses et recettes,

en entreprise, s’appelle tenue de la

comptabilité et l’identification des

transactions enregistrées dans un

compte bancaire est la première étape

du rapprochement bancaire. Ainsi

des entreprises qui accepteraient

de partager entre elles leurs règles

d’identification des transactions et

de rapprochement pourraient sans

aucun doute améliorer encore leurs

taux de rapprochement et de lettrage

automatiques. Et, toutes les entre-

prises vous le diront, cette tâche de

réconciliation reste lourde et insuf-

fisamment automatisée.

L’identification précise des transac-

tions inclut leur récurrence éven-

tuelle, au même montant ou non,

et, là encore, la comparaison des

situations et l’analyse des compor-

tements permet aux agrégateurs

d’extrapoler une position plausible

des comptes bancaires à un horizon

qui peut être assez lointain. Appli-

quées au monde de l’entreprise,

ces techniques permettent de pro-

poser des prévisions de trésorerie.

La seule exploitation des comptes

bancaires ne sera sans doute pas

suffisante pour que ces prévisions

aient une utilité, Budget Insight l’a

déjà bien compris en proposant des

API d’agrégation de factures four-

nisseurs. Ajoutez les factures clients

dans son application et vous aurez

déjà des prévisions plus fiables. Bien

entendu, le fossé dans ce domaine est

grand entre les besoins des petites

entreprises et leurs grandes sœurs,

et l’agrégation d’autres données est

nécessaire pour que les prévisions

puissent avoir un sens. Cependant

le mouvement semble lancé vers la

constitution de tiers agrégateurs de

données externes qui viendront pro-

poser au trésorier une vue alternative

et complémentaire sur sa trésorerie

à court et moyen terme.

Le modèle économique des agré-

gateurs repose aujourd’hui sur la

proposition d’action qui suit la

constatation. Un compte bancaire

d’une entité va être demain à décou-

vert alors qu’un autre sera créditeur ?

L’initiateur propose alors un équi-

librage et le réalisera en temps réel

dès novembre 2017, du moins pour

les particuliers pour qui le plafond

de 15 000 euros est un ciel étoilé.

D’aucuns nomment cela le cash poo-

ling. Le solde global est créditeur a

priori pour quelque temps ? L’agréga-

teur propose un placement et, dans

le cas contraire, un emprunt avec

des partenaires qu’il a sélectionnés

et qui le rémunèrent de son apport

d’affaires. Ce faisant, l’agrégateur/

initiateur met à la disposition de tout

un chacun un robot de cash manage-

ment tout à fait comparable à celui

qu’offrent ses confrères banquiers.

Pour l’instant réservé aux particu-

liers et TPE. Jusqu’à quand ?

QUI TIENT LES HAUTS TIENT LES BASPour autant ces tiers seront-ils ceux

qui occupent le terrain aujourd’hui ?

L’exploitation des données reçues des

banques, d’une part, et la constitu-

tion des ordres de paiement, d’autre

part, sont faites au cœur de systèmes

de trésorerie ou comptables souvent

complexes, qui auront probablement

intérêt à intégrer très fortement les

services proposés par Linxo ou ses

confrères voire à en créer de simi-

laires en optant pour le statut ad hoc

auprès de l’ACPR ou d’une autre ins-

tance de la zone SEPA. Ainsi, comme

le prédisait Philippe Gelis (CEO de

Kantox) aux journées de l’AFTE en

novembre dernier, SAP, Oracle et les

autres éditeurs de solutions de ges-

tion financière auront certainement

rapidement leur solution intégrée,

interne ou en collaboration. Sage a

déjà montré le chemin en utilisant les

API de Bankin’ et travaille déjà avec

des banques à intégrer leurs API pour

les grandes entreprises. Au-delà de

ces questions de connectivité, la pre-

mière mouture de la DSP avait déjà

ouvert la porte à la prestation de ser-

vices de paiement par des tiers non

bancaires, tant cette activité relève

plus de la prestation informatique

que de la pure prestation bancaire.

Dans ce contexte les banques vont-

elles abandonner leurs services de

cash management et se concentrer

sur la tenue de compte ? Ou bien

vont-elles totalement collaborer

avec les nouveaux entrants pour,

au final, apporter à leurs clients le

meilleur de la technologie et de la

simplicité associé à leur couverture

internationale, à la qualité de leurs

équipes de FX et de placements ?

Elles ont déjà emprunté ce chemin et

seront certainement au rendez-vous

que leurs clients ne manqueront de

fixer. Le cash management offert par

les banques n’a pas fini sa course,

l’histoire non plus. n

“L’échange de données entre

les banques et leurs clients se fera

certainement avant la fin de la décennie

de manière ordinaire en utilisant

les portes ouvertes par les banques

aux agrégateurs / initiateurs.”

Partenaire de con½ance des trésoriers à

Cash Management et notre réseau a½n de

Deutsche Bank Global Transaction Banking

© Copyright Deutsche Bank AG Février 2017. Deutsche Bank AG est un établissement financier autorisé selon la loi bancaire allemande (autorités compétentes: Banque Centrale Européenne et Autorité Fédérale Allemande de Surveillance Financière (BaFin))

Deutsche Bank s’engage à vos côtés pour vous accompagner et vous conseillerPartenaire de con½ance des trésoriers à travers le monde, nous vous apportons notre expertise, nos solutions innovantes de Cash Management et notre réseau a½n de vous aider à réaliser vos objectifs de gestion de trésorerie.

Pour en savoir plus: www.gtb.db.com

Euromoney Cash Management Survey, Octobre 2016N°1 en Europe de l’OuestN°1 en Allemagne, Belgique et EspagneN°3 au niveau global


■■ Qu’est-ce que le projet SIS ?Le projet SIS a été initié par la société Attestation Légale, pour apporter aux entreprises une solution de sécuri-sation des coordonnées bancaires des fournisseurs. Il a été lancé sur un mode de fonctionnement colla-boratif avec douze entreprises, bap-tisées « les pionniers ».L’objectif est de permettre à un tréso-rier de s’assurer qu’il va payer le bon tiers lorsqu’il s’apprête à émettre un virement. La sécurisation s’articule sur trois niveaux :

− le premier est l’enrôlement du fournisseur, qui se déclare auprès de SIS et apporte les coordonnées bancaires sur lesquelles il souhaite être payé : SIS va s’assurer que la personne qui s’annonce comme le représentant d’une société est bien en capacité de déclarer des coordon-

Nathalie Salgado fait partiede l’équipe des « pionniers »qui mènent avec SISun projet de sécurisationdes coordonnées bancairesdes fournisseurs.Elle revient sur la genèsede ce projet, sur son modecollaboratif d’élaborationet l’avancement des travaux.

SÉCURISATION DES COORDONNÉES FOURNISSEURS

« Construire un produit qui réponde à un réel besoin »

nées bancaires pour cette dernière ; puis, si elle souhaite les modifier, SIS vérifie que ces changements sont cohérents avec l’identité numérique de la société ;

− ensuite, il s’agit de sécuriser les données constituées au fur et à mesure de l’enrôlement des fournisseurs. SIS centralisera la sécurisation en se basant sur des données communiquées tant par les fournisseurs que par les entre-prises clientes de la solution ;

− enfin, le projet prévoit la mise en place d’une brique complémentaire, axée sur la prévention de la fraude par analyse des comportements de paiement.

■■ À quel type de fraude répond cette solution ?Cela répond à une fraude de plus en plus répandue qui correspond à la modification frauduleuse des informations de référencement des fournisseurs, en particulier les faux changements des coordonnées ban-caires : elle prend la forme d’un cour-rier ou d’un appel qui émanerait d’un fournisseur demandant à modifier ses coordonnées bancaires pour le paiement de la prochaine facture. Les nouvelles références communiquées sont bien sûr erronées et l’entreprise pourrait payer le fraudeur, sans le savoir et sans capacité ensuite de faire jouer un quelconque recours.

■■ Quels étaient vos besoins concer-nant cette solution ?En tant que grand corporate, nos besoins étaient :

− d’avoir une sécurisation des coor-données bancaires en France mais aussi à l’étranger ;

− d’avoir une solution bancaire qui permette de s’adresser à une seule entité pour avoir une vérification des coordonnées, quelle que soit la banque du fournisseur ;

− de pouvoir compter sur une sécu-risation totale, soit via des garan-ties d’assureurs, soit via un tiers de confiance. Nous avons besoin de savoir que l’interrogation que nous allons faire sur la validation de coor-données bancaires est bien sécu-risée et relève de la responsabilité d’une entité connue, définie, avec laquelle nous sommes en accord pour travailler.

■■ Comment fonctionne le mode collaboratif que vous avez men-tionné pour le développement de cette solution ?L’équipe des douze pionniers a été constituée de façon plutôt informelle en fonction des opportunités et de l’intérêt de chacun. Bouygues Tele-com, par exemple, travaillait déjà avec Attestation Légale pour étayer ses relations avec certains clients ou fournisseurs, par exemple pour obtenir

Nathalie Salgado

Directrice Trésorerie et Financement

Bouygues Telecom

interview


des documents sur l’enregistrement

légal des sociétés, leur solvabilité, etc.

Ces relations quotidiennes et le fait

que Bouygues Telecom est très sen-

sibilisé aux questions de sécurisation

des moyens de paiement, notamment

au travers des échanges au sein de

l’AFTE, nous ont conduits à nous

engager dans ce projet. Le nombre de

pionniers a toutefois été limité à une

dizaine, pour que le fonctionnement

en mode projet reste gérable, avec une

représentation de secteurs d’activité

assez variés, mais plutôt des grandes

entreprises, ce qui permet d’avoir un

panel assez complet des probléma-

tiques rencontrées sur la sécurisation

des moyens de paiement.

Ces douze pionniers se retrouvent

tous les trimestres pour échanger

avec les représentants du projet

SIS. La démarche est transparente

et simple – chaque problème est

évoqué en commun – et c’est ce

qui a créé un climat de confiance

entre les pionniers. Ainsi, à chaque

comité, SIS nous présente l’avan-

cement des travaux avec un certain

nombre de questions ouvertes. Nous

veillons bien sûr à ce que les infor-

mations transmises entre pionniers

ne puissent pas mettre en lumière

des informations concurrentielles,

comme par exemple la part de mar-

ché que représentent les fournisseurs

dans nos activités. Il est possible,

dans une démarche constructive et

bienveillante, d’échanger sur tous

les sujets, même entre concurrents.

■ Les « pionniers » participent-ils

au financement du projet ?

Les pionniers ne participent pas au

financement de la SAS SIS, créée

pour mener à bien ce projet. Cela

évite tout conflit d’intérêts dans les

échanges avec SIS.

■ Quel est l’intérêt de ce mode de

fonctionnement collaboratif ?

Ce mode collaboratif permet de s’as-

surer que les démarches de SIS abou-

tissent à un produit qui répond à un

réel besoin et qui a en quelque sorte

déjà trouvé ses clients. Pour les pion-

niers qui participent à ce projet, c’est

l’assurance d’avoir une solution qui

est exactement celle attendue. Cela

correspond à une logique d’inno-

vation très pertinente qui peut être

dupliquée sur des sujets assez divers,

car les entreprises rencontrent sou-

vent des problématiques communes.

■ Pourquoi aucune banque ne par-

ticipe-t-elle à ce projet ?

Les banques mènent une autre ini-

tiative, qui est en cours d’élabora-

tion auprès de SEPA Mail[1], sous

[1] Service de messagerie interbancaire sécurisée qui regroupe les grands établissements bancaires français.

le nom de SEPA Mail Diamond, et

que nous avons conviée à participer

à l’un de nos comités pionniers. En

effet, les banques sont en mesure

de proposer, en mutualisant leurs

ressources, une solution qui répond

à un certain nombre de besoins

exprimés par des corporates sur la

sécurisation des coordonnées ban-

caires des fournisseurs puisqu’elles

détiennent de fait l’ensemble de ces

dernières.

■ Quel est l’état d’avancement du

projet SIS ?

Le projet a commencé, début 2016,

par une année consacrée aux comités

pionniers pour parvenir à une phase

de test sur une solution pilote qui a

commencé mi-février. Celle-ci sera

menée par un panel restreint pour

l’occasion à cinq pionniers et elle

évoluera en fonction de leurs retours

d’expériences. Nous nous sommes

donné trois mois pour la phase pilote

avant de faire une restitution aux autres

pionniers. L’objectif est de proposer

une solution aboutie cet été.

Elle sera ouverte à tous et devrait être

rapidement connue : les pionniers

vont demander à leurs fournisseurs

de s’enrôler et ceux-ci feront proba-

blement à leur tour la même demande

à leurs propres fournisseurs. n

Propos recueillis par E. C.


cahier juridique

Mouvement. L’irruption, dans le paysage régle-mentaire, de ces nou-veaux prestataires de

services de paiement (PSP) que sont les prestataires de services d’initia-tion de paiement (PSIP) et les presta-taires de services d’information sur les comptes (PSIC)[1] – on n’oublie pas, mais moins emblématique, cette sorte de figure hybride que sont les émetteurs d’instruments de paiement liés à une carte – replace le compte de paiement au cœur du jeu (I.). Son accès par ceux qui ne le tiennent pas se présente ainsi comme l’innova-tion la plus spectaculaire de la DSP 2 (II.)[2], cependant que, en bout de chaîne, la question des données de compte retiendra l’attention (III.).

[1] On se rappellera que le rapport 2012 du Comité consultatif du secteur financier (CCSF) les nommait overlays payment service providers et distinguait les agrégateurs de données des mandataires de paiement (p. 54).[2] Voir encore, dans ce même numéro, P. Storrer, « Abécédaire de la DSP 2 ».

Derrière l’innovation majeure qu’est la création des prestataires de services d’initiation de paiement et des prestataires de services d’information sur les comptes, se découvre la promotion du compte de paiement, bientôt en libre accès.

DSP 2

Du droit de donner libre accèsà son compte de paiement

I. LE COMPTE

1. De l’idée de compte. Quel bon-heur que d’être (re)tombé sur cette contribution merveilleuse du Profes-seur Didier R. Martin, « De l’idée de compte », parue dans les Mélanges de l’AEDBF, en 1999. Le ton est d’emblée donné : « Les vieilles idées sont toujours neuves. De sorte que l’idée de compte, née avec le commerce, n’échappe pas à cette per-pétuelle jouvence. Spécialement dans l’ordre bancaire où une application systématisée, aussi ancienne que la banque elle-même, la sollicite de pourvoir aussi aux attentes nouvelles de ce métier »[3].Alors, quelle nouvelle idée sur le compte nous apporterait la DSP 2 ? Celle-ci, d’abord et avant tout, que l’utilisateur de services de paiement[4] se réapproprie son compte.

[3] D. R. Martin, De l’idée de compte, Mélanges AEDBF, II, 1999, p. 285.[4] C’est l’expression consacrée par la DSP, dont l’article 4, 10 nous dit qu’il est « une personne physique ou morale qui utilise un service de paiement en qualité de payeur ou de bénéficiaire, ou des deux ».

2. De quelques idées sur le compte. On connaissait déjà le « compte obligé », sous la forme du fameux droit au compte (DAC)[5] (à noter qu’il s’agit là de compte de dépôt), en vertu duquel « toute personne physique ou morale domi-ciliée en France, dépourvue d’un compte de dépôt, a droit à l’ouverture d’un tel compte dans l’établissement de crédit de son choix » (CMF, art. L. 312-1, al. 1er)[6]. On y ajou-terait volontiers le « compte mobile », au sens du droit à la mobilité ban-caire institué par l’article 312-1-7 du CMF qui, faut-il observer, concerne tant le compte de dépôt (et de livret) que le compte de paiement[7]. On y adjoindrait peut-être même une sorte de droit au « compte de cantonnement » pour les établissements de paiement

[5] Ou du droit à Livret A si l’on suit le texte de l’article L. 221-2 du CMF.[6] DAC qui ne peut toutefois faire obstacle aux règles anti-blanchiment, nous apprennent de tous récents (juin 2016) principes sectoriels de l’ACPR relatifs aux obligations de lutte contre le blanchiment de capitaux et le financement du terrorisme dans le cadre du droit au compte.[7] Cf. P. Storrer, « Sur la mobilité du compte de dépôt et du compte de paiement », Revue Banque n° 795, avr. 2016, p. 80.

Pierre Storrer

Avocat au Barreau de Paris

Kramer Levin Naftalis & Frankel LLP

Cet article est extrait du hors-série Banque & Droit « DSP 2 : le futur du paiement », juillet-août 2016.


(EP), si c’est de la sorte qu’il faut com-prendre la prescription de l’article 36 de la DSP 2 : « Les États membres veillent à ce que les établissements de paiement aient un accès objectif, non discriminatoire et pro-portionné aux services de comptes de paie-ment des établissements de crédit. Cet accès est suffisamment étendu pour permettre aux établissements de paiement de fournir des services de paiement de manière efficace et sans entraves ». Et puis aussi, pourquoi pas, et sans trop anticiper sur la troi-sième partie de cet exposé, un « droit à la portabilité des données de compte », comme en existera un des données à caractère personnel, au sens où « les personnes concernées ont le droit de recevoir les données à caractère personnel les concer-nant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été com-muniquées y fasse obstacle »[8].Droit au compte (de paiement cette fois) et à sa mobilité que l’on trouve consacrés par la directive dite « Comptes de paiement » : la direc-tive 2014/92/UE du 23 juillet 2014 sur la comparabilité des frais liés aux comptes de paiement, le changement de compte de paiement et l’accès à un compte de paiement assorti de prestations de base[9]. Son considé-rant 6 peut être relevé, qui souligne que « la disparité des réglementations nationales actuelles peut être une source d’entraves importantes à l’achèvement du marché intérieur des comptes de paie-ment ». Nous assistons donc à une unification continue : des comptes de paiement (la directive précitée), des services de paiement (DSP), à laquelle s’ajoute désormais la dernière pierre

[8] Règl. (UE) 2016/679, 27 avr. 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), art. 201.[9] Cf., « Retour sur la directive comptes de paiement », Rev. ACPR n° 21, janv.-févr. 2015, p. 17.

du marché unique des services finan-ciers[10], dans la mesure où, par la grâce de la DSP 2, les services de paie-ment intègrent le champ du Système européen de surveillance financière (SESF), sous la supervision de l’Auto-rité bancaire européenne (ABE). C’est acquis, le droit des services de paie-ment n’est plus marginal mais trouve toute sa place à côté de la réglementa-tion des services bancaires et des ser-vices d’investissement. Et tout cela en moins de dix ans, faut-il remarquer.

3. Mon compte est à moi. Ceci nous paraît caractéristique de la DSP 2 : le centre de gravité du compte se déplace, qui n’est plus seulement, ou tellement, la chose de celui qui le tient (établisse-ment bancaire le plus souvent), pour appartenir davantage à son titulaire, qui en prend la maîtrise. Qui, et c’est remarquable, se voit attribuer la faculté de donner (plus ou moins) libre accès à son compte, accès à d’autres qu’à son gestionnaire. Mais mon compte serait davantage à moi, aussi, dans ma relation directe avec mon teneur de compte. De sorte que mon contrat-cadre de services de paiement ne serait plus seulement contrat d’adhésion, à prendre ou à laisser, mais pourrait l’être de gré à gré, « celui dont les stipulations sont librement négociées entre les parties ». Par exemple, expose le considérant 57 de la DSP 2, « il devrait être possible au prestataire de services de paiement et à l’utilisateur de services de paiement d’arrê-ter, dans le contrat-cadre, les modalités de la transmission des informations fournies par la suite sur les opérations de paiement effectuées, par exemple de convenir que, dans le cadre de services bancaires par l’internet, toutes les informations relatives au compte de paiement seront accessibles en ligne ».

Droit d’accès au compte de paiement donné par son titulaire à ceux qui ne

[10] On se reportera avec intérêt au Livre vert de la Commission européenne du 10 décembre 2015, De meilleurs produits, un plus large choix et davantage d’opportunités pour les consommateurs et les entreprises, COM(2015) 630 final.

le tiennent pas, telle est l’innovation spectaculaire apportée par la DSP 2, qui n’est toutefois pas sans poser une forte interrogation. Car cet accès est donné à un objet fort mystérieux qu’est le compte de paiement (mysté-rieuse est sans doute aussi la notion de compte en général), qui n’est jamais défini que comme le compte qui est « utilisé aux fins de l’exécution d’opéra-tions de paiement » (CMF, art. L. 314-1, I, reprenant la définition donnée à l’article 4, 14 de la DSP et reprise à l’article 4, 12 de la DSP 2) ; le compte destiné « exclusivement » à de telles opérations (cf. CMF, art. L. 522-4, I). Objet mystérieux mais aussi éva-nescent, si l’on veut bien considérer que le compte de paiement est, par nature, un « compte de flux », et même le « compte d’un jour », après quoi les fonds devront être cantonnés[11]. L’accès au compte de paiement ira-t-il jusqu’au compte de cantonnement (mais ne s’est-il pas déjà transformé en compte de dépôt[12] ?) ? Concerne-t-il aussi le compte de monnaie élec-tronique dont on peut considérer qu’il est un sous-compte (technique) de paiement[13] ? Voilà quelques ques-tions qui demeurent en suspens. Quelques interrogations qui prépa-reraient, pourquoi pas, l’avènement de ce que l’on nomme aujourd’hui volontiers la « néo-banque » pour désigner, une fois les facilités incan-tatoires passées (on vous épargnera l’« uberisation » de la banque), une autre façon de faire de la banque, et pourquoi pas de faire de la « banque

[11] Cf. P. Storrer, « Brèves remarques sur le compte de paiement », Revue Banque n° 788, oct. 2015, p. 87.[12] Comp. Arr. 27 oct. 2015 relatif à la mise enœuvre de la garantie des dépôts, au plafondd’indemnisation et aux modalités d’application del’article L. 312-4-1 du Code monétaire et financier,art. 5, I, 1°.[13] Cf. Règl. (UE) 2015/751, 29 avr. 2015, relatif auxcommissions d’interchange pour les opérationsde paiement liées à une carte, art. 22 : « “comptede paiement” : un compte détenu au nom d’un ou de plusieurs utilisateurs de services de paiement et servant à exécuter des opérations de paiement, y compris au moyen d’un compte spécifique de monnaie électronique au sens de l’article 2, point 2, de la directive 2009/110/CE du Parlement européen et du Conseil ».

“Une attention particulière est réservée aux données de sécurité personnalisées de l’utilisateur de services de paiement, dont la confidentialité et l’intégrité doivent être protégées.”


cahier juridique

sans compte », comme il existe des « comptes sans banque ». On ne croit pas qu’il faille prêter tout cela à la DSP 2 (on lui prête beaucoup), mais elle y prend certainement sa part.

4. Le compte de paiement, mais seulement le compte de paiement. C’est toujours la même antienne, on en veut plus : mais puis-je avoir aussi accès aux comptes de dépôt, d’épargne, sur livret etc. ? Reve-nons à la seule liste dont nous dis-posons, celle dressée par l’arrêté du 29 juillet 2009 relatif aux relations entre les prestataires de services de paiement et leurs clients en matière d’obligations d’information des uti-lisateurs de services de paiement et précisant les principales stipulations devant figurer dans les conventions de compte de dépôt et les contrats-cadres de services de paiement : « Au sens du présent arrêté, le terme : “ compte de paiement ” désigne les comptes de dépôt à vue, les comptes ouverts par les établisse-ments de paiement conformément à l’ar-ticle L. 522-4 du même code et tout autre compte tel que défini à l’article L. 314-1 du même code, ouverts par des personnes physiques n’agissant pas pour des besoins professionnels » (art. 1er, al. 1er).Si bien que les PSIC, en particulier, n’auront pas accès aux « comptes soumis à une réglementation particulière, notam-ment les comptes sur livret, les comptes à terme et les comptes d’instruments financiers et les comptes espèces qui leur sont spécifi-quement associés » (art. 1er, al. 2). Accès seulement aux comptes de paiement, c’est déjà énorme.

II. L’ACCÈS AU COMPTE

1. Les prestataires de services de paiement gestionnaires de compte

5. PSPGC. Nous désignerons les prestataires de services de paiement gestionnaires de compte (Account Ser-vicing Payment Service Providers) par l’acronyme PSPGC. Il va sans dire

que l’expression était absente de la DSP, qui ne traitait, indistinctement, que des prestataires de services de paiement (PSP), peu important que lesdits services fussent adossés ou non à un compte. Pour reprendre un bon mot du Professeur Didier R. Martin (qui n’en ait pas avare), on aurait comme « engrossé » les PSP, qui tantôt enfantent des PSPGC, des PSIP ou des PSIC[14]…Qu’est-ce qu’un PSPGC ? La défini-tion donnée par la DSP 2 est un peu courte : « un prestataire de services de paiement qui fournit et gère un compte de paiement pour un payeur » (art. 4, 17). Il faut alors se tourner vers la directive Comptes de paiement déjà évoquée. On y déniche ceci : « les services liés au compte de paiement [sont] tous les services liés à l’ouverture, à la gestion et à la clô-ture d’un compte de paiement, y compris les services de paiement […] » (art. 2, 6).On y ajoute que les PSPGC sont ceux qui, généralement, délivrent « les données de sécurité personnalisées utilisées pour garantir l’authentification du client, par l’utilisateur de services de paiement ou par le prestataire de services d’initiation de paiement » (DSP 2, cons. 30).

6. Selon que vous gérez ou non des comptes. Les PSP sont donc désor-mais distribués en deux catégories (summa divisio) : ceux qui gèrent le compte du payeur ou du bénéficiaire, d’un côté, les PSP sans compte, de l’autre. Deux catégories qui se mêlent à une troisième[15] : les prestataires de services techniques, avec lesquels flirtent les PSIP et PSIC, si l’on en croit l’article 3, j de la DSP 2, excluant de

[14] Cf. D. R. Martin, Que sont les notions devenues ?, Dalloz 2014, p. 164.[15] On pourrait y ajouter encore la catégorie des « PSP intermédiaires » des règlements antiblanchiment, par exemple le dernier (règlement (UE) du 20 mai 2015 sur les informations accompagnant les transferts de fonds, applicable au 26 juin 2017), qui les définit comme les PSP qui ne sont ni les PSP du donneur d’ordre ou du bénéficiaire et qui reçoivent et transmettent un transfert de fonds pour le compte du PSP du donneur d’ordres ou du bénéficiaire ou d’un autre PSP intermédiaire.

son champ d’application les « services fournis par des prestataires de services tech-niques à l’appui de la fourniture de services de paiement, sans qu’ils entrent, à aucun moment, en possession des fonds à trans-férer et consistant notamment dans le trai-tement et l’enregistrement des données, les services de protection de la confiance de la vie privée, l’authentification des données et des entités, les technologies de l’infor-mation et la fourniture de réseaux de com-munication, ainsi que la fourniture et la maintenance des terminaux et dispositifs utilisés aux fins des services de paiement, à l’exception des services d’initiation de paiement et des services d’information sur les comptes ».Il est difficile d’en dire davantage sur les PSPGC. La raison est paradoxale : ils n’existent ne prennent du relief qu’en contrepoint des nouveaux prestataires sans compte (on les nommerait volontiers « orphelins » mais, on va le voir, ils ne le sont pas tant que cela), dont la réglementa-tion dessine en creux les obligations (surtout) et les droits (un peu) des premiers.

2. Les prestataires sans compte

7. Sans compte, ni fonds, mais bien des PSP. Il serait plus exact de les nommer « prestataires de services non gestionnaires du compte du payeur (ou de l’utilisateur) », mais avouons que cela serait bien lourd. Nous préfé-rons donc l’expression de « presta-taires sans compte », ce qui ne veut pas dire qu’ils n’en tiennent pas par ail-leurs, mais qu’ils ne gèrent pas, au moment considéré, celui du payeur (ou de l’utilisateur) qui les autorisent à y avoir accès.Prestataires sans compte mais, aussi, sans fonds, car il leur est expressé-ment interdit d’entrer en possession des fonds de leurs clients (cons. 31 et 35). De sorte que, logiquement (c’est une charge considérable en moins), l’article 9 de la DSP 2 les dispense de l’obligation de détenir


des fonds propres[16] et, bien sûr, de les protéger (art. 10).Cela étant, nos PSP sans compte ni fonds ne sont plus considérés comme des « PSP tiers » (on aime encore bien les nommer Third Party Providers ou TPP, de même qu’il est toujours plus clinquant d’évoquer la PSD2, les PISP pour Payment Initia-tion Service Providers ou les AISP pour Account Information Service Providers), ainsi que les avaient qualifiés à l’ori-gine la proposition de DSP 2[17], regroupant sous cette dénomination les PSP exerçant « les services fondés sur l’accès aux comptes de paiement fournis par un prestataire de services de paiement qui n’est pas le prestataire de services de paie-ment gestionnaire du compte, sous la forme de : (a) services d’initiation de paiement ; (b) services d’information sur les comptes » (annexe I, pt 7). Petits ou para-PSP, sans doute : mais PSP à part entière faut-il néanmoins retenir.

2.1. Les règles communes

8. Droit transitoire. Un principe remarquable de continuité du mar-ché est énoncé au considérant 33 de la DSP 2, ainsi traduit aux pts 5 et 6 de l’article 115 :– « les États membres n’interdisent pas aux personnes morales qui ont, avant le 12 janvier 2016, exercé sur leur territoire des activités de prestataires de services d’initiation de paiement et de prestataires de services d’information sur les comptes au sens de la présente directive à continuer d’exercer les mêmes activités sur leur ter-ritoire au cours de la période transitoire visée aux paragraphes 2 et 4 conformé-ment au cadre réglementaire actuellement en vigueur » ;– « les États membres veillent à ce que, jusqu’à ce que chacun des prestataires de services de paiement gestionnaires de

[16] Mais pas d’une assurance de responsabilité civile professionnelle.[17] COM(2013) 547 final, 24 juill. 2013. Cf. P. Storrer, « De la DME à la DSP 2 : le nouvel horizon des paiements », Banque et Droit n° 152, nov.-déc. 2013, p. 8.

comptes se conforme aux normes techniques de réglementation visées au paragraphe 4, les prestataires de services de paiement ges-tionnaires de comptes ne puissent abuser de leur non-conformité pour bloquer ou entraver l’utilisation de services d’initia-tion de paiement et de services d’informa-tion sur les comptes pour les comptes dont ils sont gestionnaires ».

9. Droit d’accès. Où le titulaire du compte prime sur son gestionnaire : « Il est nécessaire de définir un cadre juri-dique clair fixant des conditions dans lesquelles les prestataires de services d’initia-tion de paiement et les prestataires de ser-vices d’information sur les comptes peuvent fournir leurs services avec le consentement du titulaire du compte sans être obligés par le prestataire de services de paiement gestionnaire du compte d’appliquer un modèle commercial donné, qu’il repose sur un accès direct ou indirect, pour la presta-tion de ces types de services » (cons. 93). L’ACPR résume cela assez bien : « La création de ces nouveaux services a conduit le législateur européen à créer un droit, des utilisateurs, d’accès aux comptes de paie-ment tenus par les PSP gestionnaires de comptes lorsque ces comptes sont acces-sibles par voie électronique. Ce droit d’accès concerne les PSIP et les PSIC, mais égale-ment les PSP émetteurs d’instruments de paiement liés à une carte »[18].Ce faisant, l’enjeu majeur de la réglementation des PSIP et PSIC se concentre sur les règles relatives à l’accès au compte de paiement et à ses données. Celles-ci sont, pour l’essentiel, au nombre de deux : (i) est garanti au payeur ou à l’utilisa-teur le droit de s’adresser à un PSIP ou à un PSIC dès lors que son compte de paiement est accessible en ligne (art. 66, 1 et 67,1) et (ii) la fourniture du service d’initiation de paiement ou d’information sur les comptes n’est pas subordonnée à l’existence de rela-tions contractuelles entre PSPIP ou PSIC et PSPGC. Cela est à l’évidence tout à fait remarquable : les relations

[18] Revue ACPR n° 26, janv.-févr. 2016, p. 9.

du payeur (ou de l’utilisateur) avec ses différents PSP demeurent bilaté-rales, parallèles, points de contrats entre les PSPGC et PSIP et/ou PSIC, le client les tient à sa main.L’accès au compte de paiement n’est cependant pas sans limite, comme en dispose le point 5 de l’article 68 de la DSP 2 : « Un prestataire de services de paiement gestionnaire du compte peut refuser à un prestataire de services d’infor-mation sur les comptes ou à un prestataire de services d’initiation de paiement l’accès à un compte de paiement pour des raisons objectivement motivées et documentées liées à un accès non autorisé ou frauduleux au compte de paiement de la part dudit prestataire de services d’information sur les comptes ou dudit prestataire de ser-vices d’initiation de paiement, y compris l’initiation non autorisée ou frauduleuse d’une opération de paiement. Dans ces cas, le prestataire de services de paiement gestionnaire du compte informe le payeur, de la manière convenue, du refus d’accès au compte de paiement et des raisons de ce refus. Cette information est, si possible, donnée au payeur avant que l’accès ne soit refusé et au plus tard immédiatement après ce refus, à moins que le fait de fournir cette information ne soit pas acceptable pour des raisons de sécurité objectivement jus-tifiées ou soit interdit en vertu d’une autre disposition du droit de l’Union ou de droit national pertinente »[19].

10. Assurance. Agréés (PSIP) ou enre-gistrés (PSIC), les uns et les autres doivent disposer, comme préalable à leur agrément ou à leur enregis-trement, d’une assurance de res-ponsabilité civile professionnelle (ou autre garantie comparable) cou-vrant les territoires où ils proposent des services ou une autre garantie

[19] Le point 6 ajoutant que, dans ce cas, « le prestataire de services de paiement gestionnaire du compte notifie immédiatement à l’autorité compétente l’incident concernant le prestataire de services d’information sur les comptes ou le prestataire de services d’initiation de paiement. La notification contient les informations pertinentes relatives à l’incident et les raisons justifiant les mesures prises. L’autorité compétente évalue l’incident et prend au besoin des mesures appropriées. »


cahier juridique

comparable contre l’engagement de leur responsabilité (art. 5, 2 et 3). Le montant minimal de cette assurance ou autre garantie devra être fixé par l’ABE au plus tard le 13 janvier 2017.

11. Authentification forte. La ques-tion est évidemment centrale mais ne concerne pas seulement les PSIP et PSIC puisque tout PSP, indistinc-tement, est sommé d’appliquer l’au-thentification forte du client[20] dès lors que le payeur i) accède à son compte de paiement en ligne, ii) ini-tie une opération de paiement élec-tronique et iii) exécute une action, grâce à un moyen de communication à distance, susceptible de compor-ter un risque de fraude en matière de paiement ou de toute autre uti-lisation frauduleuse (art. 97, 1). À quoi s’ajoutent les obligations, en matière de paiement à distance, d’établir un « lien dynamique » entre l’opération, le montant et le béné-ficiaire donnés (art. 97, 2) ainsi que de prendre des mesures de sécurité adéquates afin de protéger la confi-dentialité et l’intégrité des mesures de sécurité personnalisées des uti-lisateurs (art. 97, 3).Si bien que :– les paragraphes 2 et 3 ci-dessus s’appliquent aux PSIP ;– les paragraphes 1 et 3 s’appliquent aux PSIC ;– et PSIP comme PSIC bénéficient du droit de se fonder sur les pro-cédures d’authentification prévues par les PSPGC à l’intention de leurs utilisateurs.On note que la question de l’authenti-fication forte fait l’objet d’un Discussion Paper de l’ABE[21].

[20] 17 Définie comme « une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories “connaissance” (quelque chose que seul l’utilisateur connaît), “possession” (quelque chose que seul l’utilisateur possède) et “inhérence” (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ».[21] v. Geoffroy Goffinet, « L’ABE va devoir préciser dans les deux prochaines années les conditions

12. Agent, passeport européen, LCB-FT. PSIP et PSIC pourront-ils recourir à des agents afin d’exercer, pour leur compte, les activités pour lesquels ils sont agréés ou enregistrés ? Rien ne semble l’interdire et la définition de l’agent par l’article 4, 38 de la DSP 2 est suffisamment large (« “agent”, une personne physique ou morale qui agit pour le compte d’un établissement de paiement pour la fourniture des services de paie-ment ») pour le permettre, de même que l’article 19, qui traite du recours à des agents, à des succursales ou à des entités vers lesquelles des activi-tés sont externalisées, ne distingue pas selon la qualité du PSP.« Tout établissement de paiement agréé souhaitant fournir des services de paie-ment pour la première fois dans un État membre autre que son État membre d’ori-gine, en vertu du droit d’établissement ou de la liberté de prestation de services, com-munique les informations suivantes aux autorités compétentes de son État membre d’origine […] » dispose l’article 28 de la DSP 2. L’emploi du participe passé « agréé » devrait-il exclure du jeu du passeport européen[22] les PSIC qui, on le verra, ne sont qu’« enre-gistrés » ? Ce serait sans doute lecture trop littérale du texte, d’autant que le considérant 48 est sans ambiguïté : « Les prestataires de services d’information sur les comptes devraient pouvoir fournir leurs services sur une base transfronta-lière et bénéficieront des règles en matière de “passeport” ».Une question à laquelle nous n’avons pas de réponse : par définition, les PSIP et PSIC vont aller « taper » dans des comptes dont leurs clients sont titulaires et donc en relation d’af-faires avec leur PSPGC, tenus à ce titre de les connaître au sens de la lutte contre le blanchiment des capi-taux et le financement du terrorisme

d’application de la seconde DSP », hors-série Banque et Droit « DSP 2 : le futur du paiement », juillet-août 2016.[22] Remarquons en passant que le terme « passeport » n’apparaissait pas dans la DSP mais fait son entrée dans la DSP 2, aux considérants 41 et 48.

(LCB-FT). Des obligations particu-lières de KYC pèseront-elles sur nos prestataires sans compte ? Un début de réponse peut être trouvé dans les orientations finales de l’Autorité bancaire européenne (ABE) sur la sécurité des paiements sur internet du 19 décembre 2014, dont une note de bas de page nous livre ceci : « Les PSP ne sont pas tenus d’appliquer une pro-cédure distincte d’identification du client pour les services de paiement sur internet, à condition qu’une telle identification du client ait déjà été réalisée, par exemple pour d’autres services existants relatifs aux paiements ou pour l’ouverture d’un compte » (p. 12, note 11).

2.2. Les PSIP

13. Notion. La définition du service d’initiation de paiement[23] – désor-mais service 7 aux termes de l’annexe I de la directive – trouve son siège à l’article 4, 15 de la DSP 2 : « un service consistant à initier un ordre de paiement à la demande de l’utilisateur de services de paiement concernant un compte de paie-ment détenu auprès d’un autre prestataire de services de paiement ».Rapidement entrevue, l’initiation de paiement s’apparente à un paiement direct en ligne de compte à compte par virement : « Ces services de paiement interviennent dans les paiements dans le cadre du commerce électronique en établis-sant une passerelle logicielle entre le site internet du commerçant et la plate-forme de banque en ligne du prestataire de ser-vices de paiement gestionnaire de compte du payeur en vue d’initier des paiements par l’internet sur la base d’un virement » (DSP 2, cons. 27). L’intérêt pour le commerce en ligne est grand puisque le PSIP assurera au bénéficiaire que le paiement a été initié, si bien que ce dernier sera incité à livrer les biens ou fournir les services sans retard injustifié (cons. 29). Paiement direct de compte à compte : il va sans dire

[23] On trouvera souvent dans les textes anglais l’acronyme PIS pour Payment Initiation Services.


que le paiement par carte à distance s’en trouverait désintermédié, prépa-rant sans doute par-là l’ère de l’instant payment ou instant Sepa Credit Transfer.De là que la prestation d’initiation de paiement paraît davantage un service offert au bénéficiaire qu’au payeur. Ce que paraît confirmer la lecture des orientations finales de l’ABE sur la sécurité des paiements sur internet, qui, sous le vocable malheureux d’« intégrateurs de paie-ment »[24], exposent que ceux-ci « fournissent au bénéficiaire (c’est-à-dire le commerçant en ligne) une interface normalisée avec les services d’initiation de paiement fournis par un PSP » (p. 5).

14. Perturbation. L’initiation de paie-ment crée une perturbation certaine dans notre classification tripartite des opérations de paiement (cf. CMF, art. L. 133-3, II). Sont-elles ordon-nées :] par le payeur, qui donne un ordre de paiement à son PSP ? il s’agit là d’une opération de virement ;– par le payeur, qui donne un ordre de paiement par l’intermédiaire du bénéficiaire ? nous sommes en pré-sence d’un paiement par carte ;– par le bénéficiaire, qui donne un ordre de paiement au PSP du payeur, fondé sur le consentement du payeur au bénéficiaire ? c’est de virement dont il est question[25].Mais où rangera-t-on l’initiation de paiement ? Elle semble certes déclen-cher une opération de virement, mais son client serait le bénéficiaire… Caractérisera-t-elle un 4e type d’opé-

[24] ABE qui précise au n° 10 de son document que « les intégrateurs de paiement proposant des services d’initiation de paiement sont considérés soit comme acquéreurs de services de paiement sur internet (et donc comme PSP) soit comme fournisseurs externes de services techniques aux systèmes concernés ou aux PSP ».[25] Dont la définition, absente de la DSP, figure désormais à l’article 4, 24 de la DSP 2 : « un service de paiement fourni par le prestataire de services de paiement qui détient le compte de paiement du payeur et consistant à créditer, sur la base d’une instruction du payeur, le compte de paiement d’un bénéficiaire par une opération ou une série d’opérations de paiement réalisées à partir du compte de paiement du payeur ».

rations de paiement ?Perturbations (nécessaires) liées aussi à la vie des opérations de paiement. On en relèvera deux en particulier :– autorisation d’une opération de paie-ment : par principe, une opération de paiement est réputée autorisée si le payeur a consenti à son exécution. Mais, aux termes de la DSP 2, « le consentement à l’exécution d’une opération de paiement peut aussi être donné par l’intermédiaire du bénéficiaire ou de prestataire de services d’initiation de paiement » (art. 64, 2) ;– preuve de l’authentification et de l’exécution : « Si l’opération de paiement est initiée par l’intermédiaire d’un presta-taire de services d’initiation de paiement, c’est à ce dernier qu’incombe la charge de prouver que, pour ce qui le concerne, l’opération en question a été authentifiée et dûment enregistrée et qu’elle n’a pas été affectée par une déficience technique ou autre en relation avec le service de paiement qu’il doit assurer » (art. 72, 1, al. 2).

15. Agrément. À la différence notable des PSIC (seulement enregistrés), les PSIP devront être agréés aux termes d’une procédure qui, sauf certains points (fonds propres, etc.), ne les traite pas différemment des autres PSP. Ni plus, ni moins[26], donc, mais, ce faisant, les PSIP seront soumis à des contraintes d’agrément « de droit com-mun » sensiblement plus lourdes que celles qui prévalent sous l’empire de la DSP[27].Par ailleurs, entre le montant mini-mal de 20 000 euros (service 6 de transmission de fonds) et maximal de 125 000 euros (services 1 à 5), les PSIP devront disposer d’un capital initial de 50 000 euros (art. 7).

16. Règles relatives à l’accès au compte de paiement. On les trouve détaillées à l’article 66 de la DSP 2. Il ne sert à

[26] Notons qu’il n’y aura pas de « petits PSIP » (ni d’ailleurs de « petits PSIC »), comme il y a de « petits EP » (ou de « petits EME ») sous plafond de 3 millions d’euros (art. 32).[27] En ce sens, v., dans ce même numéro, « Abécédaire de la DSP 2 », v° Agrément.

rien de tenter de les paraphraser.La mise en œuvre du service d’initia-tion de paiement suppose, du côté de son prestataire, qu’il :– ne détienne à aucun moment les fonds du payeur en liaison avec la fourniture dudit service ;– veille à ce que les données de sécu-rité personnalisées de l’utilisateur de services de paiement ne soient pas accessibles à d’autres parties que l’utilisateur et l’émetteur des-dites données et veille à transmettre celles-ci au moyen de canaux sûrs et efficaces ;– veille à ce que toute autre infor-mation relative à l’utilisateur de ser-vices de paiement, obtenue lors de la fourniture de services d’initiation de paiement, ne soit communiquée qu’au bénéficiaire et uniquement avec le consentement explicite de l’utilisateur de services de paiement ;– chaque fois qu’un paiement est initié, s’identifie auprès du PSPGC et communique avec lui, le payeur et le bénéficiaire de manière sécurisée, conformément à l’article 98, 1, d de la directive ;– ne stocke pas de données de paie-ment sensibles concernant l’utilisa-teur de services de paiement ;– ne demande pas à l’utilisateur de services de paiement des données autres que celles nécessaires pour fournir le service d’initiation de paiement ;– n’utilise, ne consulte ou ne stocke des données à des fins autres que la fourniture du service d’initiation de paiement expressément demandée par le payeur, et– ne modifie pas le montant, le béné-ficiaire ou tout autre caractéristique de l’opération (art. 66, 3).De son côté, le PSPGC :– communique de manière sécurisée avec les prestataires de services d’ini-tiation de paiement, conformément à l’article 98, 1, d précité ;– immédiatement après avoir reçu l’ordre de paiement d’un PSIP, four-nit à celui-ci, ou met à sa disposition,


cahier juridique

toutes les informations sur l’initia-tion de l’opération de paiement et toutes les informations auxquelles il a lui-même accès concernant l’exé-cution de l’opération de paiement ;– traite les ordres de paiement trans-mis grâce aux services d’un PSIP sans aucune discrimination, autre que fondée sur des raisons objectives, en termes de délai, de priorité ou de frais par rapport aux ordres de paiement transmis directement par le payeur (art. 66, 4).Le lien entre les premiers (PSIP) et les seconds (PSPGC) passe par le consentement explicite à l’exécution d’un paiement donné par le payeur, en vertu duquel ces derniers exé-cutent les actions prévues ci-dessus afin de garantir le droit du payeur de recourir à un service d’initiation de paiement (art. 66, 2).

17. Responsabilité. Le coup est rude pour les PSPGC (on ajouterait « ins-tallés ») : ils sont bien responsables en première ligne, quand bien même un PSIP se serait glissé dans l’opéra-tion de paiement : « Afin de garantir un niveau élevé de protection des consomma-teurs, le payeur devrait toujours être en droit d’adresser sa demande de remboursement à son prestataire de services de paiement gestionnaire du compte, même lorsqu’un prestataire de services d’initiation de paie-ment intervient dans l’opération de paie-ment. Cette disposition est sans préjudice de la répartition des responsabilités entre les prestataires de services de paiement » (cons. 74).De sorte que, opération de paiement non autorisée, non exécutée ou mal exécutée, le principe est le même : le payeur s’adresse en priorité à son PSPGC qui le rembourse. Après quoi, si le PSIP est responsable du dysfonctionnement de paiement, il indemnise immédiatement le PSPGC, à sa demande, pour les pertes subies ou les sommes payées en raison du remboursement du payeur.Sachant que, dans tous les cas de figure, c’est au PSIP de prouver que

l’opération de paiement a été authen-tifiée et dûment enregistrée et trai-tée sans déficience (art. 73 et 90). À relire ces textes, il n’est pas certain qu’ils soient scandaleux.

2.3. Un PSP atypique : l’émetteur d’instruments de paiement liés à une carte

18. De la confirmation de la dispo-nibilité des fonds. La DSP 2 fait le constat que les établissements de crédit demeurent la principale porte d’entrée des consommateurs pour obtenir des instruments de paie-ment. De là que l’émission d’un ins-trument de paiement lié à une carte par un PSP autre que celui qui gère le compte du client renforcerait la concurrence, ce qui nous amène sur le terrain de la confirmation de la disponibilité des fonds. Partant, « le prestataire de services qui émet l’ins-trument de paiement lié à une carte, en particulier des cartes de débit, pourrait mieux gérer et réduire son risque de crédit s’il obtient du prestataire de services de paiement gestionnaire du compte confir-mation de la disponibilité de fonds sur le compte du client » (cons. 67)[28]. Il convient de se référer au règlement (UE) 2015/751 du 29 avril 2015 rela-tif aux commissions d’interchange pour les opérations de paiement liées à une carte (règlement « CMI ») afin de savoir qu’un instrument de paie-ment lié à une carte est « tout instru-ment de paiement, y compris une carte, un téléphone mobile, un ordinateur ou tout autre dispositif technologique doté de l’application de paiement adéquate, qui permet au payeur d’initier une opé-ration de paiement liée à une carte qui n’est ni un virement ni un prélèvement au sens de l’article 2 du règlement (UE) n° 260/2012 » (art. 2, 20).Une disposition propre de la DSP 2, l’article 65, est consacrée à ces acteurs

[28] Étant ajouté que « dans le même temps, cette confirmation ne devrait pas permettre au prestataire de services de paiement gestionnaire du compte de bloquer des fonds sur le compte de paiement du payeur ».

que l’on nomme parfois card-based payment instrument issuers. En subs-tance, et à certaines conditions, « un prestataire de services de paiement gestionnaire du compte, à la demande d’un prestataire de services de paiement qui émet des instruments de paiement liés à une carte, confirme immédiatement si le montant nécessaire à l’exécution d’une opération de paiement liée à une carte est disponible sur le compte de paiement du payeur ».Le régime de la confirmation de la disponibilité des fonds (duquel sont soustraites les cartes qui stockent de la monnaie électronique) est intéres-sant à plus d’un titre :– c’est à son PSPGC, et non au pres-tataire « tiers », que le payeur donne son consentement ;– la confirmation de la disponibi-lité des fonds prend la forme d’un simple « oui » ou « non », mais pas d’un relevé de compte, étant ajoutée qu’elle ne peut être ni stockée ni uti-lisée à d’autres fins que l’exécution d’une opération de paiement : en somme, ce n’est pas une informa-tion sur le compte au sens du nou-veau service 8 ;– la confirmation ne permet pas au PSPGC de bloquer des fonds sur le compte du payeur (art. 65).

2.4. Les PSIC

19. Quand la DSP 2 sort de son lit. La formule paraîtra curieuse. Mais c’est elle que nous avons trouvée pour signifier que non, décidément non, les PSIC ne sont pas des PSP, ne « font » pas du paiement et se retrouvent ainsi dans un texte qui ne devrait pas être le leur.Le considérant 28 de la DSP 2 y voit d’ailleurs des services « complémen-taires » : « […] à la faveur des progrès technologiques, de nombreux services complémentaires ont également fait leur apparition ces dernières années, tels que les services d’information sur les comptes. Ces services fournissent à l’utilisateur de services de paiement des informations agrégées en


ligne concernant un ou plusieurs comptes de paiement qu’il détient auprès d’un ou de plusieurs autres prestataires de services de paiement et sont accessibles via des inter-faces en ligne du prestataire de services de paiement gestionnaire du compte. L’utili-sateur de services de paiement est donc en mesure d’avoir immédiatement une vue d’ensemble de sa situation financière à un moment donné ». En somme, l’infor-mation sur les comptes est bien un service d’assistance à gestion de ses finances personnelles, un PMF (Perso-nal Finance Management), mais certai-nement pas un service de paiement. Mais peu importe après tout, puisque le législateur européen a choisi, au prix de quelques contorsions, de le faire tel : « Ces services devraient égale-ment être régis par la présente directive, afin d’assurer aux consommateurs une protection adéquate en ce qui concerne les paiements qu’ils effectuent et les données relatives au compte ainsi qu’une sécurité juridique quant au statut des prestataires de services d’information sur les comptes ».Si bien que constitue le service 8 d’in-formation sur les comptes (Account Information Service – AIS) le « service en ligne consistant à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l’utili-sateur de services de paiement soit auprès d’un autre prestataire de services de paie-ment, soit auprès de plus d’un prestataire de services de paiement » (art. 4, 16).

20. Statut dérogatoire. La première dérogation, on l’a dit, et non des moindres, est que le PSIC sera le seul des PSP à ne pas devoir disposer de capital initial (article 7 a contrario) ni à être agréé mais enregistré, sans que l’on sache bien, pour l’heure, en quoi consistera cet enregistrement, ni si l’ABE a le projet d’édicter des règles de second niveau en la matière.Ce que l’on sait, en revanche, c’est que « compte tenu de la nature particu-lière de l’activité exercée et des risques liés à la prestation de services d’information sur les comptes, il convient de prévoir un régime prudentiel spécifique pour les pres-

tataires de services d’information sur les comptes » ; partant, qu’un article 33 de la DSP 2 prévoit le régime d’exemp-tion suivant au profit des PSIC :– ils sont exemptés de l’essentiel de l’application de la procédure (d’agré-ment) et des conditions communes aux EP (art. 33, 1) ;– ils sont traités comme des EP… à ceci près que, sauf quelques disposi-tions, les titres III (Transparence des conditions et exigences en matière d’information régissant les services de paiement) et IV (Droit et obliga-tions liés à la prestation et à l’utili-sation de services de paiement) de la DSP 2 ne leur sont pas applicables (art. 33, 2).Des PSP, certes, mais d’un genre bien particulier (d’aucuns seraient tentés d’y accoler « parasitaire »), de ceux qui « gravitent » autour du paiement plutôt qu’ils n’y participent directement.

21. Règles relatives l’accès aux don-nées de comptes de paiement. On les trouve détaillées à l’article 67 de la DSP 2. Nous les reprenons comme nous l’avons fait plus haut concer-nant les PSIP.Le PSIC :– fournit des services uniquement sur la base du consentement explicite de l’utilisateur de services de paiement ;– veille à ce que les données de sécu-rité personnalisées de l’utilisateur de services de paiement ne soient pas accessibles à d’autres parties que l’utilisateur et l’émetteur desdites données et veille, lorsqu’il transmet celles-ci, à utiliser des canaux sûrs et efficaces ;– pour chaque session de communi-cation, il s’identifie auprès du ou des PSPGC de l’utilisateur de services de paiement et communique avec celui-ci ou ceux-ci et l’utilisateur de services de paiement de manière sécurisée, conformément à l’article 98, 1, d de la directive ;– accède uniquement aux informa-tions provenant des comptes de paie-

ment désignés et des opérations de paiement associées ;– ne demande pas de données de paie-ment sensibles liées à des comptes de paiement ;– n’utilise, ne consulte ou ne stocke des données à des fins autres que la fourniture du service d’informa-tion sur les comptes expressément demandée par l’utilisateur de ser-vices de paiement, conformément aux règles relatives à la protection des données (art. 67, 2).De son côté, concernant les comptes de paiement, le PSPGC :– communique de manière sécurisée avec les prestataires de services d’in-formation sur les comptes, confor-mément à l’article 98, 1, d précité ;– traite les demandes de données transmises grâce aux services d’un PSIC sans aucune discrimination autre que fondée sur des raisons objectives (art. 67, 3).

III. LES DONNÉES DE COMPTE

22. Des différentes catégories de don-nées dans la DSP 2. Les données néces-saires à l’activité de paiement sont au nombre de deux. Se présentent d’une part les « données d’accès » (ou d’« authen-tification »), i. e. les « données de sécurité personnalisées » : « données personnali-sées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification » (art. 4, 31), l’utilisateur étant invité à prendre « toute mesure raisonnable pour préserver la sécurité de ses données de sécu-rité personnalisées » (art. 69, 2).Sont d’autre part envisagées, de manière inédite, les « données dange-reuses » : « “ données de paiement sensibles ”, des données, y compris les données de sécurité personnalisées, qui sont susceptibles d’être utilisées pour commettre une fraude », étant précisé de manière tout à fait remar-quable que, « en ce qui concerne les acti-vités des prestataires de services d’initiation de paiement et des prestataires de services d’information sur les comptes, le nom du titulaire du compte et le numéro de compte


cahier juridique

ne constituent pas des données de paiement sensibles » (art. 4, 32).Inédite est encore la place faite aux données sensibles de paiement dans le dossier d’agrément d’EP, qui doit réserver « une description du processus en place pour enregistrer, sur-veiller et restreindre l’accès aux données de paiement sensibles et garder la trace de ces accès » (art. 5, g).

23. Accès aux comptes de paiement, et ensuite ? Accéder au compte pour initier une opération de paiement, soit ; s’y introduire pour en récupérer des informations, même sans pou-voir mouvementer des fonds, est déjà plus dangereux dès lors que, vite, très vite, les données de paiement primeront le paiement lui-même (il se dit çà et là que l’arrivée de grands acteurs du numérique dans le paie-ment ne serait que le prétexte à en collecter les données…).Or il manque cruellement, dans la DSP 2 (et l’on ne trouve rien dans la directive Comptes de paiement), une définition des « données de compte », du type ou de la nature des don-nées que le titulaire du compte est en droit de données accès. Seules les données de paiement sensibles font pour l’heure l’objet d’une pâle définition (données susceptibles de fraude) et, on l’a d’ores et déjà vu, de deux règles protectrices minimes : le PSIP ne stocke pas de données de paiement sensibles concernant l’utilisateur de paiement (art. 66, 3, e) ; le PSIC ne demande pas de don-nées de paiement sensibles liées à des comptes de paiement (art. 67, 2, e). Et ensuite ?

24. La bataille des données. Il n’est peut-être pas excessif d’avancer que la « bataille des données de paie-ment » (ou des données de compte de paiement ou des données de transaction ; plus chic, la « bataille des data ») est (re)lancée par la pro-motion du service d’information sur les comptes. Il n’est pas cer-

tain que la DSP 2 en ait pris (toute) la mesure.Il y a bien, à l’article 94,2 une timide avancée par rapport à la DSP (art. 79), qui double l’exigence de finalité du traitement des données à caractère personnel (lutte contre la fraude), par le recueil du consentement : « Les prestataires de services de paiement n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et ne les conservent qu’avec le consentement explicite de l’utili-sateur de services de paiement ».Il y a surtout, c’est le bon moment, la nécessité impérieuse de lire la DSP 2, en parallèle de cet autre grand texte contemporain : le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règle-ment général sur la protection des données). Cela tombe assez bien : DSP 2 et règlement général seront applicables à quelques mois d’in-tervalle, 13 janvier 2018 pour l’un, 25 mai 2018 pour l’autre.

25. Le consentement au recueil des données de compte. Mon compte et mes données sont à moi : nous croyons que la bataille des données ne sera pas (tout à fait) perdue pour le consommateur qu’au prix d’une contractualisation minutieuse avec les PSIP et, surtout, les PSIC, respon-sables de traitement ; qu’au prix de l’invention d’un nouveau genre de contrat-cadre de services de paie-ment d’initiation et d’information, qui ne devra plus être seulement d’adhésion mais bien le résultat d’un consentement au sens du règlement général sur la protection des don-nées : « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement »

(Règl. gén., art. 4, 11)[29].Consentement que l’utilisateur de services de paiement devrait pou-voir retirer à tout moment et aussi facilement qu’il l’a donné (art. 7, 3), tout en pouvant faire valoir, auprès de son responsable de traitement, PSIP ou PSIC, sous certaines condi-tions, son droit à l’effacement ou à l’oubli (art. 17).

26. Et tout l’arsenal du règlement général sur la protection des don-nées. Ce n’est point le lieu de dérou-ler l’ensemble des mesures qu’offre ou offrirait le règlement afin de sécu-riser les nouveaux services d’initia-tion de paiement et, surtout (mais on peut penser qu’ils iront souvent ensemble, et seront même redou-tables de la sorte), et d’information sur les comptes.Sinon pour avancer, au moins, que la protection des données « dès la conception » (data protection by design) sera sans doute bien adaptée à notre matière (Règl. gén., art. 25). Ou que la nouvelle procédure de l’analyse d’im-pact se révélerait particulièrement adaptée, sachant que « lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le res-ponsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère per-sonnel » (art. 35, 1).Par un communiqué du 1er juin 2016, l’ACPR annonçait la création d’un Pôle FinTech Innovation. Et si un pôle commun était créé avec la CNIL ? n

[29] Comp. art. 6, 1, a : « Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques […] ».


On sait[1] que l’authentifi-cation forte du payeur est exigée dans trois hypo-thèses : lorsqu’il accède à

son compte de paiement en ligne, ini-tie une opération de paiement électro-nique et exécute à distance une action à risque de fraude ; cas de figure aux-quels il faut ajouter l’intervention d’un prestataire de services d’initiation de paiement (PSIP) ou d’un prestataire de services d’information sur les comptes (PSIC) (DSP 2, art. 97). L’enjeu, pour ces derniers, est exposé au point 1 de l’article 97 : « Les États membres veillent à ce que le prestataire de services de paiement gestionnaire du compte autorise le prestataire de services d’initiation de paiement et le presta-taire de services d’information sur les comptes à se fonder sur les procédures d’authentifica-tion prévues par le prestataire de services de paiement gestionnaire du compte à l’inten-tion de l’utilisateur de services de paiement […] ». Partant, l’article 98 de la DSP 2 donne mandat à l’ABE[2] d’élaborer des projets de normes techniques de réglementation (RTS[3]), en y ajou-

[1] Cf. P. Storrer, « Abécédaire de la DSP 2 », Revue Banque n° 793, févr. 2016, p. 90, v° Authentification forte du client.[2] Cf. G. Gofffinet, « L’ABE va devoir préciser dans les deux prochaines années les conditions d’application de la seconde DSP », Hors-Série Banque et Droit, juill.-août 2016, p. 9.[3] Cf. DSP 2, cons. 107 : « Afin de garantir une application cohérente de la présente directive, la Commission devrait

De la dizaine de normes techniques et orientations que doit adopter l’Autorité bancaire européenne (ABE) d’ici l’entrée en application de la DSP 2, les Regulatory Technical Standards (RTS) relatifs à l’authentification et à la communication sont sans doute parmi les plus importantes.

DROIT DES MOYENS ET SERVICES DE PAIEMENT

Consultation Paper de l’ABE sur l’authentification et la communication

tant un volet « communication », dans la mesure où ces règles auront aussi à préciser « les exigences applicables aux normes ouvertes communes et sécurisées de communication aux fins de l’identification, de l’authentification, de la notification et de l’information, ainsi que pour la mise en œuvre des mesures de sécurité, entre les pres-tataires de services de paiement gestionnaires du compte, les prestataires de services d’initia-tion de paiement, les prestataires de services d’information sur les comptes, les payeurs, les bénéficiaires et d’autres prestataires de services de paiement » (DSP 2, art. 98, 1, d). Les projets de normes devront être soumis à la Commission d’ici au 13 janvier 2017, qui les adoptera par voie d’acte délégué (règlement ou décision), conformément à l’article 10 du règlement (UE) n° 1093/2010 du 24 novembre 2010 instituant l’ABE. Étant toutefois précisé que lesdits RTS ne seront applicables que 18 mois après leur adoption par la Commission, ce qui nous amènerait à octobre 2018 « at the very earliest » (Consultation, p. 7).Pour ceux qui craignent que les portes ouvertes par la DSP 2 ne soient tôt

pouvoir s’appuyer sur l’expertise et le soutien de l’ABE, qui devrait être chargée d’élaborer des orientations et des projets de normes techniques de réglementation sur les questions de sécurité en matière de services de paiement, en particulier pour ce qui concerne l’authentification forte du client, et sur la coopération entre les États membres dans le contexte de la prestation de services et de l’établissement dans d’autres États membres des établissements de paiement agréés. »

refermées (et cadenassées) au prétexte d’exigences sécuritaires, on note ceci à l’alinéa 2 du point 1 de l’article 10 du règlement n° 1093/2010 : « Les normes techniques de réglementation sont de carac-tère technique, n’impliquent aucune décision stratégique ni aucun choix politique et leur contenu est délimité par les actes législatifs sur lesquels elles sont basées. » La prescrip-tion est à garder en mémoire.

MANDAT DONNÉ À L’ABEOutre la communication entre les diffé-rents acteurs de la chaîne du paiement, il est demandé à l’ABE, en étroite coo-pération avec la Banque centrale euro-péenne, de préciser tant les exigences relatives à l’authentification que les dérogations envisageables compte tenu du niveau de risque lié au service fourni, au montant et/ou au caractère récurrent de l’opération ainsi qu’au moyen utilisé pour exécuter l’opéra-tion (DSP 2, art. 98, 1, a et b, et 3). On observe par ailleurs qu’une attention particulière est réservée aux données de sécurité personnalisées[4] de l’uti-lisateur de services de paiement, dont la confidentialité et l’intégrité doivent être protégées (DSP 2, art. 98, 1, c).Les objectifs stratégiques et politiques que l’ABE devra suivre dans l’élabo-ration de ses projets de normes tech-niques de réglementation sont au nombre de cinq :

− garantir un niveau de sécurité appro-prié pour les utilisateurs de services

[4] Cf. DSP 2, art. 4, 31 : « Données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification. »

Pierre Storrer



Cet article est extrait de Revue Banque n° 800 , octobre 2016.

N° 800 octobre 201640 euros - ISSN 1772-6638

revue-banque.fr

24 DOSSIER

CRÉDITIMMOBILIERLe modèle français menacé 28 Massimiliano RimarchiEBA

23 Pervenche BerèsParlement européen

30 Michel BilgerCrédit Agricole SA

INTERVIEW

42 Les trésoriers confrontés à une volatilité omniprésenteJacques Molgo, Air Liquide

RELATION CLIENT

62 Big Data : des opportunités sur l’ensemble de la chaîne de valeurYvon Moysan, IÉSEG School of Management


cahier juridique

de paiement et les prestataires de ser-vices de paiement (PSP) par l’adoption d’exigences efficaces et fondées sur les risques ;

− garantir la sécurité des fonds et des données à caractère personnel des utilisateurs de services de paiement ;

− garantir et maintenir une concur-rence équitable entre l’ensemble des PSP ;

− garantir la neutralité du modèle commercial et des technologies, et

− permettre le développement de moyens de paiement innovants, acces-sibles et faciles à utiliser (DSP 2, art. 98, 2).À titre de considération générale, « lorsqu’elle élabore des normes techniques de réglementation concernant l’authentification et la communication, l’ABE devrait systéma-tiquement évaluer et prendre en considéra-tion la dimension “respect de la vie privée” afin de répertorier les risques associés à cha-cune des solutions techniques disponibles et les mesures qui devraient être mises en place pour réduire à un minimum les menaces pour la protection des données » (DSP 2, cons. 94). Cela est naturellement à mettre en parallèle avec le nouveau règlement général sur la protection des données du 27 avril 2016 (RGPD).

DE DISCUSSION EN CONSULTATION PAPERUn Discussion Paper on strong customer authentification and secure communica-tion fut publié le 8 décembre 2015, dont les réponses (au nombre de 118 dont 82 publiées sur le site de l’ABE) à la vingtaine de questions posées étaient attendues pour le 8 février 2016. Le temps est désormais au Consultation Paper on the draft Regula-tory Technical Standards specifying the requirements on strong customer authenti-fication and common and secure commu-nication under PSD2, lancé le 12 août 2016, et dont les retours sont atten-dus avant le 12 octobre. Est soumis à consultation le texte d’un règlement délégué de la Commission composé de quatre chapitres :

− Strong customer authentification ;

− Exemptions from strong customer authen-tification ;

− Protection of the confidentiality and integrity of the payment service users’per-sonalised security credentials ;

− Common and secure open standard of communication.Que retenir à ce stade du projet de règlement objet de la présente consul-tation ? En matière d’authentification forte, d’abord, et sans entrer dans le détail (technique) des mesures pro-posées (code d’authentification, lien dynamique, etc.), on peut observer qu’un examen régulier de la pro-cédure d’authentification forte est envisagé : « The overall security of the strong customer authentication procedure shall be periodically tested, evaluated and audited by internal or external independent and certified auditors. The periodicity of these audits shall be defined according to the relevant audit framework of the pay-ment services provider » (art. 7, 1). On retrouve une telle logique d’accoun-tability, chère au RGPD, en matière de protection de la confidentialité et de l’intégrité des données de sécurité personnalisées : « The overall security of measures to protect the confidentiality and integrity of payment service users’per-sonalised security credentials, as referred to in articles 9 to 15, shall be documented, periodically tested, evaluated and audited by internal or external independent and certified auditors » (art. 16, 1).Concernant les exemptions à l’au-thentification forte, allusion semble être faite aux PSIC à l’article 8, 1, a, dans la mesure où est exempté le payeur qui accède exclusivement aux informations de son compte de paiement en ligne, « or the consolidated information on other payment accounts held, without disclosure of sensitive pay-ment data », exemption qui cesse lorsque « the payer accesses the informa-tion of its payment account online, or the consolidated information on other payment accounts held, for the first time » ou « the payer accesses the information of its pay-ment account online, or the consolidated information on other payment accounts

held, later than one month after the last day in which strong customer authenti-cation was applied ».On terminera par dire quelques mots sur ce qui sera au cœur des « tensions » entre PSP gestionnaires de compte, d’une part, et PSIP et PSIC d’autre part : les « normes ouvertes communes et sécurisées de communication » de l’article 98, 1, d de la DSP 2. Le siège de la matière est l’article 19 de la proposition de règle-ment, dont on citera le point 1 :« Account servicing payment service provi-ders that are offering to a payer a payment account that is accessible online shall offer at least one communication interface enabling :

− Account information service providers, payment initiation service providers and payment service providers issuing card-based payment instruments to identify themselves towards the account servicing payment service provider ;

− Account information service providers, payment initiation service providers and payment service providers issuing card-based payment instruments to securely communicate with the account servicing payment service provider for requesting payment account information, initia-ting payments from the payer’s payment account and receiving confirmation whether an amount necessary for the execution of a card-based payment transaction is avai-lable on the payment account of the payer ;

− Account information service providers and payment initiation service providers to rely on the authentication procedures provided by the account servicing payment service provider to the payment service user ».

UN EXERCICE DÉLICATLaissons à un membre de l’ABE le soin de conclure que celle-ci se livre à un exercice délicat puisqu’elle « écrit actuellement des normes qui ne seront effec-tives que dans deux ans et demi au plus tôt, alors que le rythme des innovations est par-ticulièrement élevé dans ce secteur. D’autant que c’est la première fois que des exigences de sécurité en matière de paiement seront inscrites dans la loi européenne »[5]. n

[5] G. Goffinet, précit., p. 13.

“Une attention particulière est réservée aux données de sécurité personnalisées de l’utilisateur de services de paiement, dont la confidentialité et l’intégrité doivent être protégées.”


Pierre Storrer



La méthode de l’abécédaire manque

peut-être d’ambition mais a fait

ses preuves. Elle présente le mérite de

permettre un accès simple et rapide à

l’information. Le temps de la systéma-

tisation viendra plus tard. La voici donc

publiée au Journal officiel de l’Union euro-

péenne du 23 décembre 2015, la directive

2015/2366 du 25 novembre 2015 concer-

nant les services de paiement dans le

marché intérieur, dont l’acronyme est

déjà entré dans le langage courant des

acteurs du paiement : la DSP 2.

La voici donc, cette nouvelle loi fon-

damentale des services de paiements,

forte de 113 considérants (DSP : 63) et

117 articles (DSP : 96), divisés en six titres :

− I. Objet, champ d’application et défi-

nitions ;

− II. PSP ;

− III. Transparence des conditions et

exigences en matière d’informations

régissant les services de paiement ;

− IV. Droits et obligations liés à la pres-

tation et à l’utilisation de services de

paiement ;

− V. Actes délégués et normes tech-

niques de réglementation ;

− VI. Dispositions finales.

A

1. ABE. Un rôle majeur de coordination

est confié à l’ABE, telle qu’instituée par le

La DSP 2 de A à (presque) Z, telle est l’ambition, non systématique,

de cet exposé de la future loi fondamentale du droit des services de paiement.

DROIT DES MOYENS ET SERVICES DE PAIEMENT

Abécédaire

règlement n° 1093/2010 du 24 novembre

2010 (cons. 91). Son action va de la rédac-

tion de projets de normes techniques

de réglementation au règlement des

différends entre autorités compétentes

des États membres. Elle est par ailleurs

chargée de la tenue d’un registre central

électronique alimenté des informations

enregistrées dans les registres publics

des différentes autorités compétentes

(Voir Registre central de l’ABE).

Les mesures techniques que l’ABE est

censée prendre sont dites de « second

niveau » (Regulatory technical standards –

RTS). La DSP 2 étant truffée de renvois à

celles-ci, on craint que la substance du

futur droit des paiements soit davantage

de second que de premier niveau, que les

normes techniques prennent le pas sur

les règles juridiques. Quoi qu’il en soit,

et c’est assez considérable, les services

de paiement intègrent le champ du sys-

tème européen de surveillance financière

(dit SESF), cependant que les PSP (et les

EME) rejoignent la catégorie des « établis-

sements financiers » au sens du règlement

n° 1093/2010 précité (art. 112).

Pour l’heure, l’ABE a rendu publics les

documents suivants :

− Discussion Paper on future Draft Regula-

tory Technical Standards on strong customer

authentification and secure communication

under the revised Payment Services Directive

(PSD2) (8 déc. 2015) ;

− Consultation Paper – Draft Regulatory

Technical Standards on separation of payment

card schemes and processing entities under

Article 7 (6) of Regulation (EU) 2015/751

(8 déc. 2015) ;

− Consultation Paper – Draft Regulatory

Technical Standards on the framework for coo-

peration and exchange information between

competent authorities for passport notifica-

tions, under PSD2 (11 déc. 2015).

En attendant, ont été publiées, le

19 décembre 2014, les orientations finales

de l’ABE – qui prolongent elles-mêmes les

recommandations du Forum européen

SecuRe Pay : Recommandations for the secu-

rity of internet payments de janvier 2013 et

Recommandations for the security of payments

account access services de mai 2014 –, sur

lesquelles nous devrions « vivre » d’ici la

transposition de la DSP 2. Où s’avère d’ores

et déjà qu’un droit de second niveau l’est

aussi en termes de qualité de rédaction.

2. Accès (aux comptes bancaires). Voici,

nous semble-t-il, une disposition inédite

en forme de droit au compte : « Les États

membres veillent à ce que les établissements

de paiement aient un accès objectif, non dis-

criminatoire et proportionné aux services de

comptes de paiement des établissements de

crédit. Cet accès est suffisamment étendu

pour permettre aux établissements de paie-

ment de fournir des services de paiement de

manière efficace et sans entraves.

Cet article est extrait de Revue Banque n° 793, février 2016.

20 DOSSIER

CYBERCRIMINALITÉ

Un risque systémique pour les banques

Édouard Fernandez-BolloACPR

Jean-Sébastien GoetschySociété Générale

Michel SpiriBanque de France

FINTECH

52 « Il est encore possible de faire un PayPal européen » INTERVIEW Damien Guermonprez, Lemon Way

DROIT DES MOYENS DE PAIEMENT

76-88 Abécédaire

Pierre Storrer,Kramer Levin Naftalis & Frankel LLP

N° 793 février 201640 euros - ISSN 1772-6638

revue-banque.fr


cahier juridique

L'établissement de crédit communique à l'autorité compétente les raisons de tout refus » (art. 36).Nous ne savons trop ce que sont ces « ser-vices de comptes de paiement des établisse-ments de crédit ». Cela concernerait-il, entre autres, l’ouverture de comptes de cantonnement qui, on le sait, n’est pas toujours aisée pour les EP ou EME ? Le considérant 39 de la directive ne paraît pas l’exclure.

3. Accès (aux systèmes de paiement). Depuis leur création, ou presque, les éta-blissements para-bancaires (paiement, monnaie électronique) se plaignent de leur droit d’accès seulement indirect aux systèmes de paiement (i. e. traitement, compensation et/ou règlement des opé-rations de paiement). Le Livre vert s’était saisi de la question, mettant en avant que ces établissements ne pouvaient concur-rencer les banques sur un pied d’égalité, dès lors qu’ils étaient obligés de recou-rir à leurs services pour régler les paie-ments (p. 12).Alors, cette DSP 2, accorde-t-elle aux EP (et EME) un droit d’accès direct aux sys-tèmes de paiement ? La lecture des quatre considérants que la directive réserve à ce sujet (cons. 49 à 52) ne permet pas de répondre simplement. Celle de l’article 35 n’est guère plus éclairante, qui nous fait conclure que, manifestement, la DSP 2 n’apporte rien de neuf qui soit substantiel.

4. Agents (Point de contact central). C’est une nouveauté de la DSP 2, qui octroie

aux États accueillant des agents exerçant pour le compte d’un EP d’un autre État, la possibilité d’exiger de l’établissement qu’il désigne un point de contact central sur leur territoire, en charge – sans préju-dice de toute disposition relative à la LCB-FT[1] – d’assurer bonnes communication et information concernant la conformité avec les titres III (Transparence des condi-tions et exigences en matière d’informa-tion régissant les services de paiement) et IV de la directive (Droits et obligations liés à la prestation et à l’utilisation des services de paiement). Il s’agit de facili-ter la surveillance des réseaux d’agents, selon des critères à déterminer par l’ABE (cons. 44 et art. 29, 4)

5. Agent commercial. Voir 31, « Place de marché ».

6. Agrément. Les futures demandes d’agrément d’EP (on serait tenté d’ajou-ter « de droit commun » afin d’isoler les PSIP et les PSIC) seront sensiblement plus lourdes à instruire que celles qui ont cours aujourd’hui[2] : aux douze exigences de la DSP succéderont dix-sept issues de la DSP 2. Seront ainsi requis, en sus :

− une description de la procédure en place pour assurer la surveillance, le traitement et le suivi des incidents de sécurité et des réclamations de clients liées à la sécurité, y compris un méca-nisme de signalement des incidents (art. 5, 1, f ) ;

− une description du processus en place pour enregistrer, surveiller et restreindre l'accès aux données de paiement sen-sibles et garder la trace de ces accès (art. 5, 1, g) ;

− une description des dispositions en matière de continuité des activités, y compris une désignation claire des acti-vités essentielles, des plans d'urgence

[1] À ne pas confondre, donc, avec le représentant permanent à la LCB-FT, tel que prévu à l’article L. 561-3, VI du CMF.[2] Comp. le considérant 34, qui précise cependant que « la présente directive ne modifie pas de manière substantielle les conditions d’octroi et de maintien de l’agrément en tant qu’établissement de paiement ».

appropriés et une procédure prévoyant de soumettre ces plans à des tests et de réexaminer périodiquement leur adé-quation et leur efficience (art. 5, 1, h) ;

− une description des principes et des définitions appliqués pour la collecte de données statistiques relatives aux performances, aux opérations et à la fraude (art. 5, 1, i) ;

− un document relatif à la politique de sécurité, comprenant une analyse détail-lée des risques en ce qui concerne les services de paiement proposés et une description des mesures de maîtrise et d'atténuation prises[3] pour protéger les utilisateurs de services de paiement de façon adéquate contre les risques décelés en matière de sécurité, y com-pris la fraude et l'utilisation illicite de données sensibles ou à caractère per-sonnel (art. 5, 1, j).

7. Authentification forte du client. Celle-ci se définit (la définition est savoureuse) comme « une authentification reposant sur l'utilisation de deux éléments ou plus apparte-nant aux catégories “connaissance” (quelque chose que seul l'utilisateur connaît), “pos-session” (quelque chose que seul l'utilisateur possède) et “inhérence” (quelque chose que l'utilisateur est) et indépendants en ce sens que la compromission de l'un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidenti-alité des données d'authentification » (art. 4, 30)[4].Le siège de son régime se trouve à l’article 97 de la directive, aux termes duquel un PSP applique l’authentifica-tion forte du client lorsque (conditions cumulatives ?) le payeur :

− accède à son compte de paiement en ligne ;

− initie une opération de paiement élec-tronique[5] ;

[3] Le dernier alinéa de l’article 5, 1, exige que soit décrit comment ces mesures « garantissent un niveau élevé de sécurité technique et de protection des données, y compris pour les systèmes logiciels et informatiques utilisés par le demandeur ou par les entreprises vers lesquelles il externalise la totalité ou une partie de ses activités ».[4] Pour une définition plus complète, cf. Orientations finales de l’ABE, p. 6.[5] Sont exigés dans ce cas des éléments qui

REPÈRES

Acronymesn ABE : Autorité bancaire européenne (ou EBA : European Banking Authority)n CMF : Code monétaire et financiern EC : établissement de créditn EME : établissement de monnaie électroniquen EP : établissement de paiementn LCB-FT : lutte contre le blanchiment des capitaux et le financement du terrorismen PSP : prestataire de services de paiementn PSIC : prestataire de services d’information sur les comptesn PSIP : prestataire de services d’initiation de paiementn PSPGC : prestataire de services de paiement gestionnaires de comptes


− et exécute une action en ligne à risque (de fraude)… donc presque toujours.On aurait ainsi tort de réserver l’exigence d’authentification forte aux activités des PSIP et PSIC, même si ceux ceux-ci y sont soumis presque par nature (davantage pour les premiers que pour les seconds), comme les Orientations finales de l’ABE ont pu le prescrire : « L’initiation de paie-ment sur internet, ainsi que l’accès aux don-nées sensibles de paiement, doivent être protégés par une authentification forte du client » (p. 14).Une double règle importante figure par ailleurs au point 2 de l’article 74, au titre de la responsabilité du payeur en cas d’opérations de paiement non autorisées : « Lorsque le prestataire de ser-vices de paiement du payeur n’exige pas une authentification forte du client, le payeur ne supporte aucune perte financière éventuelle à moins qu’il ait agi frauduleusement. Lorsque le bénéficiaire ou son prestataire de services de paiement n’accepte pas une authentifica-tion forte du client, il rembourse le préjudice financier causé au prestataire de services de paiement du payeur ».L’article 98 de la DSP 2 mandate l’ABE afin de prendre des normes techniques de réglementation. À l’heure où ces lignes sont écrites, celles-ci font l’objet d’un Discussion Paper on future Draft Regula-tory Technical Standards on strong customer authentification and secure communication under the revised Payment Services Direc-tive (PSD2), publié le 8 décembre 2015.

C8. Capital initial. Les montants sont les suivants (art. 7) :

− 20 000 euros : service 6 : transmis-sion de fonds ;

− 50 000 euros : service 7 : initiation de paiement et ;

− 125 000 euros : services 1 à 5.D’où il ressort qu’aucun capital initial n’est exigé de la part des PSIC, pour cela, sans doute, qu’ils n’ont pas à être agréés mais seulement enregistrés.

établissent un lien dynamique entre l’opération, le montant et le bénéficiaire donnés.

9. Champ d’application territorial. L’élé-ment notable est celui de l’extension de l’essentiel des obligations d’information (titre III de la DSP 2) et des droits et obli-gations liés à la prestation et à l’utilisa-tion des services de paiement (titre IV) aux opérations dites « leg out »[6] ainsi qu’aux opérations dans des devises autres que l’euro (art. 2).

10. Contrat-cadre de services de paie-ment. Le droit des contrats-cadres de services de paiement demeure relative-ment stable. Tout au plus remarque-t-on ces quelques nouveautés :

− la mention dans le contrat-cadre de la procédure sécurisée applicable par le PSP pour la notification à l’utilisateur en cas de soupçon de fraude, de fraude avérée ou de menaces pour la sécurité (art. 52, 5, b) ;

− la résiliation du contrat-cadre n’en-traîne aucun frais pour l’utilisateur sauf si le contrat est en vigueur depuis moins de six mois (art. 55, 2).

D11. Données à caractère personnel. Avancée timide de la DSP 2 en regard de la DSP (art. 79), qui double l’exigence de finalité (lutte contre la fraude) du traite-ment de données à caractère personnel par le recueil du consentement : « Les prestataires de services de paiement n'ont accès à des données à caractère personnel nécessaires à l'exécution de leurs services de paiement, ne les traitent et ne les conservent qu'avec le consentement explicite de l'utilisa-teur de services de paiement » (art. 94, 2). La lecture du considérant 89 permet d’en saisir l’esprit : « En particulier, lorsque des données à caractère personnel font l'objet d'un traitement aux fins de la présente directive, la finalité devrait être précisée, la base juridique pertinente devrait être visée et les exigences de sécurité applicables de la directive 95/46/CE satisfaites, et les principes de nécessité, de proportionnalité, de limitation de la finalité et de la durée proportionnée de conservation devraient être respectés. De même, la pro-

[6] Vers ou depuis des pays hors Union européenne.

tection des données dès la conception et la protection des données par défaut devraient être intégrées dans tous les systèmes de trai-tement des données développés et utilisés dans le cadre de la présente directive ».Point, cependant, de prohibition des données personnelles à des fins com-merciales, comme celle-ci figure désor-mais dans les 4es directive et règlement anti-blanchiment[7], ce qui est à l’évi-dence regrettable.

12. Données de paiement sensibles. Nous avons à maintes fois regretté que les don-nées de paiement (ou de transaction) ne soient pas considérées comme sensibles, tant par les textes généraux sur la pro-tection des données à caractère person-nel que par la réglementation bancaire et financière. On a pu alors se féliciter que le droit anti-blanchiment nouveau compose désormais avec l’impératif de protection des données[8]. Las, la DSP 2 nous réserve une définition (les considé-rants sont quant à eux muets) – voire une place – décevante des (aux) « données de paiement sensibles », entendues comme celles « qui sont susceptibles d’être utilisées pour commettre une fraude » (art. 4, 32)[9]. Nous voilà bien avancés, si ce n’est que la catégorie recouvre les données de sécurité personnalisées et exclut, mais seulement vis-à-vis de l’activité de cer-tains (PSIP et PSIC) le nom du titulaire du compte et le numéro dudit compte.Quant au régime des données de paie-ment sensibles, il se résume à une règle générale et deux particulières aux deux nouveaux acteurs des services de paie-ment. En premier lieu, l’obtention de l’agrément d’EP suppose, entre autres, une description du processus en place pour enregistrer, surveiller et restreindre l’accès à de telles données et garder la

[7] Cf. Dir. 2015/849, 20 mai 2015, art. 41, 2, et Règl. 2015/847, 20 mai 2015.[8] Cf. P. Storrer, « Lutte anti-blanchiment : le pas de deux du législateur européen », Revue Banque n° 786, juill.-août 2015, p. 75.[9] Les orientations finales de l’ABE ne sont pas plus prolixes, sinon qu’elles les envisagent (sous l’appellation de données sensibles de paiement) différemment de la DSP 2, comme des données utilisées afin d’identifier et d’authentifier les clients ainsi que l’interface client (pp. 17-18).


cahier juridique

trace de ces accès (art. 5, 1, g). Les PSIP, ensuite, ne sont pas autorisés à stoc-ker de données de paiement sensibles concernant l’utilisateur de services de paiement (art. 66, 3, e). Enfin, les PSIC ne peuvent demander de données de paiement sensibles liées à un compte de paiement (art. 67, 2, e). Tout cela est bien beau, sauf que l’on ne sait quelles sont ces données qu’ils ne peuvent stoc-ker ou auxquelles ils ne peuvent avoir accès. L’ABE nous le dira peut-être…

13. Données de sécurité personnali-sées. La notion ne figurait pas dans la DSP. Elle couvre désormais les « données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentifi-cation » (art. 4, 31). L’expression « données de sécurité personnalisées » se substitue à celle, employée dans la DSP, de « dispo-sitifs de sécurité personnalisés »[10]. L’utili-

[10] On note que ces « données » de sécurité personnalisées ne sont pas, en anglais, des datas, mais des credentials.

sateur prend toute mesure raisonnable pour préserver la sécurité desdites don-nées (art. 69 2), qui peuvent être des données de paiement sensibles au sens de l’article 4, 32 de la DSP 2.Elles sont généralement délivrées par le PSPGC et utilisées par les PSIP ou les PSIC (cons. 30), dès lors soumis à certaines règles relatives à l’accès au compte de paiement (art. 66 : PSIP) ainsi qu’à l’accès aux données des comptes de paiement (art. 67 : PSIC). Une indication importante figure au considérant 69 : l’impératif de préserver la sécurité des données de sécurité personnalisées ne devrait pas empêcher ou compliquer le recours à des PSIC ou PSIP.À quoi l’on ajoute qu’un peu de constance des instances européennes serait appré-ciable en cette période de législation. Car, sauf erreur, les règles en vigueur sur la sécurité des paiements sur internet (les orientations finales de l’ABE, donc) ignorent la notion comme l’expression de « données de sécurité personnalisées » (sont-ce les « données d’authentification » dont parle l’ABE ?). Un peu de cohérence ferait du bien…

E14. Établissement de monnaie électro-nique et de paiement. EMEP : aurait pu se cacher derrière cet acronyme un statut unifié d’établissement de monnaie élec-tronique et de paiement. On se souvient toutefois que bien qu’ayant fait le constat que la frontière entre EP et EME tendait de plus en plus à « se brouiller sous l’effet de la convergence des technologies et des modèles d’entreprise », la proposition de DSP 2 avait écarté la fusion entre les deux statuts, faute de recul suffisant sur l’application de la DME 2, (trop) tardivement transposée dans certains États membres, dont la France.

15. Émetteurs d’instruments de paie-ment liés à une carte. Et si une troisième catégorie de PSP (i. e. en plus des PSIP et PSIC) était créée par la DSP 2, sans qu’on l’ait bien vue venir ? La question est liée à la « confirmation de la disponibi-lité des fonds », telle que la règle en est

posée à l’article 65 de la directive : « Les États membres veillent à ce qu'un presta-taire de services de paiement gestionnaire du compte, à la demande d'un prestataire de services de paiement qui émet des instru-ments de paiement liés à une carte, confirme immédiatement si le montant nécessaire à l'exécution d'une opération de paiement liée à une carte est disponible sur le compte de paiement du payeur […] »[11].Troisième catégorie d’acteurs (que l’on nomme volontiers Card-based payment instrument issuers), sans doute pas ; mais activité intermédiaire nouvelle, à l’évi-dence : l’émission d’un instrument de paiement lié à une carte par un PSP mérite selon le législateur européen d’être promue dès lors qu’elle émane d’un PSP non gestionnaire du compte (cf. cons. 67, 68 et 75)[12]. Nous sommes bien là au cœur de l’« idéologie » de la DSP, la 1 comme la 2 au demeurant.La confirmation prend la forme d’un simple « oui » ou « non » et ne permet pas au PSPGC de bloquer des fonds sur le compte de paiement du payeur (art. 65).

16. Émission et acquisition. Mais, au fait qu’est-ce qu’au juste, l’émission d’un instrument de paiement ? l’acqui-sition d’une opération de paiement ? se demande parfois le praticien (ou le pro-fesseur), confronté à la mise en œuvre du « service 5 ». Nous n’en avions pas de définition, ou presque[13], avant la DSP 2.

[11] Étant ajouté que la confirmation – qui prend la forme d’un simple « oui » ou « non » – ne permet pas au PSPGC de bloquer des fonds sur le compte de paiement du payeur.[12] On note que cette disposition ne s’applique pas aux instruments de paiement liés à une carte stockant de la monnaie électronique, compte tenu de la nature particulière de celle-ci.[13] Comp. Règl. 2015/751, 29 avr. 2015, relatif aux commissions d’interchange pour les opérations de paiement liées à une carte, cons. 29 : « Le service émetteur est fondé sur une relation contractuelle entre l’émetteur de l’instrument de paiement et le payeur, indépendamment du fait que l’émetteur détient les fonds au nom du payeur. L’émetteur met des cartes de paiement à la disposition du payeur, autorise les opérations aux terminaux ou aux dispositifs équivalents et peut garantir le paiement à l’acquéreur pour les opérations qui sont conformes aux règles du schéma en question », et cons. 30 : « Les services d’acquisition sont composés d’une chaîne d’opérations allant de l’initiation d’une opération de paiement liée à une carte au transfert des fonds sur le compte de paiement du bénéficiaire. »

RÉGLEMENTATION

Textes de référence

n DSP : directive 2007/64/CE, 13 nov. 2007, concernant les services de paiement.n DSP 2 : directive (UE) 2015/2366, 23 nov. 2015 concer-nant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n° 1093/2010, et abro-geant la directive 2007/64/CE.n Livre vert : « Vers un marché européen intégré des paie-ments par carte, par internet et par téléphone mobile », 11 janv. 2012, COM(2011) 941 final.n Règlement end date : règlement (UE) n° 260/2012 du 14 mars 2012 établissant des exigences techniques et com-merciales pour les virements et les prélèvements en euros.n Proposition de DSP 2 : proposition de directive concernant les services de paiement, 24 juill. 2013, COM(2013) 547 final. n Directive Comptes de paiement : directive (UE) 2014/92/UE du 23 juillet 2014 sur la comparabilité des frais liés aux comptes de paiement, le changement de compte de paiement et l’accès à un compte de paiement assorti de prestations de base.n Orientations finales de l’ABE : orientations finales de l’ABE sur la sécurité des paiements sur internet, 19 déc. 2014.n Règlement CMI : règlement (UE) 2015/751 du 29 avril 2015 relatif aux commissions d’interchange pour les opé-rations de paiement liées à une carte.


Il y a peu à dire sur l’émission d’instru-ments de paiement, définie comme « un service de paiement fourni par un prestataire de services de paiement convenant par contrat de fournir au payeur un instrument de paie-ment en vue d'initier et de traiter les opéra-tions de paiement du payeur » (art. 5, 45).Plus diserte est la directive quant à l’ac-quisition d’opérations de paiement, dont une définition neutre est intro-duite afin de dépasser le seul modèle de l’acquisition d’opérations par carte (cons. 10) : « un service de paiement fourni par un prestataire de services de paiement convenant par contrat avec un bénéficiaire d'accepter et de traiter des opérations de paiement, de telle sorte que les fonds soient transférés au bénéficiaire » (art. 5, 44). Étant précisé qu’une prestation technique de stockage de données ou de gestion des terminaux, parfois offerte aux PSP, ne doit pas être considérée comme de l’acquisition (cons. précit.).

17. Esprit de la loi. Huit ans, presque jour pour jour, séparent la DSP de la DSP 2. La première posa les fondements du marché unique des services de paie-ment ; la seconde entend les intégrer au sein d’un environnement bien plus large (et mouvant), celui du commerce élec-tronique et, au-delà encore, de l’écono-mie numérique. Cela était clairement exprimé dans le document intermédiaire qu’a été le Livre vert : « […] le commerce est en train de basculer du monde réel vers le monde virtuel. La manière d’acheter des biens et des services en Europe est en train de se transformer fondamentalement ».L’objectif fut alors de donner les moyens à l’Europe de « gérer les évolutions futures de l’“acte de payer” » (Livre vert) et lui permettre de « créer un environnement de paiement qui nourrisse la concurrence, favo-rise l’innovation et garantisse la sécurité », pour reprendre les termes de l’exposé des motifs de la proposition de DSP 2 du 24 juillet 2013 (p. 4). Proposition qui ajoutait à propos de la DSP : « Glo-balement, la directive reste adaptée à sa finalité ; en même temps, le cadre législatif de l’UE doit évoluer pour tenir compte des dernières évolutions technologiques et com-

merciales dans le domaine des paiements de détail » (p. 10). On retrouve cette idée au considérant 3 de la DSP 2, soulignant que « le marché des paiements de détail a connu d’importantes innovations techniques qui mettent à l’épreuve le cadre actuel ».Un texte, en somme, plus confortatif que révolutionnaire, la DSP 2 qui, outre bien sûr la promotion des prestataires de services non gestionnaires de compte, apporte d’abord confirmations et clari-fications de diverses règles. Cela étant, les changements apportés à la DSP sont trop nombreux pour qu’elle ne soit pas abrogée (cons. 113).

18. Établissement (Droit d’). Précision à notre sens inédite apportée par le consi-dérant 36 de la directive : pour éviter tout abus du droit d’établissement, l’EP qui demande l’agrément dans un État membre devrait justifier qu’il exerce au moins une partie de son activité dans cet État. En creux, l’article 11, 3 exige que les EP exercent au moins une partie de leur activité de prestation de services de paiement dans l’État membre dans lequel il est agréé.

19. Exclusion relative aux réseau et éven-tail (très) limités. D’une directive l’autre, l’exclusion dite de « réseau ou “éventail” limités » est très sensiblement remaniée, afin de pallier les dérives d’application, selon les États, de la DSP. Elle distingue désormais, aux termes de l’article 3, k, trois cas de figure, nettement individua-lisés, d’exclusion du champ d’applica-tion de la DSP 2 lorsqu’un instrument de paiement « spécifique » est utilisé de manière limitée :

− afin d’acquérir des biens ou services au sein d’un réseau limité de presta-taires de services directement liés par un contrat commercial à un émetteur professionnel, ou

− pour acquérir un éventail très limité de bien ou de services, ou

− lorsque l’instrument de paiement fait l’objet d’une réglementation publique à des fins sociales ou fiscales spécifiques dans le cadre de l’acquisition de biens ou de services spécifiques.

Le considérant 13 illustre ainsi les deux premières hypothèses[14] :

− réseau limité : par exemple utilisa-tion d’une marque de paiement unique, laquelle est utilisée dans les points de vente et apparaît, si possible, sur l’ins-trument de paiement utilisé dans ces points de vente ;

− éventail très limité : par exemple lorsque les possibilités d’utilisation sont effectivement limitées à un nombre donné de biens ou de services fonction-nellement liés, indépendamment du point de vente.Et puis une nouveauté de taille concer-nant l’exception de réseau ou d’éventail limité : dès lors que l’une et/ou l’autre activités exercées en ces cas dégage-rait une valeur totale des opérations de paiement exécutées au cours des douze mois précédent qui excéderait 1 000 000 euros, une notification doit être faite au régulateur, qui peut consi-dérer que l’activité n’est pas un réseau limité (art. 37, 2).

20. Exemption (« Petits EP »). La version initiale de la proposition avait abaissé à 1 000 000 euros (montant des opérations de paiement) le plafond d’exemption des « petits EP ». Le texte final revient quant à lui au plafond inscrit dans la DSP. Si bien que, les EP fournissant les services 1 à 6 (hors donc initiation de paiement et information sur les comptes) peuvent être exemptés en tout ou par-tie des procédures et conditions sta-tutaires dès lors que, notamment, « la moyenne mensuelle de la valeur totale des opérations de paiement exécutées, au cours des douze mois précédents, par la personne concernée, y compris tout agent dont elle assume l'entière responsabilité, ne dépasse pas une limite fixée par l'État membre et, en tout état de cause, ne s'élève pas à plus de 3 000 000 euros » (art. 32, 1, a).Une autre évolution, qui ne serait pas que sémantique, et donc d’une portée certaine : la DSP parlait de « dérogation »

[14] Adde, cons. 14, évoquant les cartes d’enseigne, cartes de carburant, cartes de membre, cartes de transport en commun, billets de parking, titres-repas et titres-services.


cahier juridique

aux règles statutaires, là où la DSP 2 uti-lise bien le terme « exempter » ; il ne serait ainsi plus question de faire une excep-tion, mais bien de sortir les petits éta-blissements du statut commun des EP.

21. Exemption (PSIC). Voir 42. PSIC (Enregistrement).

22. Externalisation. Une incise inté-ressante à l’article 19, 6, alinéa 2, de la directive, qui range « les systèmes infor-matiques » parmi les fonctions opéra-tionnelles importantes soumises au droit de l’externalisation. Cela va mieux en le disant.

F23. Facture opérateur. L’exclusion du champ d’application des services de paiement de la facture opérateur (impu-tation directe d’achats sur la facture de téléphone) est sensiblement réécrite dans la DSP 2, qui entend qu’elle ne dégénère pas en « service général d’inter-médiation des paiements » (l’expression est intéressante) (cons. 15). Services vocaux, tickets électroniques et dons (c’est une nouveauté) sont en consé-quence expressément visés au titre de l’exclusion de la facture opérateur, sous conditions de seuils (cons. 16) : la direc-tive ne s’applique pas « aux opérations de paiement proposées par un fournisseur de réseaux ou de services de communications électroniques en plus de services de commu-nications électroniques pour un abonné au réseau ou au service :

− effectuées pour l'achat de contenu numé-rique et de services vocaux, quel que soit le dispositif utilisé pour l'achat ou la consom-mation du contenu numérique et imputées sur la facture correspondante ; ou

− exécutées depuis ou au moyen d'un dispo-sitif électronique et imputées sur la facture correspondante dans le cadre d'activités cari-tatives ou pour l'achat de tickets ;

− à condition que la valeur de chaque opé-ration de paiement isolée visée aux points i) et ii) ne dépasse pas 50 euros et que : (i) la valeur cumulée des opérations de paie-ment pour un même abonné ne dépasse pas

300 euros par mois et (ii) lorsqu'un abonné préfinance son compte auprès du fournisseur de réseau ou de services de communications électroniques, la valeur cumulée des opéra-tions de paiement ne dépasse pas 300 euros par mois » (art. 3, l).On note que les prestataires exerçant une telle activité sont tenus d’adresser une notification au régulateur, accom-pagnée d’un avis d’audit annuel.

H24. Harmonisation. Comme sa devan-cière, la DSP 2 est d’harmonisation totale (art. 107), sous réserve d’une quinzaine d’options (Voir 28. Options).

I25. Information (Charge de la preuve). Ce n’est plus une faculté laissée aux États membres, qui doivent désormais disposer qu’« il incombe au prestataire de services de paiement de prouver qu’il a satisfait aux exigences en matière d’infor-mation » (art. 41).

L26. LCB-FT. La seule, ou principale, nou-veauté en comparaison de la DSP[15], concerne la sorte de droit d’opposi-tion de l’État membre d’accueil en cas de jeu du passeport par voie de libre établissement (agent ou succursale). Il est en effet prévu que les autorités de l’État d’origine puissent ne pas être d’accord avec les motifs « raisonnables » de préoccupation (en lien avec la LCB-FT) exprimés par les autorités de l’État d’accueil, auxquelles elles communi-queront les raisons de leur décision. Si l’évaluation des unes et des autres est défavorable, l’enregistrement de l’agent ou de la succursale peut être refusé ou retiré (art. 28, 2).

[15] Outre, naturellement, les références aux 4e directive (2015/849, 20 mai 2015) et règlement (2015/847, 20 mai 2015) Anti-blanchiment. Cf. P. Storrer, « Lutte anti-blanchiment : le pas de deux du législateur européen », Revue Banque n° 786, juill.-août 2015, p. 72.

On renvoie par ailleurs à quelques déve-loppements que les Orientations finales de l’ABE consacrent à la LCB-FT (p. 12).

N27. Notification des incidents. Il s’agit d’une nouveauté importante de la DSP 2, très « dans l’air du temps » : en cas d’incident opérationnel ou de sécurité majeur, les PSP seront tenus d’infor-mer sans retard injustifié leur auto-rité de supervision, voire leurs clients si leurs intérêts financiers sont mena-cés (art. 96).

O28. Options. On retiendra principale-ment les options permettant :

− d’exempter des « petits » EP (art. 32) ; − d’assimiler des micro-entreprises aux

consommateurs concernant la transpa-rence des conditions et les exigences en matière d’informations (art. 38, 2) ainsi que les droits et obligations liés à la prestation et à l’utilisation des ser-vices de paiement (art. 61, 3) ;

− de moduler les montants des opéra-tions de paiement nationales en dessous desquels est admissible une dérogation aux exigences en matière d’information (art. 42, 2) ou à certaines règles régissant l’autorisation ou l’exécution des opéra-tions de paiement (art. 63, 2) ;

− de prévoir des dispositions sur la résiliation du contrat-cadre plus favo-rable pour les utilisateurs de services de paiement (art. 55, 6) ;

− d’exiger, en cas d’opérations indivi-duelles, que les PSP fournissent tant aux payeurs qu’aux bénéficiaires les infor-mations requises sur support papier ou sur un autre support durable au moins une fois par mois gratuitement (art. 57, 3 et art. 58, 3) ;

− de ne pas accorder le bénéfice des procédures de règlement extrajudiciaire aux utilisateurs de services de paiement non consommateurs (art. 61, 2) ;

− d’interdire ou de limiter le droit du bénéficiaire d’appliquer des frais afin d’encourager la concurrence et favori-


ser l’utilisation de moyens de paiement efficaces (art. 62, 5).

P29. « Paquet paiement ». Tel que proposé le 24 juillet 2013, le « paquet paiement » voulu par la Commission européenne est désormais « ficelé », la DSP 2 ayant été précédée par le règlement 2015/751 du 29 avril 2015 relatif aux commissions d’interchange pour les opérations de paiement liées à une carte. On y ajou-terait volontiers le règlement 2015/847 du 20 mai 2015 sur les informations accompagnant les transferts de fonds.

30. Passeport européen[16]. On peut avancer qu’un droit du passeport euro-péen naît avec la DSP 2 (et, dans le même temps, s’étonner qu’il n’exista avant) ; droit composé de trois volets : procédure d’échanges entre les autori-tés compétentes de départ et d’arrivée, surveillance et mesures de réaction ou de sanction en cas de non-conformité.Les étapes de la procédure de demande d’exercice du droit d’établissement et de la liberté de prestation de services sont précisées, pour la première fois, à l’article 28[17] :

− transmission, par les autorités com-pétentes de l’État d’origine à celles de l’État d’accueil, dans un délai d’un mois à compter de leur réception, des infor-mations initialement communiquées par l’EP à son autorité ;

− dans ce même délai d’un mois, éva-luation puis communication en retour par les autorités de l’État d’accueil à celles de l’État d’origine de toutes infor-mations pertinentes, dont tous motifs raisonnables de préoccupation, notam-ment lié à la LCB-FT ;

− enfin, dans un délai de trois mois, les autorités compétentes de l’État

[16] Absent de la DSP, le terme de « passeport » apparaît aux considérants 41 puis 48 de la DSP 2.[17] On verra encore, EBA, Consultation Paper – Draft Regulatory Technical Standards on the framework for cooperation and exchange information between competent authorities for passport notifications, under PSD2, 11 déc. 2015.

d’origine communiquent leur décision à leurs homologues de l’État d’accueil ainsi qu’à l’EP.De manière inédite encore, un article entier, et long (article 28), est consa-cré à la « surveillance des établissements de paiement exerçant le droit d’établissement et la liberté de prestation de services ». Outre l’éventuelle désignation d’un point de contact central (voir 4., « Agent »), la dis-position traite de l’inspection sur place et offre la faculté aux autorités compé-tentes des États d’accueil d’exiger des EP opérant par voie de libre établissement sur leur territoire qu’ils leur adressent un rapport périodique sur les activités exercées sur ledit territoire.Sont enfin prévues des mesures en cas de non-conformité d’exercice du pas-seport européen, y compris la prise de mesures conservatoires dans des situa-tions d’urgence (art. 30), les unes et les autres, lorsqu’elles comportent des sanctions ou des restrictions à la liberté d’établissement ou de prestations de services, devant être dûment motivées et communiquées à l’établissement de paiement concerné (art. 31).

31. Place de marché (Agent commer-cial). Quand un adverbe change tout : en effet, l’intermédiation de l’achat ou de la vente de biens ou de services par un agent commercial ne sera exclue de la directive que si ce dernier agit « uni-quement » pour le compte du payeur ou du bénéficiaire (art. 3, b)[18]. Faut-il alors jeter par-dessus la DSP 2 le cri-tère de l’encaissement de fonds pour le compte de tiers si cher à l’ACPR[19] ? Pas tout à fait, mais autrement utilisé, à suivre le considérant 11 : « […] l'exclu-sion devrait dès lors s'appliquer lorsque les

[18] Aux termes duquel la directive ne s’applique pas « aux opérations de paiement allant du payeur au bénéficiaire, par l’intermédiaire d’un agent commercial habilité par contrat à négocier ou à conclure la vente ou l’achat de biens ou de services pour le compte du payeur uniquement ou du bénéficiaire uniquement ».[19] Cf. Rev. ACPR n° 21, janv.-févr. 2015, La régulation des nouveaux intervenants du marché des services de paiement, p. 6. Comp. P. Storrer, « L’encaissement de fonds pour le compte de tiers vaut-il fourniture de services de paiement ? », Revue Banque n° 777, nov. 2014, p. 86.

agents agissent uniquement pour le compte du payeur ou uniquement pour le compte du bénéficiaire, qu'ils soient ou non en posses-sion des fonds des clients ». En revanche, « lorsque les agents agissent à la fois pour le compte du payeur et du bénéficiaire (comme par le biais de certaines plateformes de com-merce électronique), ils devraient être exclus uniquement s'ils n'entrent à aucun moment en possession des fonds des clients ni n'exercent de contrôle sur ces fonds » (cons. précit.).

32. Prélèvement (carte). La figure « bâtarde » du prélèvement carte ferait-elle son entrée dans le droit des paie-ments ? On ne sait trop, sinon qu’est posée cette règle à l’article 75 de la DSP 2 : « Lorsqu’une opération de paiement est ini-tiée par ou par l’intermédiaire du bénéficiaire dans le cadre d’une opération de paiement liée à une carte et que le montant exact n’est pas connu au moment où le payeur donne son consentement à l’exécution de l’opéra-tion de paiement, le prestataire de services de paiement du payeur peut bloquer des fonds sur le compte de paiement du payeur uniquement si celui-ci a donné son consen-tement quant au montant exact des fonds à bloquer ». Serait-ce par-là encadrer la retenue de garantie pratiquée par les hôteliers, loueurs de voiture et autres ?

33. Prélèvement (Remboursement). Le droit à remboursement inconditionnel – qui nous a toujours paru étonnant dès lors que l’opération de paiement a été dûment autorisée – des prélèvements (figurant tant dans la DSP que dans le règlement end date, ainsi que dans notre monétaire et financier) survivra-t-il à la directive nouvelle ? Le considérant 76 de la DSP 2 l’affirme, qui « vise à instaurer un droit conditionnel au remboursement en tant qu’exigence générale pour toutes les opéra-tions de prélèvement en euros dans l’Union ». Mais il reconnaît aussi que ce droit n’est pas le seul garde-fou.De sorte qu’il peut être convenu dans le contrat-cadre de services de paiement entre le payeur et le PSP que le pre-mier n’a pas droit au remboursement à la condition que le payeur a donné son consentement l’exécution du pré-


cahier juridique

lèvement directement au PSP et, le cas échéant, que les informations relatives à la future opération de paiement lui ont été fournies quatre semaines avant son échéance par le PSP ou par le bénéfi-ciaire (art. 76, 3).

34. Prestataires de services tech-niques. Rien de nouveau, dans la DSP 2, concernant les termes de leur exclusion (demeure en particulier l’exigence qu’ils n’entrent à aucun moment en posses-sion des fonds à transférer), sinon que l’article 3, j réserve une exception : celle des services d’initiation de paie-ment et des services d’information sur les comptes. De sorte que ces derniers seraient les seuls services techniques qualifiés de services de paiement. Ils forment donc une catégorie intermé-diaire entre prestations techniques et prestations de services de paiement.Ajoutons que les exemples suivants de prestations techniques sont donnés : trai-tement et enregistrement des données, protection de la confiance de la vie pri-vée ( ?), authentification des données et des entités, technologies de l’informa-tion et fourniture de réseaux de télécom-munication, fourniture et maintenance des terminaux et dispositifs utilisés aux fins de services de paiement.

35. PSPGC. La DSP ne connaissait qu’une catégorie : les PSP, sans autre qualifica-tif. Il y a donc désormais deux catégories de PSP, les anciens qui demeurent pres-tataires de services « de paiement » à qui on accole « gestionnaires de comptes » ; les nouveaux qui ne sont pas prestataires de services « de paiement », à proprement parler, mais d’initiation de paiement ou d’information sur les comptes.Le droit des services de paiement – cela est à souligner d’un trait épais – se dis-tribue désormais selon que l’on tient, ou non, le compte du payeur. Selon que l’on gère, ou que l’on a seulement accès, le (au) compte de paiement : telle est la nouvelle summa divisio de la matière !Les PSPGC (account servicing payment service provider) se définissent comme les PSP qui fournissent et gèrent un

compte de paiement pour un payeur (art. 4, 17). Quant aux services liés au compte de paiement, ils comprennent tous les services liés, de manière géné-rale, à l’ouverture, à la gestion et à la clôture d’un compte[20]. Partant, on peut circonscrire les PSPGC comme les prestataires qui fournissent, au moins, des « services permettant d’effectuer toutes les opérations requises pour l’ouverture, la gestion et la clôture d’un compte de paie-ment »[21].Si bien que la DSP 2 entretient une rela-tion étroite, non pas tellement avec le règlement CMI (qui n’est jamais qu’un droit de la carte), mais avec la direc-tive Comptes de paiement, dont l’objet devient central. Les premiers considé-rants de cette dernière directive font d’ailleurs expressément le lien entre mar-ché des services de paiement et ouver-ture du secteur de la banque de détail.

36. Prestataires de services non ges-tionnaires de comptes (Cadre géné-ral). L’intention (il n’est pas inutile de la saisir lorsque l’on est confronté à un texte aussi dense que la DSP 2) est celle-ci : « Il est nécessaire de définir un cadre juridique clair fixant des conditions dans lesquelles les prestataires de services d’ini-tiation de paiement et les prestataires de ser-vices d’information sur les comptes peuvent fournir leurs services avec le consentement du titulaire du compte sans être obligés par le prestataire de services de paiement ges-tionnaire du compte d’appliquer un modèle commercial donné, qu’il repose sur un accès direct ou indirect, pour la prestation de ces types de services. Il convient que les presta-taires de services d’initiation de paiement et les prestataires de services d’information sur les comptes, d’une part, et le prestataire de services de paiement gestionnaire du compte, d’autre part, respectent les néces-saires exigences de protection des données et de sécurité prescrites ou visées dans la pré-sente directive ou incluses dans les normes techniques de réglementation » (cons. 93).

[20] Dir. Comptes de paiement, art. 2, 6.[21] Dir. Comptes de paiement, art. 17, 1, a.

37. Prestataires de services non ges-tionnaires de comptes (Fonds). L’on sait bien que la charge financière qui pèse sur les PSP n’est pas tellement en termes de capital initial mais davantage de fonds propres. Or, dans la mesure où ils n’entrent jamais en possession des fonds des utilisateurs (cons. 31 et 35), les PSIP et PSIC n’ont pas à disposer d’un montant minimum de fonds propres (art. 9)[22] ni, à l’évidence, obligation de les protéger (art. 10). Voilà une sacrée dérogation – certes naturelle – au régime commun des EP !

38. Prestataires de services non ges-tionnaires de comptes (Droit transi-toire). Deux importantes dispositions figurent à l’avant dernier article de la DSP 2 : i) les PSIP et PSIC qui exerçaient avant l’entrée en vigueur de la direc-tive, doivent pouvoir continuer leurs activités pendant la période transitoire et « conformément au cadre réglementaire actuellement en vigueur » (art. 115, 5) et ii) en attendant que l’ABE élabore les normes techniques de réglementa-tion concernant l’authentification et la communication (art. 98), les PSPGC ne peuvent abuser de leur non-conformité pour bloquer ou entraver l’utilisation des nouveaux services 7 et 8 (art. 115, 6). La DSP 2 entend ainsi garantir la continuité du marché (cons. 33).

39. Prestataires de services non ges-tionnaires de comptes (Notion). C’est à nos yeux la principale évolution du texte définitif de la DSP 2 par rapport à sa version d’origine publiée le 24 juillet 2013 : à l’origine, en effet, il était ques-tion de « PSP tiers »[23], c’est-à-dire ceux exerçant « les services fondés sur l’accès aux comptes de paiement fournis par un presta-taire de services de paiement qui n’est pas le prestataire de services de paiement ges-tionnaire du compte, sous la forme de : (a)

[22] Mais d’une assurance de responsabilité civile professionnelle.[23] Appelés encore « overlays payment service providers » (CCSF, Rapp. 2012, p. 54) ou « tiers de paiement » (Observatoire de la sécurité des cartes de paiement, rapp. 2014, p. 41.


services d’initiation de paiement ; (b) services d’information sur les comptes » (Prop. DSP 2, art. 4, 11 et annexe I, point 7). Dans la version finale du texte, en revanche, nos nouveaux prestataires de services ne sont plus tiers, mais bien intégrés parmi les autres PSP ; tiers à la ges-tion de comptes, certes – c’est même ce qui en fait leur particularité –, mais non plus à la prestation de services (de paiement). S’ils ne sont plus tiers (c’est entendu), intègrent-ils la catégorie des « PSP intermédiaires », au sens où le 4e règlement Anti-blanchiment les défi-nit (et leur réserve des règles propres) comme les PSP qui ne le sont ni du donneur d’ordre, ni du bénéficiaire, et qui reçoivent et transmettent un trans-fert de fonds pour le compte du PSP du donneur d’ordre ou du bénéficiaire ou d’un autre PSP intermédiaire (art. 3, 6) ?Certes, encore, la notion faîtière d’accès aux comptes, qui les unifiait, a disparu, au profit des deux services distincts : initiation de paiement et information sur les comptes. Mais que l’on arrête donc de parler encore de « PSP tiers », puisque ces derniers ne le sont plus, qu’ils sont PSP à part entière (ou presque), pour la simple et bonne raison qu’ils sont réglementés (on a suffisamment voulu qu’ils le soient) et que le terme de « tiers » n’est plus employé (accordons, de temps à autre, une signification aux mots). PSP tiers, non ; PSP non gestion-naires de compte, là est la « révolution » introduite par la DSP 2, la seule à rete-nir s’il n’en fallait qu’une. À retenir et à replacer dans le mouvement de fond de la désintermédiation bancaire (voire de celle du paiement[24]), en forme de désintermédiation entre gestion des comptes et accès aux comptes. La chose est considérable.Sans attribuer plus de sens qu’il n’en faudrait, on remarque enfin aux deux premiers considérants qui abordent nos

[24] Comp. les 3 (Règl. n° 1781/2006, 15 nov. 2006) et 4 règlement Anti-blanchiment (Règl. 2015/847, 20 mai 2015), qui connaissent la catégorie des « prestataires de services de paiement intermédiaires », intermédiaire de transfert de fonds sans être PSP du donneur d’ordre ou du bénéficiaire.

prestataires non gestionnaires de compte (les considérants 27 et 28) que les services d’initiation de paiement ressortissent des « nouveaux types de services de paiement », cependant que les services d’information sur les comptes sont qualifiés de « services complémentaires », donc pas vraiment des services de paiement, même s’ils figurent en 8e position dans la liste de ceux-ci.

40. Prestataires de services non ges-tionnaires de comptes (Règles com-munes relatives à l’accès au compte de paiement). On touche là le cœur du régime des PSIP et PSIC. L’accès au compte de paiement (tiers par défini-tion) par ces derniers est en conséquence encadré par deux principes généraux : dès lors que le compte de paiement est en ligne, les États membres garantissent le droit des payeurs de s’adresser à l’un ou à l’autre ; et la fourniture des services d’initiation ou d’information n’est pas subordonnée à l’existence de relations contractuelles entre PSIP et PSIC, d’une part, et PSGC de l’autre (art. 66, 1 et 5, et art. 67, 1 et 4). Cette dernière préci-sion est évidemment fondamentale : les relations entre le payeur et ses PSP demeurent bilatérales.L’accès aux comptes de paiement n’est cependant pas inconditionnel : un PSPGC peut en effet refuser à un PSIC ou à un PSIP l’accès à un compte de paiement pour des « raisons objectivement motivées et documentées liées à un accès non auto-risé ou frauduleux au compte de paiement », le payeur étant averti si possible avant le refus, sinon immédiatement après (art. 68, 5).

41. Prestataires de services non ges-tionnaires de comptes (Sécurité). Le rapport annuel 2014 de l’Observatoire de la sécurité des cartes de paiement a nommé cela « Les défis sécuritaires liés à l’émergence des tiers de paiement » (p. 41). La profession bancaire, de son côté, a tôt fait de manifester son inquiétude : « La FBF considère que la sécurité fait défaut dans la DSP 2 à plusieurs niveaux » ; « Certes, le principe d’authentification forte a été introduit dans la directive et une supervision partielle

de nouveaux acteurs est prévue. Mais l’en-semble est renvoyé aux textes d’application confiés à l’Autorité bancaire européenne et à la Commission ». (Fiche repère et Com-muniqué de presse, 9 oct. 2015).

42. PSIC (Enregistrement). Au contraire des PSIP, aux activités plus dangereuses, les PSIC n’ont point besoin d’être agréés – ni de disposer d’un capital initial mini-mum – mais seulement enregistrés, à condition de disposer au préalable d’une assurance de responsabilité civile professionnelle ou une autre garantie comparable (art. 5, 3).L’article 33 de la DSP 2 parle à cet égard d’« exemption » d’une partie des règles statutaires, tout en précisant que les PSIC « sont traités comme des établissements de paiement », étant toutefois entendu que l’essentiel du titre III (transparence des conditions et exigences en matière d’informations régissant les services de paiement) et IV (Droits et obligations liés à la prestation et à l’utilisation de services de paiement) ne leur est pas applicable. Des EP sans en être, donc…

43. PSIC (Notion). On les trouve décrits au considérant 28 de la DSP 2 : « Ces ser-vices fournissent à l'utilisateur de services de paiement des informations agrégées en ligne concernant un ou plusieurs comptes de paiement qu'il détient auprès d'un ou plusieurs autres prestataires de services de paiement et sont accessibles via des inter-faces en ligne du prestataire de services de paiement gestionnaire du compte. L'utili-sateur de services de paiement est donc en mesure d'avoir immédiatement une vue d'ensemble de sa situation financière à un moment donné ».Le service d’information sur les comptes (account information service) s’entend d’« un service en ligne consistant à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l'utilisateur de services de paiement soit auprès d'un autre prestataire de services de paiement soit auprès de plus d'un presta-taire de services de paiement » (art. 4, 16).L’habitude était prise de désigner les PSIC comme des « agrégateurs de don-


cahier juridique

nées ». La rigueur commande d’en abandonner l’usage trop facile.

44. PSIC (Passeport). Le doute est-il permis ? L’article 28 de la DSP 2 semble réserver le droit à passeportage aux seuls EP « agréés » ; or les PSIC ne sont qu’en-registrés. Pour autant, nonobstant leur régime prudentiel spécifique, le consi-dérant 48 expose qu’ils « devraient pouvoir fournir leurs services sur une base transfron-talière et bénéficieront des règles en matière de “passeport” ».

45. PSIC (Règles relatives à l’accès au compte de paiement). Le PSIC :

− fournit des services uniquement sur la base du consentement explicite de l’utilisateur de services de paiement ;

− veille à ce que les données de sécurité personnalisées de l’utilisateur de services de paiement ne soient pas accessibles à d’autres parties que l’utilisateur et l’émetteur desdites données, et veille, lorsqu’il transmet celles-ci, à utiliser des canaux sûrs et efficaces ;

− pour chaque session de communica-tion, il s’identifie auprès du ou des PSPGC de l’utilisateur de services de paiement et communique avec celui-ci ou ceux-ci et l’utilisateur de services de paiement de manière sécurisée, conformément à l’article 98, 1, d de la directive ;

− accède uniquement aux informations provenant des comptes de paiement désignés et des opérations de paie-ment associées ;

− ne demande pas de données de paie-ment sensibles liées à des comptes de paiement ;

− n’utilise, ne consulte ou ne stocke des données à des fins autres que la four-niture du service d’information sur les comptes expressément demandée par l’utilisateur de services de paiement, conformément aux règles relatives à la protection des données (art. 67, 2).De son côté, concernant les comptes de paiement, le PSPGC :

− communique de manière sécurisée avec les prestataires de services d’infor-mation sur les comptes, conformément à l’article 98, 1, d précité, et ;

− traite les demandes de données trans-mises grâce aux services d’un PSIC sans aucune discrimination autre que fondée sur des raisons objectives (art. 67, 3).

46. PSIP (Agrément). Ceux-ci sont sou-mis à agrément, à l’instar des autres PSP (mais à la différence des PSIC seu-lement enregistrés), à ceci près qu’ils doivent disposer au préalable d’une assurance de responsabilité civile pro-fessionnelle ou une autre garantie com-parable (art. 5, 2).Cela a déjà été dit plus haut : les PSIP devront disposer d’un capital initial d’au moins 50 000 euros (art. 7, b)).

47. PSIP (Notion). C’est le considérant 27 de la DSP 2 qui nous en parle le mieux : « Depuis l'adoption de la directive 2007/64/CE, de nouveaux types de services de paiement ont fait leur apparition, notamment dans le domaine des paiements par internet. En par-ticulier, les services d'initiation de paiement dans le domaine du commerce électronique ont évolué. Ces services de paiement inter-viennent dans les paiements dans le cadre du commerce électronique en établissant une passerelle logicielle entre le site internet du commerçant et la plate-forme de banque en ligne du prestataire de services de paie-ment gestionnaire de compte du payeur en vue d'initier des paiements par internet sur la base d'un virement ».Le considérant 29 est lui-même intéres-sant lorsqu’ils ajoutent que les services d’initiation de paiement permettent à leurs prestataires d’«assurer au bénéfi-ciaire que le paiement a été initié, dans le but d’inciter le bénéficiaire à livrer les biens ou fournir les services sans retard injusti-fié ». Voilà une utilité fort appréciable.Le service d’initiation de paiement (pay-ment initiation service) s’entend d’« un service consistant à initier un ordre de paie-ment à la demande de l'utilisateur de ser-vices de paiement concernant un compte de paiement détenu auprès d'un autre presta-taire de services de paiement » (art. 4, 15). Curieusement, les orientations finales de l’ABE intègrent les PSIP au sein de la catégorie plus large des « intégra-teurs de paiement », lesquels fournissent

au bénéficiaire (commerçant en ligne) une interface normalisée avec les ser-vices d’initiation de paiement. Si bien que « les intégrateurs de paiement propo-sant des services d’initiation de paiement sont considérés soit comme des acquéreurs de services de paiement sur internet (et donc comme PSP) soit comme des fournisseurs externes de services techniques aux systèmes concernés ou aux PSP » (p. 5).

48. PSIP (Opérations de paiement). On relève (sans gage d’exhaustivité) les quelques « règles de perturbation » sui-vantes, liées à l’initiation de paiement :

− opérations de paiement isolées : une place est réservée à l’initiation de paie-ment au sein des règles propres aux opé-rations de paiement isolées, auxquelles on renvoie pour le détail (art. 45 à 47) ;

− autorisation d’une opération de paie-ment : par principe, une opération de paiement est réputée autorisée si le payeur a consenti à son exécution. Mais, aux termes de la DSP 2, « le consentement à l’exécution d’une opération de paiement peut aussi être donné par l’intermédiaire du bénéficiaire ou de prestataire de services d’initiation de paiement » (art. 64, 2) ;

− preuve de l’authentification et de l’exé-cution : « Si l’opération de paiement est initiée par l’intermédiaire d’un prestataire de services d’initiation de paiement, c’est à ce dernier qu’incombe la charge de prouver que, pour ce qui le concerne, l’opération en question a été authentifiée et dûment enregistrée et qu’elle n’a pas été affectée par une déficience technique ou autre en relation avec le service de paiement qu’il doit assurer » (art. 72, 1, al. 2) ;

− responsabilité du PSP en cas d’opé-rations non autorisées : Voir PSIP (Res-ponsabilité).

49. PSIP (Règles relatives à l’accès au compte de paiement). La mise en œuvre du service d’initiation de paie-ment suppose, du côté de son presta-taire, qu’il :

− ne détienne à aucun moment les fonds du payeur en liaison avec la four-niture dudit service ;

− veille à ce que les données de sécu-rité personnalisées de l’utilisateur de


services de paiement ne soient pas accessibles à d’autres parties que l’uti-lisateur et l’émetteur desdites don-nées et veille à transmettre celles-ci au moyen de canaux sûrs et efficaces ;

− veille à ce que toute autre informa-tion relative à l’utilisateur de services de paiement, obtenue lors de la fourniture de services d’initiation de paiement, ne soit communiquée qu’au bénéficiaire et uniquement avec le consentement explicite de l’utilisateur de services de paiement ;

− chaque fois qu’un paiement est initié, s’identifie auprès du PSPGC et communique avec lui, le payeur et le bénéficiaire de manière sécurisée, conformément à l’article 98, 1, d de la directive ;

− ne stocke pas de données de paie-ment sensibles concernant l’utilisateur de services de paiement ;

− ne demande pas à l’utilisateur de ser-vices de paiement des données autres que celles nécessaires pour fournir le service d’initiation de paiement ;

− n’utilise, ne consulte ou ne stocke des données à des fins autres que la fourniture du service d’initiation de paiement expressément demandée par le payeur, et

− ne modifie pas le montant, le béné-ficiaire ou tout autre caractéristique de l’opération (art. 66, 3).De son côté, le PSPGC :

− communique de manière sécurisée avec les prestataires de services d’ini-tiation de paiement, conformément à l’article 98, 1, d précité ;

− immédiatement après avoir reçu l’ordre de paiement d’un PSIP, four-nit à celui-ci, ou met à sa disposition, toutes les informations sur l’initiation de l’opération de paiement et toutes les informations auxquelles il a lui-même accès concernant l’exécution de l’opération de paiement, et traite les ordres de paiement transmis grâce aux services d’un PSIP sans aucune dis-crimination, autre que fondée sur des raisons objectives, en termes de délai, de priorité ou de frais par rapport aux ordres de paiement transmis directe-

ment par le payeur (art. 66, 4).Le lien entre les premiers (PSIP) et les seconds (PSPGC) passe par le consen-tement explicite à l’exécution d’un paiement donné par le payeur, en vertu duquel ces derniers exécutent les actions prévues ci-dessus afin de garantir le droit du payeur de recourir à un service d’initiation de paiement (art. 66, 2).

50. PSIP (Responsabilité). La profession bancaire ne décolère pas, et on peut le comprendre, qui dénonce une sorte de responsabilité pour les activités du fait d’autrui. Car même lorsque les ini-tiateurs de paiement interviennent, ce sont bien les teneurs de compte qui sont directement responsables, en première ligne et intention, à charge ensuite de se retourner contre ces derniers. Certes, le considérant 74 dit que « la répartition des responsabilités entre le prestataire de services de paiement qui gère le compte et le prestataire de services d’initiation de paie-ment intervenant dans l’opération devrait contraindre ceux-ci à assumer la respon-sabilité des parties de l’opération qui sont sous leur contrôle respectif »[25]. Mais c’est après que le précédent ait énoncé que, « afin de garantir un niveau élevé de protection des consommateurs, le payeur devrait toujours être en droit d’adresser sa demande de remboursement à son presta-taire de services de paiement gestionnaire du compte, même lorsqu’un prestataire de services d’initiation de paiement intervient dans l’opération de paiement ».Le régime de responsabilité applicable à l’initiation de paiement est régi par les articles 73 et 90, selon un même principe : c’est le PSGC qui rembourse directement le payeur en cas d’opéra-tions de paiement non autorisées ou d’opérations non exécutées, mal exé-cutées ou tardivement exécutées, après quoi il peut demander remboursement au PSIC qui serait responsable de ces dysfonctionnements. C’est toutefois

[25] On n’oublie pas non plus que les PSIC et PSIP doivent disposer d’une assurance de responsabilité civile professionnelle afin précisément de couvrir l’engagement de leur responsabilité

sur ce dernier que pèse la charge de prouver que, pour ce qui le concerne, l’opération en question a été authen-tifiée et dûment enregistrée et qu’elle n’a pas été affectée par une déficience technique ou autre en relation avec le service de paiement qu’il doit assurer.

51. PSP. Deux précisions notables sont apportées à l’article 1er de la directive concernant les EC et les EME :

− sont considérées comme PSP les succursales d’EC situées dans l’Union, qu’elles le soient d’EC ayant leur siège dans l’Union ou en dehors ;

− quant aux succursales d’EME, sont visées celles qui sont situées dans l’Union mais ont leur siège en dehors, dans la mesure où les services de paie-ment fournis par elles sont liés à l’émis-sion de monnaie électronique.

R52. Registre central de l’ABE. L’instru-ment sera précieux : les informations inscrites dans les registres publics des États membres (liste des EP agréés ou exemptés et de leurs agents, services de paiement correspondants, etc.) seront centralisées dans un registre électro-nique établi, exploité et géré par l’ABE, aisément accessible au public (cons. 42 et art. 15).

53. Règlement extrajudiciaire des litiges. La DSP lui réservait une courte disposition ; la directive nouvelle est bien plus prolixe, il est vrai que le sujet est à la mode. Aussi bien, « en vue d’ins-taurer une procédure efficiente et efficace de résolution des litiges, les États membres devraient veiller à ce que les prestataires de services de paiement mettent en place une procédure efficace de réclamation que les utilisateurs de services de paiement peuvent suivre avant que le litige ne fasse l’objet d’une procédure de règlement extrajudi-ciaire ou ne soit porté devant une juridic-tion » (cons. 98). Les articles 99 à 103 déterminent en conséquence les pro-cédures de règlement extrajudiciaire des litiges.


cahier juridique

54. Responsabilité (Franchise). Aujourd’hui de 150 euros, la franchise de responsabilité en cas de paiement non autorisé consécutif à l’utilisation d’un instrument de paiement perdu ou volé, ou à son détournement, est abaissée à la somme de 50 euros, sauf, en particulier, si le payeur ne pouvait détecter de tels événements (cons. 71 et art. 74).

55. Risques opérationnels et de sécu-rité. La notion intègre pour la première fois de droit des services de paiement (Voir aussi, sur ce même registre, Noti-fication des incidents), les PSP devant désormais établir « un cadre prévoyant des mesures d’atténuation et des mécanismes de contrôle appropriés en vue de gérer les risques opérationnels et de sécurité, liés aux services de paiement qu’ils fournissent. Ce cadre prévoit que les prestataires de services de paiement établissent et maintiennent des procédures efficaces de gestion des incidents, y compris pour la détection et la classifica-tion des incidents opérationnels et de sécu-rité majeurs » (art. 95, 1).

S56. Services de paiement (Liste). Un sortant (le service 7 de la DSP[26]) et deux entrants, tels sont les huit ser-vices de paiement figurant désormais en annexe de la DSP 2 :« 1. Les services permettant de verser des espèces sur un compte de paiement et toutes les opérations qu'exige la gestion d'un compte de paiement.2. Les services permettant de retirer des espèces d'un compte de paiement et toutes les opérations qu'exige la gestion d'un compte de paiement.3. L'exécution d'opérations de paiement, y compris les transferts de fonds sur un

[26] Qui, semble-t-il, serait noyé dans le service 3 : cf. art. 109, 5 : « Nonobstant le paragraphe 1 du présent article, les établissements de paiement qui ont obtenu l’agrément pour fournir les services de paiement visés à l’annexe, point 7, de la directive 2007/64/CE, conservent cet agrément pour la fourniture desdits services de paiement qui sont considérés comme des services de paiement visés a l’annexe I, point 3, de la présente directive […] ».

compte de paiement auprès du prestataire de services de paiement de l'utilisateur ou auprès d'un autre prestataire de services de paiement :a) l'exécution de prélèvements, y compris de prélèvements autorisés unitairement,b) l'exécution d'opérations de paiement à l'aide d'une carte de paiement ou d'un dis-positif similaire,c) l'exécution de virements, y compris d'ordres permanents.4. L'exécution d'opérations de paiement dans le cadre desquelles les fonds sont couverts par une ligne de crédit accordée à l'utilisa-teur de services de paiement :a) l'exécution de prélèvements, y compris de prélèvements autorisés unitairement,b) l'exécution d'opérations de paiement à l'aide d'une carte de paiement ou d'un dis-positif similaire,c) l'exécution de virements, y compris d'ordres permanents.5. L'émission d'instruments de paiement et/ou l'acquisition d'opérations de paie-ment[27].6. Les transmissions de fonds.7. Les services d'initiation de paiement.8. Les services d'information sur les comptes ».

57. Surfacturation. La révision des pra-tiques de surfacturation (surcharging) s’imposait à raison de la publication de deux textes importants depuis la DSP. Aussi bien, le bénéficiaire du paiement n’est pas autorisé à appliquer de frais supplémentaires pour les instruments de paiement dont les commissions d’interchange sont réglementées par le règlement CMI ainsi que pour les services de paiement soumis au règle-ment end date (cons. 66 et art. 62, 4).L’option laissée aux États d’interdire ou de limiter le surcharging est main-tenue (art. 62,5).

[27] La formulation est plus heureuse que celle de la DSP, où il est question d’émission et/ou d’acquisition d’instruments de paiement.

T58. Transposition. La date butoir de transposition de la DSP 2 est fixée au 13 janvier 2018 (art. 115, 1). À l’occa-sion de la préparation des Assises des moyens de paiement qui se sont tenues en juin 2015, le Comité consultatif du secteur financier (CCSF) a manifesté la volonté de « transposer rapidement les élé-ments clés de la directive européenne DSP 2 pour favoriser les moyens innovants en levant certaines adhérences réglementaires [sic] et en évitant un empilement d’obliga-tions coûteuses à mettre en œuvre » (Syn-thèse des recommandations, p. 21).

V59. Virement. Était-ce un oubli ? Alors que seul le prélèvement était défini dans la DSP, le virement l’est désor-mais par la DSP 2, s’inspirant plus ou moins de la définition figurant dans le règlement end date 260/2012 du 14 mars 2012 : « un service de paiement fourni par le prestataire de services de paiement qui détient le compte de paiement du payeur et consistant à créditer, sur la base d'une ins-truction du payeur, le compte de paiement d'un bénéficiaire par une opération ou une série d'opérations de paiement réalisées à partir du compte de paiement du payeur » (art. 4, 24). Rien d’autre à signaler concernant le virement, qui continue à être seulement traité en tant que tel au sein de la liste annexée des services de paiement. n

Achevé de rédiger le 18 janvier 2016.

Visitezingwb.com/VCM

Wholesale Banking

Le paysage financier mondial n’a jamais connu une évolution aussi rapide. Il devient tous les jours un peu plus digital. Ce changement est une formidable opportunité de progrès. ING Virtual Cash Management vous permet de voir en un clin d’œil votre position actuelle de trésorerie partout dans le monde et à tout instant.

Cette vision d'ensemble, plus simple et plus claire, vous donne davantage de contrôle et une meilleure vision des finances de votre entreprise afin de vous permettre de prendre toujours les meilleures décisions stratégiques.

Ayez toujours une longueur d’avance avec ING.

Monde d’opportunités, me voilà

Construire l’avenir sur les meilleures idéesING Virtual Cash Management

Documents

le forum de la relation banque-entreprise - LES FINTECHS€¦ · MyStandards aide à simplifier le processus d'implémentation pour les entreprises quel que soit le canal utilisé