Me Cathie- Rosalie JOLY - ulys.net · Limites de chargement des supports + assujettissement à la réglementation LCB -FT + rapport annuel à l’ACP + mission de surveillance de

28/01/2014 www.ulys.net - www.droit-technologie.org - © ULYS 2012 1

PUBLINEWS – 13 DECEMBRE 2013 – E-WALLET

Me Cathie-Rosalie JOLYAvocat Associé Cabinet Ulys

Docteur en droit , thèse sur les paiements en ligne Avocat au barreau de Paris

Avocat communautaire au barreau de Bruxelles (Liste E) Chargée d’enseignement à l’Université Paul Cezanne (Aix Marseille III)

[email protected]

mailto:[email protected]�


I. Développer et sécuriser le e-commerceII. Améliorer la traçabilité et la sécurité des fluxIII. +10 ans d’évolution de la réglementation des

paiements en ligneIV. Classification des services V. Création de nouveaux statutsVI. Obligations de sécurisation des données et du SI


I - DÉVELOPPER ET SÉCURISER LE E-COMMERCE

Position de la Commission européenne

Objectif : Marché unique numérique d’ici 2015Le commerce électronique « représente un potentiel considérable d’effetsbénéfiques économiques, sociaux et sociétaux ».L’économie de l’Internet génère « 2,6 emplois pour un emploi détruit etatteint parfois 25 % de la création nette d’emploi ».

« Près de 35% des internautes n'achètent pas en ligne car ils doutent dela sécurité des Paiements.

Principales inquiétudes pour les consommateurs : la sécurité despaiements, la confiance, le respect de la vie privée et le manque d'accès

(Comm. CE, « Un cadre cohérent pour renforcer la confiance dans le marché unique numérique du commerce électronique et des services en ligne », COM(2011) 942 final)


II - AMÉLIORER LA TRAÇABILITÉ ET LA SÉCURITÉ DES FLUX FINANCIERS

Hausse de la fraude aux cartes bancaires (France : Etude février 2012 l'UFC-Que Choisir )

2010 – La fraude sur les paiements de proximité est maîtrisée (0,012% des montants) tandis que la fraude internet 0,276% des paiements nationaux et 1,36% des paiements internationaux.

Rapport 2011 de l’observatoire de la sécurité des cartes de paiement Montant total des paiements CB: € 533,7 Mds, soit une croissance de 7% par

rapport à 2010Montant total de la fraude: € 413,2 Millions en 2011, soit une augmentation de

12% par rapport à 2010 61% du montant de la fraude sur les paiements à distance (dont Internet) Taux de fraude sur le paiement à distance en forte augmentation à 0, 321% =>

le taux de fraude sur le paiement sur Internet se situe à 0, 341 %

Secteurs touchés : Voyage/transport, Commerce généraliste et semi-généraliste, Services aux particuliers et Téléphonie et communication: 70 % du montant de la fraude sur Internet


Les risques pour l’internaute:

Le site malhonnête : le site n’est pas un site marchand et utilise les identifiants bancaires pour réaliser des opérations frauduleuses.

Le piratage des identifiants bancaires pendant la communication par écoute de la ligne ou vol de fichiers client sur le serveur du site marchand Ou vol sur l’ordinateur par un programme espion.

Dévoiement (« pharming ») : Technique consistant à détourner subrepticement des communications à destination d'un domaine vers une adresse différente de son adresse légitime. (Vocabulaire de l'informatique et de l'internet, JO 12 fév. 2006 et 27 déc. 2009)


Hameçonnage ou filoutage (« phishing ») : Technique de fraude visant à obtenir des informations confidentielles, telles que des mots de passe ou des numéros de cartes de crédit, au moyen de messages ou de sites usurpant l'identité d'institutions financières ou d'entreprises commerciales.


1 - Adoption de la DME118/09/2000

2 - Transposition de la DME1

27/04/2002

3 - Rapport sur la DME1 (révision avril 2005)2004 – 2005-2006

4 - Adoption proposition de DSP1

01/12/2005

5 - Adoption de la DSP113/11/2007

6 - Adoption proposition de DME2

13/10/2008

7 - Adoption de la DME216/09/2009

8 - Transposition de la DSP1

01/11/2009

9 - Transposition de la DME2

30/04/2011

10 Rapport sur la DSP et la DME2

Fin 2012

III – EVOLUTION DE LA RÉGLEMENTATION

+ 10 ans


DME1 - Directive 2000/46/CE du Parlement européen et du Conseil du 18 septembre 2000 concernant l’accès à l’activité des établissements de monnaie électronique

A été adoptée en réaction à l’émergence de nouveaux produits de paiement électronique prépayés et visait à créer un cadre juridique clair destiné à renforcer le marché intérieur tout en garantissant un niveau adéquat de surveillance prudentielle

Règlement n° 2002-13 du 21 novembre 2002 relatif à la monnaie électronique et aux établissements de monnaie électronique

DSP - Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur

a établi un cadre juridique moderne et cohérent pour les services de paiement, en prévoyant notamment la coordination des dispositions nationales relatives aux exigences prudentielles pour une nouvelle catégorie de prestataires de services de paiement, à savoir les établissements de paiement.

A été transposée en France par l’ordonnance n° 2009-866 du 15 juillet 2009 et ses décrets d’application


DME2 - Directive 2009/110/CE du Parlement européen et du Conseil du 16 septembre 2009 concernant l’accès à l’activité des établissements de monnaie électronique et son exercice ainsi que la surveillance prudentielle de ces établissements, modifiant les directives 2005/60/CE et 2006/48/CE et abrogeant la directive 2000/46/CE

supprimer les obstacles à l’entrée sur le marché et de faciliter l’accès à l’activité d’émission de monnaie électronique et son exercice et garantir des conditions de concurrence équitables à tous les prestataires de services de paiement.

A été transposée en France par la LOI n° 2013-100 du 28 janvier 2013 portant diverses dispositions d’adaptation de la législation au droit de l’Union européenne en matière économique et financière et ses décrets et Arrêtés d’application du 2 au 7 mai 2013

Objectifs du projet de DSP2 Deuxième Proposition de Directive concernant les services de paiement dans le marché intérieur publiée le 24 juillet 2013 :

- Améliorer le fonctionnement du marché intérieur des services de paiement

- Soutenir les autres politiques conduites par l’UE dans les domaines de la protection des données, des sanctions administratives et de la lutte contre le blanchiment de capitaux et le financement du terrorisme par exemple


e-wallet

E-WALLET ?

IV – CLASSIFICATION DES SERVICES


IV – CLASSIFICATION DES SERVICES

•délivrance de chéquiers•émission/gest° des chèques de voyage•émission/gest° de moyens de paiement hors services de paiement

SERVICES BANCAIRES DE PAIEMENT

• versement d'espèces sur un CP • retrait d'espèces sur un CP •exécution d’opérations de paiement (prélèvement – Sepa Direct Debit, paiement carte ou

dispositif similaire, virements – Sepa Credit Transfer) associées à un CP•exécution des opérations de paiement énoncées ci-dessus lorsqu’elles sont associées à une

ouverture de crédit •émission et / ou acquisition de moyens de paiement ;• transmission de fonds ;•exécution de paiement opérateurs Telecom ou FAI -opérateur du système ou réseau agit

comme intermédiaire

SERVICES DE PAIEMENT

•Emission de monnaie électronique : «une valeur monétaire qui est stockée sous une forme électronique, y compris magnétique, représentant une créance sur l’émetteur, qui est émise contre la remise de fonds aux fins d’opérations de paiement telles que définies à l’article 4, point 5), de la directive 2007/64/CE et qui est acceptée par une personne physique ou morale autre que l’émetteur de monnaie électronique

SERVICES DE MONNAIE ÉLECTRONIQUE


Art. L. 314-1.-I du CMF« Est un compte de paiement, un compte détenuau nom d'une ou de plusieurs personnes, utiliséaux fins de l'exécution d'opérations de paiement. »

Art. L. 133-3.-I.« Une opération de paiement est une actionconsistant à verser, transférer ou retirer des fonds,indépendamment de toute obligation sous-jacenteentre le payeur et le bénéficiaire, ordonnée par lepayeur ou le bénéficiaire. »

Compte de monnaie électronique : Pas dedéfinition légale

E-wallet entre compte de monnaie électroniqueet compte de paiement ?


•Exception paiements par téléphone ou par Internet qui ne sont pas des SP : l’opérateur y apporte une valeur ajoutée intrinsèque, (systèmes d’accès, de recherche ou de distribution …)

•Exception monoprestataire pour l'achat auprès de l’émetteur ou auprès d'entreprises liées avec lui par un accord de franchise commerciale, d'un bien ou d'un service déterminé (art. L. 511-7, I, 5° et art. L. 521-3, II + art. 11 du projet de loi et projet d’art. L. 525-5 du CMF)

•Opérations de paiement intragroupe (art. L. 311-4, 2° du CMF)

SERVICES LIBRES


• instruments pour l'acquisition de biens ou de services dans les locaux de l’entreprise•ou dans le cadre d'un accord commercial avec elle, • s'appliquant à un réseau limité de personnes accepteuses•ou pour un éventail limité de biens ou de services

DEROGATIONS : art. L. 311-4, 1° du CMF (SP), art. 11 du projet de transposition DM2 (ME)

déclaration préalable à l’ACP + délai d’opposition de l’ACP

Limites de chargement des supports + assujettissement à la réglementation LCB-FT + rapport annuel à l’ACP + mission de surveillance de la sécurité des moyens de paiement de la Banque de France

Pour accorder la dérogation, l’ACP prend en compte : la sécurité des moyens de paiement, les modalités retenues pour assurer la protection des utilisateurs, le montant unitaire et les modalités de chaque transaction.

« L’exclusion du champ [réglementé] devrait cesser si un tel instrument à portée spécifique devient un instrument à portée générale. Il n’y a pas lieu d’exclure (…) les instruments pouvant être utilisés pour réaliser des achats auprès de commerçants enregistrés dans une liste, lesdits instruments étant conçus, en principe, pour un réseau de prestataires de services qui ne cesse de s’étendre » (considérant 5 de la DME2)


• instruments soumis à des dispositions législatives ou réglementaires spécifiques ou à un régime spécial de droit public• s'appliquant à un réseau limité de personnes accepteuses•ou pour un nombre limité de catégories de biens ou de services déterminés

DEROGATIONS : titres spéciaux

« Art. L. 525-4. - Les titres spéciaux de paiement dématérialisés soumis à des dispositions législatives ou réglementaires spécifiques ou à un régime spécial de droit public qui en destinent l'usage exclusivement à l'acquisition d'un nombre limité de catégories de biens ou de services déterminées ou à une utilisation dans un réseau limité ne sont pas considérés comme de la monnaie électronique au sens de l'article L. 315-1. Les entreprises qui émettent et gèrent ces titres, pour la partie de leur activité qui répond aux conditions du présent article, ne sont pas soumises aux règles applicables aux émetteurs de monnaie électronique mentionnés à l'article L. 525-1.

La liste des titres spéciaux de paiement dématérialisés concernés par le présent article est fixée par arrêté du ministre chargé de l'économie. »

=> Expertises et recommandations par la BDF + Remise d’un rapport annuel à la BDF


NOUVEAUX SERVICES AVEC LA DSP2

Annexe I, point 7: Les services fondés sur l’accès aux comptes de paiement fournis par unprestataire de services de paiement qui n’est pas le prestataire de services de paiementgestionnaire du compte, sous la forme de:

(a)services d'initiation de paiement;(b)services d'information sur les comptes.

Article 4 projet de DSP2«service d’initiation de paiement»: un service de paiement permettant l’accès à un compte de

paiement fourni par un prestataire de services de paiement tiers, dans le cadre duquel lepayeur peut intervenir activement dans l’initiation du paiement ou le logiciel du prestatairede service de paiement tiers, ou dans le cadre duquel des instruments de paiement peuventêtre utilisés par le payeur ou par le bénéficiaire pour transmettre les coordonnées dupayeur au prestataire de services de paiement gestionnaire du compte;

«service d’information sur les comptes»: un service de paiement consistant à fournir à unutilisateur de services de paiement des informations consolidées et faciles à exploiterconcernant un ou plusieurs comptes de paiement qu’il détient auprès d’un ou plusieursprestataires de services de paiement gestionnaires de comptes.


V - LES ACTEURS

Etablissement de crédit

Etablissement de monnaie électronique DME2

Etablissement de paiement

Etablissement de crédit

Banques générales, banques mutualistes ou coopératives, caissesd‘épargne

5 000 000

Sociétés financières 2 200 000

Sociétés financières dont l’agrément est limité aux opération de caution ou de change

1 100 000

Soumis à l’Agrément préalable de l’autorité de Contrôle prudentiel ACP de la banque de France


Etablissement de monnaie électronique (DME2)

Etablissement de paiement (DSP)

Emission et gestion de monnaie électronique

350 000 + EFP EME

L’EP ne fournit que le service de paiement de transmission de fonds

20 000 + EFP

Emission et gestion de monnaie électronique + Services de paiement

350 000 +EFP EME + EFP EP

L’EP fournit un service d’exécution d’opérations de paiement dans lequel le consentement du payeur à une opération de paiement est donnée au moyen de tout dispositif de télécommunications, numérique ou informatique

50 000 + EFP

L’EP fournit d’autres services de paiement (compte, virement, prélèvement, émission, acquisition, crédit, dépôt/retrait de cash)

125 000 +EFP

L’EME hybride - EP hybride -

EME exempté (activité nationale uniquement – suivant les Etats possibilité de limiter les SP qu’ils peuvent proposer …art. 9-4 DME2)

EP Exempté (activité nationale uniquement)=> Option Non transposée en France


EP services de paiement

+ services non réglementés

EMEmonnaie électronique+ services de paiement+ services non réglementés

EC (Banques)services bancaires de paiement+ monnaie électronique+ services de paiement+ autres services bancaires

Petit EME

TIERS

-Distributeurs e-monnaie- Agents en SP

- IOB-SP


VI – LES DROITS ET OBLIGATIONS

Règles communes à tous les services de paiement et de monnaie électronique Information pré-contractuelle et contractuelle Règles d’exécution des opérations : délais Contestation des transactions et partage des responsabilités

Spécificités monnaie électronique : Remboursabilité Frais

Dérogations : Relations entre professionnels Instruments de paiement de faible montant E-monnaie anonyme


GOUVERNANCE (R. 97-02)

• Répartition des responsabilités : dirigeants effectifs, responsables exécutifs et de contrôle / organe délibérant, organe exécutif, comités d’audit, de risque, etc.

• Conditions d’externalisation : Règlement n° 97-02

• Dispositifs de contrôle interne

LCB-FT

• Identification des clients Principes Généraux communs

risque LCB-FTPlafonds e-monnaie anonyme

250 – 2500 – 1000 EURPlafonds instruments de

paiement de faibles montant 30 EUR par transaction – 150 EUR support

• Traçabilité et surveillance des opérations Dispositif interne de LCB-FT +

Cartographie des risquesConservation des informations

pendant cinq ansback office et front office :

formation, obligation de remontée d’informations, etc.

• Déclaration des opérations suspectes à TRACFIN

Informations et protection des clients

• Informations précontractuellesObligations d’informations détaillées prévues au CMF, sur les conditions contractuelles, frais, etc. (cf. notamment art. L. 314-13 CMF pour les services de paiement; art. L. 315-5 et s. CMF)

• ContratStipulations obligatoires :

conditions et délais d’exécution, informations, frais, responsabilité respective des parties, règlement des litiges, etc. Ajouter règles spécifiques

relatives aux différents services, tels que délais et conditions de contestations ou obligation de remboursement de la monnaie électronique (ex: frais remboursement résiliation anticipée ou plus d’un an après la résiliation)

SECRET BANCAIRE

• Applicable aux EC mais aussi aux EME/EP

• Marketing et données client : Loi informatique et libertés

• E-mailing : Art. L. 34-5 du code des postes et des communications électroniques (Opt-out : publicité par e-mail pour des produits et services similaires proposés par la même société)


VII - OBLIGATION DE SÉCURISATION DES DONNÉES ET DES SI

Obligation de sécuriser l’instrument de paiement : Le prestataire de services de paiement doit s’assurer que les dispositifs de sécurité personnalisés de tout instrument de paiement ne sont pas accessibles à des tiers (art. 57, 1, a) DSP et art. L. 133-15 du CMF)

CNIL Délibération n°03-034 du 19 juin 2003« La Commission considère en conséquence que les responsables de traitements devraientprendre les mesures organisationnelles et techniques appropriées afin de préserver lasécurité, l'intégrité et la confidentialité des numéros de cartes bancaires contre tout accès,utilisation, détournement, communication ou modification non autorisés. » Par exemple :- ne pas mémoriser les informations relatives au cryptogramme visuel (CVV2) de la cartebancaire de leurs clients ;- mettre en place une politique de gestion stricte des habilitations de leur personnel + affichagetronqué du numéro de carte- crypter de manière irréversible le numéro de la carte bancaire


Obligation de sécurité générale des données personnelles

Obligation de sécurité : mesures techniques et organisationnelles assurant la protection des données personnelles - Art. 226-17 Code pénal

Proposition de Règlement données personnelles (COM(2012) 11 final) 25/01/2012

Renforcement des obligations et de la responsabilité du responsable du traitement des données personnelles:

Obligation de notification des fuites de données à l’autorité de contrôle nationale

Renforcement du pouvoir des autorités nationales indépendantes chargées de la protection des données => Amendes qui pourraient atteindre 100 million d’EUR ou 5 % du chiffre d’affaires annuel global de l’entreprise


Obligation de sécurisation du SIRèglement n°97-02 du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d’investissement

Proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union (COM(2013) 48 final) 7/02/2013 (SRI)

⇒ Obligation pour les opérateurs d'infrastructures critiques d'adopter les mesures appropriées pour gérer les risques de sécurité et signaler les incidents graves aux autorités nationales compétentes

⇒ Extension de l’obligation de notification à tous les types de fuites de données (pas seulement les données personnelles)?


Article 4, point 22 : «authentification forte du client»: une procédure de validation de l’identification d’une personne physique ou morale reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories connaissance, possession et inhérence, qui sont indépendants, en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. »

Article 87« 1. Les États membres veillent à ce qu'un prestataire de services de paiement applique l’authentification forte du

client lorsque le payeur initie une opération de paiement électronique, sauf dérogation spécifique fondée sur le risque lié au service de paiement fourni, prévue par les orientations de l’ABE. La même obligation s’applique à un prestataire de services de paiement tiers qui initie une opération de paiement au nom du payeur. Lorsqu'un prestataire de services de paiement tiers agit au nom de l’utilisateur de services de paiement, le prestataire de services de paiement gestionnaire du compte lui permet de se fonder sur les méthodes d’authentification de ce dernier.

2. Lorsqu’un prestataire de services de paiement fournit des services visés au point 7 de l’annexe I, il s'authentifie lui-même auprès du prestataire de services de paiement gestionnaire de compte du titulaire du compte.

3. En coopération étroite avec la BCE, l'ABE publie, conformément à l’article 16 du règlement (UE) nº 1093/2010, des orientations adressées aux prestataires de services de paiement au sens de l’article 1er, paragraphe 1, de la présente directive, concernant les techniques les plus avancées d'authentification des clients et les cas éventuels d'inapplication de l'authentification forte des clients. (…).»

PROPOSITION DE DSP2 : AUTHENTIFICATION FORTE


New Technologies, Privacy & ICTIntellectual PropertyCinema, Media & EntertainmentE-Payment, E-Finance & Internet BankingSport & GamingCommercial Law

ULYS, un Cabinet d’avocats moderne et humain au service de l’innovation !MERCI POUR VOTRE ATTENTION

DOM

AIN

ESD’

INTE

RVEN

TIO

N

Me JOLY Cathie-Rosalie Avocat Associé Cabinet Ulys

[email protected]

PUBLINEWS – 13 DECEMBRE 2013 – E-WALLET

mailto:[email protected]�

Documents

Me Cathie- Rosalie JOLY - ulys.net · Limites de chargement des supports + assujettissement à la réglementation LCB -FT + rapport annuel à l’ACP + mission de surveillance de