À RETENIR

Est parue au JO du 10 août l’ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (la « DSP 2 »).

La 1re directive sur les services de paiement (la « DSP ») posa le droit des services de paiement que de nouveaux acteurs non bancaires – les établissements de paiement (les « EP ») – pouvaient fournir. L’intitulé de son ordonnance de transposition était révélateur : ordonnance n° 2009-866 du 15 juillet 2009 relative aux conditions régissant la fourniture de services de paiement et portant création des établissements de paiement. Huit ans après, voici donc la 2e génération du droit des services de paiement.

Objet. Comme son titre le laisse entendre, l’objet de l’ordonnance du 9 août 2017 est de transposer la DSP 2 dans le Code monétaire et financier (le « CMF »), en trois endroits principaux : chapitre III du titre III du livre Ier (droit des opérations de paiement), chapitre IV du titre Ier du livre III (droit des services de paiement) et chapitres I et suivants du titre II du livre V (droit des prestataires de services de paiement, les « PSP »).

À ces dispositions d’ordre législatif s’ajouteront bientôt un décret en Conseil d’État, un décret simple et cinq arrêtés.

Entrée en vigueur. « Les dispositions de la présente ordonnance entrent en vigueur le 13 janvier 2018 », dispose l’article 34, I de l’ordonnance sous commentaire . Sauf qu’un pan entier du texte, le plus novateur, se trouvera paralysé de longs mois durant, le temps que les normes techniques de réglementation (les fameux « RTS » élaborés par l’Autorité bancaire européenne, l’ « ABE ») de l’article 98 de la DSP 2 ne deviennent effectives ; qui le deviendront seulement 18 mois après leur adoption par un règlement délégué de la Commission européenne, dont les vues diffèrent sensiblement de celles de l’ABE. En clair, le droit de l’authentification (forte) du client et de la communication sécurisée entre les différents PSP, au cœur du dispositif sécuritaire de la DSP 2, demeurera lettre-morte encore deux bonnes années.

Nouveautés. Il y en a de nombreuses, à l’évidence. De manière spectaculaire, un droit nouveau de l’accès aux comptes de paiement (en ligne) est créé au sein des dispositions concernant les opérations de paiement. Pourquoi ? Parce que désormais, deux nouveaux PSP1 : les prestataires de services d’initiation de paiement (les « PSIP » : cf. CMF, art . L. 133-40) et les prestataires de services d’information sur les comptes (les « PSPIC » : cf. CMF, art. L. 133-41), se voient reconnaître, moyennant consentement exprès ou explicite de l’utilisateur de services de paiement, la faculté d’accéder à des comptes qu’ils ne tiennent pas, faisant du même coup des teneurs de comptes (banques pour l’essentiel) des prestataires de services de paiement gestionnaires de comptes (les « PSPGC »).

La fameuse liste des services de paiement de l’article L. 314-1, II du CMF s’enrichit en conséquence (et au prix de la suppression de l’ancien service 7°) de deux nouveaux services : le service 7° d’initiation de paiement et le service 8° d’information sur les comptes (dont on trouvera bientôt une définition dans la partie réglementaire du CMF). 

Si bien que lorsque l’on verse du côté de la réglementation des PSP, un régime propre (et allégé) aux PSIP est créé, cependant que les PSIC, qui ne se voient pas reconnaître la qualité EP, sont érigés en PSP d’un nouveau genre, obéissant à une procédure d’enregistrement plutôt que d’agrément.

Extraits du CMF :

Art. L. 133-39.-I.-Lorsque le paiement est initié au moyen d'un instrument de paiement lié à une carte, le prestataire de services de paiement gestionnaire du compte, à la demande d'un [du] prestataire de services de paiement émetteur de cet instrument, confirme immédiatement si le montant nécessaire à l'exécution de l'opération de paiement liée à une carte est disponible sur le compte de paiement du payeur (…).

Art. L. 133-40.-I.-Sous réserve que le compte de paiement soit accessible en ligne, le payeur peut s'adresser à un prestataire de services de paiement de son choix pour obtenir le service d'initiation de paiement mentionné au 7° du II de l'article L. 314-1. (…).

Art. L. 133-41.-I.-Sous réserve que son compte de paiement soit accessible en ligne, l'utilisateur de services de paiement peut accéder aux données de ses comptes de paiement par l'intermédiaire d'un prestataire de services de paiement de son choix fournissant le service d'information sur les comptes mentionné au 8° du II de l'article L. 314-1.

Art. L. 133-44.-I.- Le prestataire de services de paiement applique l'authentification forte du client définie au f de l'article L. 133-4 lorsque le payeur :

1° Accède à son compte de paiement en ligne ;

2° Initie une opération de paiement électronique ;

3° Exécute une opération par le biais d'un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse. (…).

Art. L. 341-12.-I, dernier al.- Un contrat cadre de services de paiement doit également être conclu lorsque les services de paiement mentionnés aux 7° et 8° du II de l'article L. 314-1 sont fournis.

Art. L. 521-5.-Les prestataires de services de paiement n'ont accès à des données à caractère personnel nécessaires à l'exécution de leurs services de paiement, ne les traitent et ne les conservent qu'avec le consentement exprès de l'utilisateur de services de paiement.

Art. L. 521-8.-La Banque de France s'assure de la sécurité de l'accès aux comptes de paiement et à leurs informations dans le cadre de la fourniture des services de paiement mentionnés au 7° et 8° du II de l'article L. 314-1 par tout prestataire de services de paiement et de la pertinence des normes applicables en la matière. (…).