1. Transaction monitoring (TM)
Autre grande nouveauté, le RSP prévoit des dispositions spécifiques relatives au dispositif de surveillance des opérations des PSP absent de la DSP2. Pour mémoire, il s’agit déjà d’une obligation existante au titre des obligations de lutte contre le blanchiment de capitaux et du financement du terrorisme (LCB-FT). Avec le RSP, les PSP devront intégrer à leur dispositif de TM la lutte contre les transactions frauduleuses. Par conséquent, les PSP devront actualiser leurs politiques/processus internes dédiés au transaction monitoring, et effectuer une revue de leurs critères/scenarii/seuils de risques. Des Lignes directrices de l’ABE sont attendues sur le transaction monitoring.
- TM & SCA : une nouvelle disposition est ajoutée dans le RSP (art. 83.1) obligeant les PSP à mettre en place des mécanismes de surveillance des transactions pour permettre l’application du SCA et pour améliorer la prévention et la détection des transactions frauduleuses.
- TM & nouveaux facteurs de risques (art. 83.2) : le dispositif de TM devra tenir compte des facteurs de risques suivants :
– Les listes d’éléments d’authentification compromis ou volés ;
– Le montant de chaque opération de paiement ;
– Les scenarii de fraude connus dans la fourniture de services de paiement ;
– Les signes d’infection par des logiciels malveillants dans toutes les sessions de la procédure d’authentification ;
– (Si le dispositif d’accès ou le logiciel est fourni par le PSP) un journal de l’utilisation du dispositif d’accès ou du logiciel fourni à l’utilisateur du service de paiement et de l’utilisation anormale du dispositif d’accès ou du logiciel.
- TM & données de l’utilisateur de services de paiement (art. 83.2) : Les mécanismes de TM devront se reposer sur l’analyse des transactions de paiement précédentes et l’accès aux comptes de paiement en ligne. Le traitement des données doit être limité aux données suivantes :
– Les données sur l’utilisateur de services de paiement, y compris les caractéristiques environnementales et comportementales typiques de l’utilisateur dans les circonstances d’une utilisation normale des identifiants de sécurité personnalisés;
– Les données sur le compte de paiement y compris l’historique des transactions de paiement ;
– Les données sur la transaction, y compris le montant de la transaction et l’identifiant unique du bénéficiaire ;
– Les données de session, y compris la plage d’adresses du protocole Internet de l’appareil à partir de laquelle le compte de paiement a été accédé.
– Les PSP ne doivent pas conserver ces données plus longtemps que nécessaire aux finalités (principe de finalité du RGPD) et pas après la fin de la relation client. En pratique, on peut imaginer que les PSP annexent à leur procédure de TM un tableau des durées de conservation au sens du RGPD (ou fassent un renvoi vers leur politique RGPD). On saluera la prise en compte des sujets RGPD.
- Accords de partage de données (arrangement data sharing)
– Contexte : d’après la Commission Européenne, un PSP n’a pas une vue d’ensemble de tous les éléments susceptibles de conduire à une détection rapide des fraudes. Toutefois, la détection des fraudes peut être rendue efficace avec des données émanant d’autres PSP. C’est pourquoi le RSP consacre la possibilité pour les PSP d’utiliser les données sur la fraude aux paiements partagés par d’autres PSP sur une base multilatérale, par exemple sur des plateformes IT dédiées reposant sur des accords de partage de données. Les PSP devraient pouvoir utiliser collectivement les informations concernant les IBANs, les techniques de manipulations et autres circonstances relatives aux virements frauduleux identifiés individuellements par chaque PSP (considérant 103) ;
– Partage d’IBAN: les PSP peuvent échanger l’IBAN d’un bénéficiaire avec d’autres PSP qui sont soumis à des accords de partage de données, lorsque les PSP disposent de preuves suffisantes pour supposer qu’il y a eu une opération de paiement frauduleuse. Celle-ci est présumée lorsqu’au moins 2 utilisateurs de services de paiement différents qui sont clients du même PSP ont informé qu’un IBAN d’un bénéficiaire a été utilisé pour effectuer un virement frauduleux. Les PSP ne conservent pas les IBANs obtenus à la suite de l’échange de données plus longtemps que nécessaire aux finalités de lutte contre la fraude (art. 83.3).
– Contenu des accords de partage d’informations/de données (art. 83.4) : les accords de partage d’informations devront définir les détails de la participation de chaque PSP et préciser les détails des éléments opérationnels, à l’instar de l’utilisation de plateformes informatiques dédiées.
– Analyse d’impact relative à la protection des données (art. 83.4) : avant de conclure de tels accords, les PSP auront l’obligation de procéder conjointement à une analyse d’impact relative à la protection des données (AIPD) au sens de l’art. 35 du RGPD. Une nouvelle démonstration de la prise en compte du RGPD dans la future réglementation sur les paiements.
– Notification à l’ACPR (art. 83.5) : les PSP devront notifier aux autorités compétentes leur participation aux accords de partage de données dès (i) la validation de l’adhésion des participants à l’accord de partage de données ou (ii) la cessation de leur adhésion, une fois que cette cessation prend effet.
– Garde-fous pour l’utilisateur du service de paiement (art. 83.6) : le traitement des données personnelles au titre des accords de partage de données ne pourra pas entraîner la résiliation de la relation contractuelle avec le client par le PSP ni empêcher son onboarding par un autre PSP.
2. Lutte contre la fraude
Le législateur européen, dans son examen de la DSP2, a relevé de nouvelles typologies de fraude, nonobstant le succès du SCA dans la réduction de la fraude, conduisant à certaines préoccupations pour la protection des consommateurs. La raison est que les fraudeurs adaptent constamment leurs techniques pour contourner la loi. Certaines fraudes (phishing, vishing, smishing, spoofing, etc.) ne peuvent pas être traitées par le SCA car, techniquement et légalement, la plupart de ces transactions frauduleuses ont été autorisées par le payeur. En effet, la fraude a lieu avant l’application du SCA sans que le payeur ne sache qu’il est victime d’une fraude. Le payeur peut donc penser de bonne foi qu’il envoie de l’argent au bon destinataire alors qu’en réalité il envoie de l’argent à un fraudeur. C’est pourquoi le RSP met un accent prononcé sur la lutte contre la fraude.
- Gestion des risques opérationnels et de sécurité : le nouvel article 81.1 du RSP (anciennement l’art. 95.1 de la DSP2) renvoie au futur Règlement DORA sur la résilience opérationnelle numérique, auquel les PSP devront également se conformer.
- Informations à délivrer aux clients : les PSP devront alerter leurs clients par tous les moyens et médias appropriés lorsque de nouvelles formes de fraude aux paiements apparaîtront, en tenant compte des besoins de leurs groupes de clients les plus vulnérables. Les PSP devront donner à leurs clients des indications claires sur la manière d’identifier les tentatives frauduleuses et les avertir des actions nécessaires et des précautions à prendre. Enfin, les PSP devront informer leurs clients sur les modalités de signalement des fraudes et sur l’endroit permettant d’obtenir rapidement des informations relatives à la fraude (art. 84.1)
- Formation relative à la fraude : une nouvelle obligation de formation incombera aux PSP puisque l’art. 84.2 du RSP prévoit que les PSP devront organiser au moins 1 fois par an des programmes de formation sur les risques et les tendances en matière de fraude aux paiements pour leurs employés et veiller à ce que leurs employés reçoivent une formation adéquate pour s’acquitter de leurs tâches et responsabilités conformément aux politiques et procédures de sécurité du PSP afin d’atténuer et de gérer risques de fraude au paiement. En conséquence, les PSP devront investir dans des mesures supplémentaires de surveillance de la fraude. On notera qu’une exigence similaire existait déjà dans le cadre des lignes directrices de l’ABE de 2014, désormais abrogées, sur la sécurité des paiements sur Internet.
- Notification des fraudes : il est à noter que l’art. 96 de la DSP2 relatif à la “notification des incidents” est supprimé, sauf son paragraphe 6 relatif au reporting des données statistiques relatives à la fraude aux moyens de paiement qui est intégré dans un nouvel article du RSP (art. 82) intitulé “notification des fraudes”. Des RTS de l’ABE sont attendues sur les données statistiques au titre des obligations de reporting fraude.
3. Protection des données personnelles & RGPD
Comme mentionné à plusieurs reprises précédemment, on note la prise en compte des sujets RGPD par le législateur européen dans le futur cadre réglementaire relatif aux paiements. Jusqu’à présent les sujets RGPD semblaient être traités de manière isolée vis-à-vis de la DSP2 ou de la DME2 (voire de la LCB-FT). Or, en pratique, les PSP traitent quotidiennement les données personnelles de leurs utilisateurs de services de paiement (notamment des données de paiement), ce qui implique une correcte articulation des règles relatives aux paiements avec celles du RGPD. Cette prise en compte du RGPD est bienvenue et facilitera l’appréhension de ce nouveau texte par les compliance officers dans leurs interactions avec les data protection officers (DPO). On regrettera simplement l’absence d’une définition officielle d’une «donnée de paiement» ou une liste limitative de telles données, la DSP2 (art. L133-4 CMF) ne faisant que donner une définition -sujette à interprétation- des «données de paiement sensibles».
- Traitement des données sensibles & garanties appropriées : bien que prévu implicitement dans la DSP2 (et prévu dans le RGPD, puisque les responsables de traitement peuvent traiter des données sensibles), les PSP sont expressément autorisés à traiter des données sensibles (des “catégories particulières de données” au sens du RGPD) nécessaires à la fourniture de services de paiement et au respect des obligations découlant du RSP. Sous réserve de garanties appropriées notamment:
– Des mesures techniques (eu égard au principes RGPD de limitation des finalités, de minimisation et limitation de la conservation) tels que la pseudonymisation ou le cryptage ;
– Des mesures organisationnelles, y compris une formation sur le traitement de catégories particulières de données, la limitation de l’accès à des catégories particulières de données et l’enregistrement de cet accès. Cette mesure doit être conciliée avec l’exigence de formation obligatoire RGPD. En pratique, d’un point de vue opérationnel, on peut imaginer que les PSP pourront, dans leurs formations internes dédiées à la réglementation sur les services de paiement, intégrer un volet RGPD.
- Partage de données entre PSP : comme vu précédemment (cf. supra, §1), au titre de leur dispositif de transaction monitoring, les PSP peuvent échanger entre eux certaines données dans le cadre d’accord de partage de données sous réserve de la réalisation d’une AIPD avant le traitement. Un tel traitement de données doit s’effectuer aux fins d’améliorer le suivi des transactions. Des garanties supplémentaires devraient également être mises en place par les PSP comme la prise de contact avec le client (le payeur d’un virement présumé frauduleux), ou une surveillance plus poussée d’un compte lorsque l’IBAN partagé susceptible d’être frauduleux désigne un client de ce PSP (considérant 105).
4. Instruments de paiement spécifiques
La DSP2 est inapplicable aux “instruments de paiement spécifiques” (art. 3.k) tandis que la DME2 est inapplicable aux “instruments prépayés spécifiques” (considérant 5). En droit français, la liste de ces instruments est prévue respectivement par l’arrêté du 4 juin 2018 (fixant la liste des instruments de paiement spécifiques en application de l’art. L.521-3-2 du CMF -statut dérogatoire à la DSP2) et l’arrêté du 17 juin 2013 fixant la liste des Titres Spéciaux de paiement dématérialisés (TSPD) en application de l’art. L.525-4 du CMF (statut dérogatoire de la DME2). On y trouve notamment les titres-restaurant, le CESU, ou encore les titres-cadeaux. Or, le RSP supprime toute référence aux instruments “prépayés” spécifiques, puisque ces derniers seraient a priori inclus dans les “instruments de paiement spécifiques” (du fait de la fusion du régime de la DSP2 et de la DME2). Que restera-t-il donc du régime des TSPD (dérogatoire de la DME2 et non de la DSP2 rappelons-le) ? L’arrêté du 17 juin 2013 pourrait être abrogé pour ne laisser subsister que l’actuel article L.521-3-2 du CMF.
5. Contentieux / procédures de règlement extra-judiciaire
Dans un souci de cohérence, l’obligation d’informer l’utilisateur de services de paiement sur les modes alternatifs de règlement des litiges dans les contrats-cadres est étendue aux opérations de paiement uniques. Les États membres devront désigner une autorité compétente pour accréditer, surveiller et publier le niveau de qualité de l’entité de règlement extra-judiciaire des litiges sur leur territoire (art. 95.3). Les autorités compétentes devront notifier à la Commission ou à cette entité le règlement de ces litiges (art. 95.4). La Commission mettra à la disposition du public une liste desdites entités qui lui auront été notifiées, et mettra à jour cette liste chaque fois qu’une modification lui sera communiquée (art. 95.5).
6. Pouvoirs des autorités & Sanctions
Les autorités nationales compétentes se voient conférer un droit d’enquête sur les infractions potentielles RSP et imposer des sanctions administratives et des mesures administratives prévues dans leurs cadres juridiques nationaux (art. 91 RSP).
- Enquêtes : dans le cadre de procédures d’enquête sur d’éventuelles infractions au RSP, les autorités pourront exiger toutes informations nécessaires auprès des PSP, des prestataires techniques, des opérateurs des schemes de paiement, les exploitants de DAB qui ne gèrent pas de comptes de paiement, les fournisseurs de services de communications électroniques, les tiers externalisés, les agents et les distributeurs (art. 91.3.a) ;
- Compétence des autorités – aspects transfrontaliers :
– En cas d’infraction (ou de suspicion d’infraction) au RSP par un PSP, l’autorité nationale compétente est celle de l’Etat Membre d’origine du PSP, sauf pour les agents et distributeurs (qui agissent dans le cadre de la liberté d’établissement) auquel cas l’autorité nationale compétente sera celle de l’Etat d’accueil (art. 93.1) ;
– En cas d’infraction (ou de suspicion d’infection) par un prestataire technique, un exploitant de DAB ne fournissant pas de comptes de paiement, un gestionnaire d’un scheme de paiement, un fournisseur de communications électroniques, l’autorité compétente sera celle de l’Etat Membre dans lequel le service est fourni (art. 93.2).
- Coopération intersectorielle (art. 93.3 et 93.4) : le RSP incite à une coopération entre les autorités nationales compétentes (au sens du RSP) et les autorités d’autres secteurs (en France, on peut penser par exemple à la CNIL, l’ANJ ou encore l’Autorité de la concurrence). Toutes ces autorités pourront échanger des informations entre elles.
- Sanctions administratives & mesures administratives
– Marge de manœuvre laissée aux Etats Membres : Art. 96.1 – Les Etats Membres doivent établir des règles relatives aux sanctions administratives et aux mesures administratives applicables aux infractions au RSP qui soient effectives, proportionnées et dissuasives (art. 96.1). Toutefois, les États Membres peuvent décider de ne pas établir de telles règles applicables aux infractions au RSP si elles font l’objet de sanctions en vertu du droit pénal national. Dans ce cas, les Etats Membres devront notifier à la Commission lesdites dispositions du droit pénal ainsi que toute modification ultérieure de celles-ci (art. 96.2). Enfin, les États Membres peuvent également établir des règles nationales permettant à leurs autorités compétentes de clore une enquête concernant une infraction au RSP, à la suite d’un accord transactionnel ou d’une procédure d’exécution accélérée (art. 96.4) ;
– Amendes administratives : les dispositions nationales devront fixer des sanctions administratives en cas d’infractions spécifiques (art. 97.1) aux règles d’accès aux comptes tenus auprès d’un EC, d’accès sécurisé aux données par le PSPGC ou par les AISP et les PSIP, l’obligation d’organiser ou de mettre en œuvre des mécanismes de prévention de la fraude, y compris une SCA, l’obligation de respecter les exigences de transparence sur les frais appliqués par les exploitants de DAB, et le non-respect par les PSP du délai d’indemnisation des utilisateurs de services de paiement. Les amendes administratives sont les suivantes (art. 97.2.a) :
Personne physique | Personne morale |
Une amende administrative maximale d’au moins 5.000.000 € (ou la valeur correspondante dans les États membres dont la monnaie n’est pas l’euro, à la date d’entrée en vigueur du RSP) | Une amende administrative maximale d’au moins 10 % de son CA annuel total (CA net selon les états financiers annuels disponibles à la dernière date de clôture) |
Une amende administrative maximale d’au moins deux fois le montant des bénéfices tirés de l’infraction, lorsque ce bénéfice peut être déterminé | |
– Autres sanctions : d’autres types de sanctions sont prévues (art. 97.2.b., c., d.) : une déclaration publique indiquant la personne physique ou morale responsable de la violation et la nature de la violation (art. 97.2.b), une ordonnance enjoignant à la personne morale ou physique responsable de l’infraction de cesser le comportement illicite et de s’abstenir de le répéter (art. 97.2.c), une interdiction temporaire empêchant un membre de l’organe de direction de la personne morale, ou toute autre personne physique tenue pour responsable du manquement, d’exercer des fonctions de direction (art. 97.2.d). De plus, les Etats membres peuvent habiliter les autorités compétentes conformément au droit national à imposer d’autres types de sanctions en plus de ceux mentionnés ci-dessus (art. 97.4).
– Astreintes périodiques : les autorités compétentes sont habilitées à imposer des astreintes aux personnes morales ou physiques pour non-respect de toute décision, ordonnance, mesure provisoire, demande, obligation ou autre mesure adoptée conformément au RSP. L’astreinte devra être effective et proportionnée. Elle consistera en un montant journalier à payer jusqu’au rétablissement de la conformité. Elles seront prononcées 6 mois maximum à compter de la date indiquée dans la décision infligeant l’astreinte (art. 98.1). Les seuils maximum des astreintes sont les suivants :
Personne physique | Personne morale |
3 % du CA journalier moyen (CA annuel net / 365 ) | 30.000 € |
Une amende administrative maximale d’au moins deux fois le montant des bénéfices tirés de l’infraction, lorsque ce bénéfice peut être déterminé | |
Une marge de manœuvre est laissée aux Etats Membres pour prévoir des montants d’astreinte supérieurs (art. 98.2).
– Principe de proportionnalité : un principe de proportionnalité s’applique aux sanctions prononcées, puisque les autorités compétentes devront tenir compte de plusieurs facteurs (art. 99) tels que la gravité et la durée de l’infraction, le degré de responsabilité de la personne, la capacité financière de la personne responsable de l’infraction, l’ampleur des profits réalisés ou des pertes évitées par cette personne, les pertes pour des tiers résultant de l’infraction, etc.
– Contestation : les décisions prises par les autorités compétentes sont contestables devant les tribunaux (art. 100)
– Publication des sanctions : les autorités compétentes devront publier sur leur site internet toutes les décisions de sanctions prises. L’identité de la personne physique faisant l’objet de la décision de sanction ne doit pas être publiée, sauf si elle est jugée nécessaire par l’autorité nationale compétente pour protéger la stabilité des marchés financiers ou pour assurer l’application effective du RSP (art. 101).
– Reporting ABE : les autorités compétentes doivent communiquer régulièrement à l’ABE de manière anonyme et agrégée les procédures administratives et les astreintes infligées (art. 102).
