Fintechs du paiement : ce que révèlent les données issues du rapport de l’EBA sur les agréments EP/EME

I – Un volume de demandes d’agrément variable selon les pays, des réalités contrastées 

a) Un volume variable qui ne doit pas masquer une tendance baissière générale

S’agissant des  demandes d’agrément, le rapport met en exergue de fortes disparités entre les pays  sur la période couverte (2022-2024), avec une tendance générale à la baisse par rapport à la période 2019-2021.

Parmi les pays ayant connu un volume élevé de demandes figurent la Lituanie (80), les Pays-Bas (53), Malte (43), Chypre (40), et l’Espagne (39). En France, l’autorité nationale a reçu, sur la période, près d’une quarantaine de demandes d’agréments.

A contrario, certaines autorités nationales ont fait preuve d’une  faible activité : Autriche, Liechtenstein, Slovénie, Slovaquie, Bulgarie.

Parmi les raisons expliquant une telle tendance, l’ABE mentionne : 

• La fin du pic issu du Brexit  (Irlande, Lituanie, Pays-Bas) : ces pays soulignent que la forte hausse du volume d’agrément sur la période 2019-2021 était largement due aux sociétés britanniques cherchant à obtenir un agrément dans l’UE, une tendance qui s’est naturellement atténuée après la période de transition du Brexit ; 
• Une maturité et une consolidation du marché : certaines autorités nationales comme en Allemagne soulignent qu’une concurrence accrue et un nombre plus élevé d’établissements agréés ont relevé le seuil d’entrée pour les nouveaux acteurs, ce qui a conduit certains investisseurs à privilégier l’acquisition de licences existantes plutôt que l’obtention de nouveaux agréments ; 
• Le contexte macro-économique et géopolitique (post‑COVID, guerre en Ukraine, prudence des investisseurs, surtout dans les pays baltes) ; 
• Un pré‑filtrage plus strict des demandes d’agrément dans certains pays à l’instar de l’Espagne.

La plupart des autorités de supervision ont constaté une baisse des nouvelles demandes par rapport à la période 2019‑2021, seules quelques‑unes faisant état d’une augmentation. En effet, 8 pays constatent une hausse  par rapport à la période précédente  : Malte (+43 %), Chypre (+18 %), Pologne (+32 %), Roumanie (+67 %), Finlande (+33 %), Lettonie (+116 %), Portugal (+350 %) et Croatie (+17 %). L’ABE l’explique par la mise en place, dans certains de ces pays, de stratégies nationales pro‑fintech et/ou à une amélioration de leur réputation, à l’instar de Malte sortie de la la liste grise du GAFI.

En France, soulignons  qu’une quinzaine d’agréments ont été accordés sur la période.

b) Des retraits durant  l’instruction du dossier et des refus d’agréments

Un point intéressant du rapport concerne les données sur le taux d’approbation (octroi d’agrément), le taux de “retrait” (de la demande d’agrément durant l’instruction) et de rejet (refus) de l’agrément.

L’un des exemples les plus marquants dans le rapport de l’ABE est celui de l’autorité lituanienne : celle-ci a reçu 80 demandes sur la période concernée pour seulement 11 % d’agréments accordés, une majorité des demandes ont été retirées durant l’instruction du dossier (54 %) et 34 % des demandes d’agrément ont été rejetées. De nombreuses candidatures n’étaient pas conformes  aux attentes prudentielles de l’autorité locale. 

De fortes disparités sont relevées par l’ABE. Alors que  le taux d’approbation (octroi d’agrément) est élevé dans certains pays (69% en Lettonie, 68% en Suède, 62% en Hongrie, 58% en Italie, 57% en Croatie), d’autres pays présentent un taux élevé de “retrait” (de la demande durant l’instruction du dossier) : Belgique (83%), Portugal (78%), Espagne (56%), Allemagne (54%) et Lituanie (54%). Les pays où le taux de rejet (refus) d’agrément est le plus élevé sont la Slovénie (100%), la Lituanie (34%), l’Estonie (33%), la Suède (26%) et la Norvège (23%).

Certains pays ne rejettent presque pas officiellement (Autriche, Belgique, Chypre, Luxembourg, Malte, Portugal), soit parce que les volumes de demandes sont très faibles, soit parce que le “pré‑screening” et le dialogue avec l’entité mènent à des retraits des demandes lors de l’instruction plutôt qu’à des rejets d’agrément. Dans de nombreux cas, les candidats sont encouragés à retirer leur demande lorsqu’il apparaît clairement qu’une approbation est peu probable, ce qui réduit mécaniquement le nombre de refus formels. En outre, certaines autorités compétentes recourent à des processus de pré‑sélection qui écartent les dossiers inadaptés avant leur dépôt officiel, ce qui contribue également à maintenir des taux de rejet faibles.

II- Des délais d’instruction très hétérogènes, avec des retards persistants dans certains pays

Les délais d’agrément varient fortement entre États membres, allant de 4‑6 mois jusqu’à 27 mois (Chypre), avec une durée médiane de 9,5 mois (en excluant Chypre). 

Le rapport souligne plusieurs causes principales justifiant ces délais :

• Des dossiers incomplets ou de mauvaise qualité ; 
• La lenteur des candidats à l’agrément pour répondre aux questions de l’autorité locale et à remédier aux insuffisances ; 
• Une complexité croissante de certains modèles d’affaires ; 
• L’implication de multiples autorités nationales (activité cross-border) ; 
• Dans certains cas, des contraintes de personnel, des ressources humaines limitées ou pas adaptées (profil, compétences) ; 
• Changements de business model en cours d’instruction.

Aussi, parmi les autorités compétentes qui ont signalé un besoin de ressources supplémentaires, plusieurs (Autriche, Bulgarie et Italie) ont mentionné spécifiquement la délicate articulation entre la DSP2 et le règlement MiCA qui complexifie les dossiers et les agréments dans des délais rapides. Ce point devrait être adressé dans la future DSP3.

Ceci dit, l’ABE relève que la plupart des autorités de supervision ont pris des mesures  à l’instar de la publication d’orientations plus claires, en intensifiant les échanges préalables au dépôt de la demande et en rationalisant leurs procédures internes, mais toutes n’ont pas apporté de modifications substantielles et certaines continuent de signaler des retards persistants.

III – Des ressources humaines variables selon les autorités nationales

Selon les données de l’ABE, les ressources (ETP) sont très variables allant de moins d’un ETP (en Estonie) à plus de 21 ETP (en Allemagne). S’agissant de la France, le rapport comptabilise plus d’une dizaine d’ETP au 1er mai 2025.

La moitié des autorités nationales  jugent leurs ressources “adéquates”, mais cela ne se traduit pas toujours en délais courts. Des  améliorations ont été remontées par les autorités locales : 

• Davantage de lignes directrices publiques pour les candidats à l’agrément dans certains pays  (République Tchèque, Espagne, Pologne, Irlande) ; 
• Des outils de suivi des dossiers, des alertes, et une meilleure coordination interne (Italie, Finlande, Espagne, Pays-bas) ;
• La nécessité d’un dossier complet : l’ABE donne l’exemple de l’autorité hollandaise qui n’entre en phase d’analyse du dossier que lorsque le dossier est formellement complet ; 
• Un “pré‑screening” structuré très poussé  pour encourager ou faciliter les échanges avec les candidats potentiels avant le dépôt formel d’une demande d’agrément : 
  • En France : la Charte Fintech recommande explicitement aux candidats de fournir à l’autorité compétente une présentation de leur projet avant de déposer leur demande ;
  • Espagne : la phase de pré‑dépôt est fortement recommandée, un feedback écrit est délivré ainsi que, le cas échéant, des “deficiency letters” afin d’aider les candidats à combler les lacunes avant le dépôt formel de leur demande ; 
  • Malte : Statement of Intent obligatoire, rendez-vous sous 10 jours, lettre de “no objection” avant dépôt ; 
  • Irlande : document de pré‑candidature très détaillé + réunion initiale obligatoire.

Les autorités qui échangent avec les candidats avant le dépôt formel des demandes constatent systématiquement des gains d’efficacité et une réduction des délais de traitement dans la phase d’agrément qui suit. Ces bénéfices tiennent notamment à un nombre moindre de demandes irréalistes et à une meilleure qualité des dossiers soumis. Cependant, l’ABE relève que si la phase de pré‑sélection peut contribuer à améliorer la qualité des dossiers, elle ne doit pas être utilisée pour raccourcir artificiellement les délais formels d’agrément. 

En revanche, selon les données de l’ABE,  certaines autorités nationales (Chypre, Croatie, Norvège) présentent des difficultés persistantes, notamment des délais trop longs. Par exemple : 

• En Croatie la durée moyenne de l’instruction des dossiers est passée de 10–12 mois à 16–18 mois  ; 

• En Grèce, les délais moyens ont augmenté pour atteindre 10 à 12 mois (contre 7 à 9 mois auparavant), et ce malgré une baisse de 62 % du nombre de demandes ; 

• À Chypre, la durée moyenne observée s’élève à 27 mois ; 

• Au Portugal, la moyenne est de de 16 à 18 mois ce qui constitue un indicateur approximatif dans la mesure où l’autorité portugaise n’a approuvé aucune nouvelle demande sur la période 2022‑2024 et ce, malgré un volume de demandes faible et des ressources réputées suffisantes. En l’absence de décision d’agrément durant la période de référence, l’impact de ces mesures ne peut pas encore être évalué selon l’ABE ; 

L’ABE considère ces autorités locales comme ne respectant pas l’exigence DSP2 de traitement dans des dossiers dans des délais raisonnables.

IV – Gouvernance et contrôle interne : divergences d’approche entre autorités nationales

La quasi‑totalité des autorités nationales (à l’exception de la Norvège) déclarent appliquer, au stade de l’agrément des EP/EME, le modèle des 3 lignes de défense et procéder à une évaluation au cas par cas des ETP prévisionnels dédiés aux fonctions de contrôle interne, en tenant compte de la taille, de la complexité, du profil de risque et de la croissance attendue des entités candidates. 

Toutefois, l’EBA constate que les modalités de formalisation et d’application de ces exigences demeurent fortement hétérogènes selon les juridictions, ce qui crée des risques de divergences prudentielles et de distorsion de concurrence. Elle en conclut à la nécessité d’une convergence accrue des exigences de gouvernance et de contrôle interne applicables aux EP et EME.

Certaines autorités restent très vagues sur leurs attentes prudentielles, se retranchant derrière la proportionnalité et la petite taille (souvent en startup) des EP/EME, sans définir de critères ni d’exigences concrètes.

a) Le degré de formalisation des attentes des autorités concernant le modèle des trois lignes de défense varie

Le niveau de formalisation des attentes des autorités nationales sur le modèle des 3 lignes de défense est très hétérogène : l’ABE relève que certaines autorités disposent de méthodologies ou de lignes directrices (souvent alignées sur le cadre des établissements de crédit, avec une proportionnalité), tandis que d’autres se limitent à des évaluations au cas par cas ou à des échanges oraux, avec des mises à jour de formulaires et de guides encore en cours dans certains pays.

b) La manière dont le modèle des 3 lignes de défense est appliqué diffère selon les autorités nationales

En effet, plusieurs autorités (Belgique, Chypre, Espagne, Allemagne, etc)  exigent une fonction de gestion des risques (2e ligne de défense) dotée de ressources adéquates et d’un pouvoir de surveillance effectif. D’autres (Luxembourg) recommandent fortement mais n’exigent pas l’existence d’une fonction de gestion des risques pour les entités plus petites ou en phase de démarrage, ce qui reflète la proportionnalité et les cadres nationaux.

c) Une externalisation bienvenue de la fonction d’audit interne  

Plusieurs autorités ont également indiqué qu’elles autorisent l’externalisation de la fonction de gestion des risques et/ou de la fonction d’audit interne sous des conditions strictes (ex : supervision, SLA, expertise du prestataire, responsabilité intégrale portée par l’EP/EME). 

L’ABE donne l’exemple de la France : l’audit interne est généralement externalisé à un cabinet d’audit et l’autorité nationale examine (i) le plan d’audit triennal (couverture des risques), (ii) les ressources et les qualifications des auditeurs (avec un minimum de 30 jours/an pour les entités plus petites), et (iii) les procédures de reporting auprès du responsable de la fonction d’audit interne et de la direction. 

d) L’adéquation des ETP prévisionnels pour les fonctions de contrôle interne

La plupart des autorités évaluent au cas par cas, selon la proportionnalité, le nombre d’ETP prévisionnels dédiés au contrôle interne, en fonction notamment de la taille, de la complexité, du profil de risque, de la croissance anticipée, des budgets et, le cas échéant, par comparaison avec des EP/EME similaires existants.

Étant précisé qu’il n’existe pas de méthode harmonisée pour évaluer les ETP prévisionnels : chaque autorité dispose d’une large marge d’appréciation, ce qui empêche de distinguer clairement les pratiques conformes des pratiques non conformes et reflète la diversité nationale et la proportionnalité des approches.

e) Evaluations des responsables des fonctions de contrôle interne

Certaines autorités concentrent leur évaluation sur les responsables des fonctions de contrôle interne, étant précisé que les candidats à l’agrément n’ont en général pas d’activités au stade de l’agrément. Par exemple : 

• Chypre a indiqué qu’en raison de la nature de startup de certains candidats à l’agrément, l’autorité locale accepte que les fonctions de contrôle se limitent à la personne responsable pendant les premières années d’activité ; 
• La Grèce a indiqué que lorsque le plan d’affaires de l’entité inclut un plan de déploiement avec des ETP prévisionnels, ou à un stade ultérieur lorsque le modèle d’activité se matérialise, l’autorité peut demander des compléments ou des ajustements des ETP dédiés aux fonctions de contrôle interne, en tenant compte de la taille, de la nature et du profil de risque de l’établissement.

Les autorités autorisent en général l’externalisation de certaines tâches relatives à la conformité ou l’audit interne, surtout pour les petites startups, ce qui peut justifier un nombre réduit d’ETP internes.

V – Le contrôle des dispositifs LCB-FT au moment de l’instruction du dossier d’agrément

En outre, le rapport de l’EBA met en évidence des progrès globaux dans l’évaluation des dispositifs LCB-FT au stade de l’agrément mais souligne des divergences persistantes entre autorités nationales.

a) Evaluation des risques BC-FT 

Sur l’évaluation des analyses de risques BC-FT des candidats, plusieurs autorités ont mis en place des méthodologies structurées, s’appuyant sur les Lignes directrices de l’EBA relatives aux facteurs de risque (EBA/GL/2021/02). Toutefois, certains superviseurs (en particulier la Norvège) continuent de procéder sur une base essentiellement ad hoc, sans critères objectifs clairement établis, ce qui n’est pas conforme aux attentes de l’EBA. 

b) Différentes approches dans le contrôle des succursales, des agents et des distributeurs

S’agissant des systèmes et contrôles visant à garantir la conformité LCB-FT des succursales, agents de paiement et distributeurs de ME, la plupart des autorités concernées déclarent avoir formalisé des approches (checklists, questionnaires, intégration dans des manuels internes). Néanmoins, certaines (telles que l’autorité hongroise) s’appuient encore principalement sur le jugement expert, sans grille de lecture prédéfinie. D’autres (Pologne, Slovénie) n’ont pas fourni de preuves suffisantes d’une application systématique, tandis que la Roumanie n’a pas développé de méthodologie spécifique, au motif de l’absence de cas concrets, ce que l’EBA juge insuffisant.

c) Des exigences variables concernant la personne responsable de la conformité LCB-FT

En ce qui concerne enfin la personne en charge de la conformité LCB-FT, plusieurs autorités ont renforcé ou étendu leurs exigences d’évaluation de l’aptitude et de l’expertise au moment de l’agrément, ainsi que les mesures correctrices possibles (exigence de désignation d’une autre personne). Toutefois, l’EBA considère que certaines pratiques restent inadaptées, notamment lorsque l’expérience requise peut être limitée à un an, même pour des activités complexes, ou lorsque l’évaluation n’est pas systématiquement réalisée. La Suède signale par ailleurs que son cadre juridique ne lui permet pas d’effectuer ce type d’évaluation, ce qui constitue une lacune significative au regard des attentes prudentielles européennes.

En conclusion, si la plupart des autorités ont engagé des actions en réponse aux recommandations de 2023, le rapport souligne que des insuffisances persistantes demeurent quant à la définition de critères objectifs, à leur mise en œuvre systématique, et à la robustesse des exigences en matière de compétences LCB-FT. 

L’EBA rappelle que le stade de l’agrément constitue un filtre essentiel pour prévenir l’utilisation du système financier à des fins de BC-FT, et invite les autorités nationales à combler sans délai les écarts identifiés.

VI – La substance locale : présence, direction effective, équipes… ce que regardent les autorités

L’ABE constate des progrès, mais souligne que l’application des exigences de “substance locale” prévues par l’article 11.3 de la DSP2 (autrement dit, des moyens humains suffisants sur un territoire) demeure très hétérogène entre autorités, ce qui crée un risque réel de forum shopping et de distorsion de concurrence au sein de l’EEE.

S’agissant d’abord de la direction effective, toutes les autorités déclarent vérifier, au moment de l’agrément, que l’EP/EME sera effectivement piloté depuis l’État d’origine.

Dans la pratique toutefois, certaines juridictions ont choisi une approche prescriptive, en imposant par exemple la présence ou la résidence locale de plusieurs dirigeants exécutifs et des responsables des fonctions de contrôle (gestion des risques/conformité/audit interne, voire fonctions IT), et parfois en ajoutant des exigences complémentaires comme la maîtrise de la langue nationale ou l’exigence d’une activité salariée locale pour les personnes exerçant une fonction clé.

L’ABE donne quelques exemples : 

• La France exige la résidence des directeurs généraux et des titulaires des fonctions clés liées aux risques (conformité / contrôle interne / LCB-FT) ; 
• Le Luxembourg s’attend à ce qu’au moins deux dirigeants, un responsable de la conformité, un auditeur interne (lorsque la fonction n’est pas externalisée) et un responsable de la sécurité des systèmes d’information (RSSI) soient professionnellement basés au Luxembourg. Ces personnes doivent résider à une distance raisonnable du siège de l’établissement à Luxembourg, c’est‑à‑dire soit au Luxembourg même, soit aux frontières du Luxembourg (France, Belgique ou Allemagne) ; 
• Malte exige qu’au moins deux personnes dirigent l’activité depuis Malte et qu’au moins un membre du conseil d’administration soit résident. Une forte substance locale est en outre encouragée pour les cadres dirigeants et les titulaires de fonctions de contrôle, en particulier pour le responsable de la conformité, le responsable de la surveillance des systèmes TIC et le responsable de la déclaration en matière de blanchiment de capitaux ; 
• Les Pays‑Bas  exigent qu’au moins deux membres de l’organe de direction exécutif exercent leurs fonctions depuis les Pays‑Bas.

Certaines autorités comme la Lituanie considèrent comme bonne pratique de disposer d’au moins quatre employés à temps plein, dont un dirigeant, résidant localement. Ces attentes concernent principalement les membres de l’équipe de direction et, dans certains cas, les responsables des fonctions de contrôle interne (avec application du principe de proportionnalité). La Belgique, le Danemark, l’Estonie, la Hongrie et la Roumanie exigent des candidats qu’ils démontrent une direction et un contrôle effectifs, sans toutefois prescrire de règles de localisation spécifiques. D’autres autorités, au contraire, se limitent à une appréciation plus qualitative et peu formalisée de la “substance locale”, sans critères quantifiés ni exigences opérationnelles précises, en s’appuyant surtout sur l’examen global de la gouvernance, de l’organisation et des dispositifs d’externalisation.

En outre, quelques autorités ont mentionné :

• L’obligation, pour les cadres dirigeants et les responsables des fonctions de contrôle interne, d’être salariés de l’entité candidate à l’agrément  (Belgique, Luxembourg) ;
• L’obligation, pour les titulaires de fonctions clés, de parler la langue locale afin de pouvoir dialoguer efficacement avec l’autorité compétente (Espagne, Finlande, Lettonie)

En parallèle, la plupart des autorités nationales vérifient également que l’entité entende exercer au moins une partie de ses activités dans l’État d’agrément, en s’appuyant sur la lecture du business plan, des projets de contrats, de la langue des documents ou encore du site internet.

En définitive, l’EBA estime que la combinaison d’exigences très strictes dans certains pays et beaucoup plus souples, voire peu formalisées, dans d’autres, fragilise la convergence prudentielle recherchée par la DSP2.

Elle en conclut à la nécessité d’un rapprochement des pratiques nationales, tant sur la définition et la preuve de la direction et du contrôle effectifs locaux que sur la vérification de l’existence d’une activité réelle sur le marché domestique.

Où l’on comprend que cette divergence d’approche des autorités de supervision locale altère la lisibilité des règles pour une entité souhaite fournir des services de paiement ou de monnaie électronique. Les fintechs du paiement doivent anticiper les approches des superviseurs nationaux, et seront tributaire de l’interprétation que feront ces dernières de la DSP2, certaines adoptant une approche plus stricte que d’autre. S’agit-il là d’une problématique liée au statut de “directive” de la DSP2 ? Gageons que ce problème soit résolu par le futur Package DSP3 et RSP1.

Source : https://www.eba.europa.eu/sites/default/files/2025-12/31b327d1-09ef-4ede-a5ec-40ea833fca4d/Follow-up%20peer%20review%20report%20on%20authorisations%20under%20PSD2.pdf