Le rapport d'audit prévu à l'article 3 du règlement délégué (UE) n° 2018/389 de la Commission du 27 novembre 2017 est communiqué chaque année à l'Autorité de contrôle prudentiel et de résolution selon les modalités prévues par instruction de l'Autorité.

Lorsque les prestataires de services de paiement gestionnaires de comptes ont mis en place une interface dédiée dans les conditions prévues à l'article 32 du même règlement délégué, le rapport mentionné au premier alinéa comprend notamment un avis spécifique sur l'évaluation des niveaux de disponibilité et de performance de l'interface dédiée par rapport aux interfaces mises à disposition des utilisateurs de services de paiement pour accéder directement à leurs comptes de paiement en ligne, conformément aux dispositions du paragraphe 2 de l'article 32 du même règlement délégué.

La notification mentionnée au paragraphe 3 de l'article 33 du règlement délégué (UE) n° 2018/389 de la Commission du 27 novembre 2017 est effectuée auprès de l'Autorité de contrôle prudentiel et de résolution, selon les modalités prévues par instruction de l'Autorité, par les prestataires de services de paiement gestionnaires de comptes qui ont mis en place une interface dédiée dans les conditions prévues à l'article 32 du même règlement délégué.

L'exemption d'obligation de mettre en place un mécanisme d'urgence pour les prestataires de services de paiement qui disposent d'une interface dédiée remplissant toutes les conditions mentionnées au 6 de l'article 33 du règlement délégué (UE) n° 2018/389 de la Commission du 27 novembre 2017 est délivrée par l'Autorité de contrôle prudentiel et de résolution, après avis de la Banque de France au titre de l'article L. 521-8 du code monétaire et financier.

Les prestataires de services de paiement gestionnaires de comptes qui souhaitent bénéficier de l'exemption adressent à l'Autorité de contrôle prudentiel et de résolution une demande comportant :

1° Un rapport d'audit portant sur la conformité de l'interface dédiée à l'ensemble des obligations énoncées à l'article 32 du même règlement délégué ;

2° Un bilan du test réalisé en application du paragraphe 5 de l'article 30 du même règlement délégué ;

3° Les statistiques d'utilisation de l'interface dédiée au cours des trois mois précédents la demande. Ces trois mois peuvent être compris dans le délai de six mois mentionné au paragraphe 5 de l'article 30 du même règlement délégué ;

4° Une synthèse des conditions de résolution des problèmes liés à l'interface dédiée décrites au paragraphe 1 de l'article 33 du même règlement délégué ;

5° Un rapport attestant de la conformité de l'interface dédiée aux dispositions sur la sécurité prévues par ce même règlement délégué et détaillées par un référentiel sur la sécurité établi par la Banque de France en application de l'article L. 521-8 du présent code. Ce rapport est réalisé par un centre d'évaluation agréé par l'Agence nationale de la sécurité des systèmes d'information conformément aux dispositions du décret n° 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information. Le coût de cette évaluation est à la charge des prestataires de services de paiement gestionnaires de compte. Ce rapport est transmis par l'Autorité de contrôle prudentiel et de résolution à la Banque de France afin qu'elle s'assure, en application de l'article L. 521-8, de la sécurité de l'interface dédiée.

L'Autorité de contrôle prudentiel et de résolution consulte l'Autorité bancaire européenne afin qu'elle s'assure de l'application cohérente des conditions mentionnées au paragraphe 6 de l'article 33 du règlement délégué (UE) n° 2018/389 du 27 novembre 2017.

L'Autorité de contrôle prudentiel et de résolution notifie sa décision au demandeur dans un délai de deux mois suivant la réception de la demande complète. Le silence gardé par l'Autorité à l'expiration de ce délai vaut acceptation de la demande d'exemption.

Lorsque les conditions mentionnées au paragraphe 7 de l'article 33 du règlement délégué (UE) n° 2018/389 de la Commission du 27 novembre 2017 sont réunies, l'Autorité de contrôle prudentiel et de résolution retire l'exemption.

Dès qu'un prestataire de services de paiement gestionnaire de comptes dispose d'une interface dédiée conforme aux obligations prévues à l'article 32 du règlement délégué (UE) n° 2018/389 de la Commission du 27 novembre 2017, les prestataires de services de paiement fournissant le service d'initiation de paiement, d'une part, et les prestataires de services de paiement fournissant le service d'information sur les comptes, d'autre part, utilisent cette interface dédiée pour accéder aux comptes de paiement en ligne de leurs utilisateurs afin de leur fournir les services d'initiation de paiement ou d'information sur les comptes.