Décret n° 2018-1228 du 24 décembre 2018 portant application de l'acte délégué adopté en vertu du 1 de l'article 98 de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015


JORF n°0298 du 26 décembre 2018
texte n° 35




Décret n° 2018-1228 du 24 décembre 2018 portant application de l'acte délégué adopté en vertu du 1 de l'article 98 de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015

NOR: ECOT1825579D
ELI: https://www.legifrance.gouv.fr/eli/decret/2018/12/24/ECOT1825579D/jo/texte
Alias: https://www.legifrance.gouv.fr/eli/decret/2018/12/24/2018-1228/jo/texte


Publics concernés : les prestataires de services de paiement.
Objet : modalités d'application en France du règlement délégué (UE) n° 2018/389 de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/2366 du Parlement européen et du Conseil par des normes techniques de réglementation relatives à l'authentification forte du client et à des normes ouvertes communes et sécurisées de communication, ainsi que de préciser les conditions de l'entrée en vigueur de cet acte pour la période antérieure à sa date d'application fixée au 14 septembre 2019.
Entrée en vigueur : le décret entre en vigueur le lendemain de sa publication au Journal officiel de la République française et le dixième jour qui suit sa publication au Journal officiel en Polynésie française, en Nouvelle Calédonie et dans les îles Wallis et Futuna.
Notice : ce décret est pris pour l'application des dispositions de l'article 3 de de la loi n° 2018-700 du 3 août 2018 ratifiant l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur. L'acte délégué adopté en vertu du 1 de l'article 98 de cette directive précise les modalités de communication sécurisée entre les établissements teneurs de comptes de paiement, leurs utilisateurs, et, respectivement, les prestataires de services d'initiation de paiement et les prestataires de services d'information sur les comptes. Le décret précise les modalités d'application de cet acte, notamment eu égard aux attributions respectives de l'Autorité de contrôle prudentiel et de résolution et de la Banque de France. Le décret rend cet acte applicable de façon anticipée à sa date d'application fixée au 14 septembre 2019 afin que l'ensemble des parties prenantes mette en place dans les meilleurs délais des solutions techniques permettant de sécuriser leurs communications donnant accès aux données des comptes de paiement des utilisateurs de services de paiement tout en assurant le bon fonctionnement des nouveaux services.
Références : les dispositions du code monétaire et financier créées par le décret peuvent être consultées sur le site Légifrance (http://www.legifrance.gouv.fr).


Le Premier ministre,
Sur le rapport du ministre de l'économie et des finances,
Vu le règlement délégué (UE) n° 2018/389 de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/2366 du Parlement européen et du Conseil par des normes techniques de réglementation relatives à l'authentification forte du client et à des normes ouvertes communes et sécurisées de communication ;
Vu la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n° 1093/2010, et abrogeant la directive 2007/64/CE ;
Vu le code monétaire et financier ;
Vu la loi n° 2018-700 du 3 août 2018 ratifiant l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur ;
Vu le décret n° 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information ;
Vu l'avis du comité consultatif de la législation et de la réglementation financières en date du 10 octobre 2018,
Décrète :


Après l'article D. 133-7 du code monétaire et financier, il est inséré une nouvelle section ainsi rédigée :


« Section 12
« Modalités d'accès aux comptes de paiement


« Art. D. 133-8.-Le rapport d'audit prévu à l'article 3 du règlement délégué (UE) n° 2018/389 de la Commission du 27 novembre 2017 est communiqué chaque année à l'Autorité de contrôle prudentiel et de résolution selon les modalités prévues par instruction de l'Autorité.
« Lorsque les prestataires de services de paiement gestionnaires de comptes ont mis en place une interface dédiée dans les conditions prévues à l'article 32 du même règlement délégué, le rapport mentionné au premier alinéa comprend notamment un avis spécifique sur l'évaluation des niveaux de disponibilité et de performance de l'interface dédiée par rapport aux interfaces mises à disposition des utilisateurs de services de paiement pour accéder directement à leurs comptes de paiement en ligne, conformément aux dispositions du paragraphe 2 de l'article 32 du même règlement délégué.


« Art. D. 133-9.-La notification mentionnée au paragraphe 3 de l'article 33 du règlement délégué (UE) n° 2018/389 de la Commission du 27 novembre 2017 est effectuée auprès de l'Autorité de contrôle prudentiel et de résolution, selon les modalités prévues par instruction de l'Autorité, par les prestataires de services de paiement gestionnaires de comptes qui ont mis en place une interface dédiée dans les conditions prévues à l'article 32 du même règlement délégué.


« Art. D. 133-10.-L'exemption d'obligation de mettre en place un mécanisme d'urgence pour les prestataires de services de paiement qui disposent d'une interface dédiée remplissant toutes les conditions mentionnées au 6 de l'article 33 du règlement délégué (UE) n° 2018/389 de la Commission du 27 novembre 2017 est délivrée par l'Autorité de contrôle prudentiel et de résolution, après avis de la Banque de France au titre de l'article L. 521-8 du code monétaire et financier.
« Les prestataires de services de paiement gestionnaires de comptes qui souhaitent bénéficier de l'exemption adressent à l'Autorité de contrôle prudentiel et de résolution une demande comportant :
« 1° Un rapport d'audit portant sur la conformité de l'interface dédiée à l'ensemble des obligations énoncées à l'article 32 du même règlement délégué ;
« 2° Un bilan du test réalisé en application du paragraphe 5 de l'article 30 du même règlement délégué ;
« 3° Les statistiques d'utilisation de l'interface dédiée au cours des trois mois précédents la demande. Ces trois mois peuvent être compris dans le délai de six mois mentionné au paragraphe 5 de l'article 30 du même règlement délégué ;
« 4° Une synthèse des conditions de résolution des problèmes liés à l'interface dédiée décrites au paragraphe 1 de l'article 33 du même règlement délégué ;
« 5° Un rapport attestant de la conformité de l'interface dédiée aux dispositions sur la sécurité prévues par ce même règlement délégué et détaillées par un référentiel sur la sécurité établi par la Banque de France en application de l'article L. 521-8 du présent code. Ce rapport est réalisé par un centre d'évaluation agréé par l'Agence nationale de la sécurité des systèmes d'information conformément aux dispositions du décret n° 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information. Le coût de cette évaluation est à la charge des prestataires de services de paiement gestionnaires de compte. Ce rapport est transmis par l'Autorité de contrôle prudentiel et de résolution à la Banque de France afin qu'elle s'assure, en application de l'article L. 521-8, de la sécurité de l'interface dédiée.
« L'Autorité de contrôle prudentiel et de résolution consulte l'Autorité bancaire européenne afin qu'elle s'assure de l'application cohérente des conditions mentionnées au paragraphe 6 de l'article 33 du règlement délégué (UE) n° 2018/389 du 27 novembre 2017.


« Art. D. 133-11.-L'Autorité de contrôle prudentiel et de résolution notifie sa décision au demandeur dans un délai de deux mois suivant la réception de la demande complète. Le silence gardé par l'Autorité à l'expiration de ce délai vaut acceptation de la demande d'exemption.
« Lorsque les conditions mentionnées au paragraphe 7 de l'article 33 du règlement délégué (UE) n° 2018/389 de la Commission du 27 novembre 2017 sont réunies, l'Autorité de contrôle prudentiel et de résolution retire l'exemption.


« Art. D. 133-12.-Dès qu'un prestataire de services de paiement gestionnaire de comptes dispose d'une interface dédiée conforme aux obligations prévues à l'article 32 du règlement délégué (UE) n° 2018/389 de la Commission du 27 novembre 2017, les prestataires de services de paiement fournissant le service d'initiation de paiement, d'une part, et les prestataires de services de paiement fournissant le service d'information sur les comptes, d'autre part, utilisent cette interface dédiée pour accéder aux comptes de paiement en ligne de leurs utilisateurs afin de leur fournir les services d'initiation de paiement ou d'information sur les comptes. »


Lorsque le lancement sur le marché de l'interface dédiée a lieu dans les conditions prévues à l'article 32 du règlement délégué (UE) n° 2018/389 de la Commission du 27 novembre 2017 avant la date d'application visée au paragraphe 2 de l'article 38 du même règlement délégué, le délai prévu à l'alinéa 3 du paragraphe 3 et au paragraphe 5 de l'article 30 du même règlement, est de six mois avant la date de ce lancement.


I. - Les articles D. 741-4, D. 751-4 et D. 761-4 du code monétaire et financier sont ainsi modifiés :
1° La référence : « I » est ajoutée au début du premier alinéa ;
2° Le tableau est complété par la ligne suivante :
«


D. 133-8 à D. 133-12

2018-1228 du 24 décembre 2018


» ;
3° Ces articles sont complétés par les dispositions suivantes :
« II. - Pour l'application des articles D. 133-8 à D. 133-12 :
« 1° Les références au règlement délégué (UE) n° 2018/389 de la Commission du 27 novembre 2017 sont remplacées par les références à un arrêté du ministre chargé de l'économie fixant les exigences auxquelles les prestataires de services de paiement gestionnaires de comptes situés en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna doivent satisfaire en matière de normes de communication sécurisées et d'authentification forte des clients des prestataires de services de paiement ;
« 2° Les références à l'Autorité bancaire européenne ne sont pas applicables.
« 3° Les mots : « à la Banque de France afin qu'elle » sont remplacés par les mots : « à l'Institut d'émission d'outre-mer au titre de l'article L. 712-6 afin qu'il, ».
II. - L'article 2 du présent décret est applicable en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna, sous réserve de remplacer les références au règlement délégué (UE) n° 2018/389 de la Commission du 27 novembre 2017, par les références à un arrêté du ministre chargé de l'économie fixant les exigences auxquelles les prestataires de services de paiement gestionnaires de comptes situés en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna doivent satisfaire pour établir des normes de communication et procéder à l'authentification forte de leurs clients.


Le ministre de l'économie et des finances et la ministre des outre-mer sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.


Fait le 24 décembre 2018.


Edouard Philippe

Par le Premier ministre :


Le ministre de l'économie et des finances,

Bruno Le Maire


La ministre des outre-mer,

Annick Girardin