I. - Les prestataires de services de paiement sont les établissements de paiement, les établissements de monnaie électronique, les établissements de crédit et les prestataires de services d'information sur les comptes.

II. - Lorsqu'ils fournissent des services de paiement, les institutions et services suivants sont également considérés comme des prestataires de services de paiement, sans être soumis aux dispositions du chapitre II du présent titre et dans les limites des dispositions législatives qui, le cas échéant, les régissent :

a) La Banque de France, l'Institut d'émission des départements d'outre-mer et l'Institut d'émission d'outre-mer ;

b) Le Trésor public ;

c) La Caisse des dépôts et consignations.

I. – Par exception à l'interdiction de l'article L. 521-2, une entreprise peut fournir des services de paiement fondés sur des moyens de paiement qui ne sont acceptés, pour l'acquisition de biens ou de services, que :

1° Dans les locaux de cette entreprise ou, dans le cadre d'un accord commercial avec elle, dans un réseau limité de personnes acceptant ces moyens de paiement ; ou

2° Pour un éventail limité de biens ou de services.

II. – Dès que la valeur totale des opérations de paiement exécutées au cours des douze mois précédents dépasse un million d'euros, l'entreprise mentionnée au I du présent article adresse une déclaration contenant une description des services proposés à l'Autorité de contrôle prudentiel et de résolution. La déclaration précise au titre de quelle exclusion prévue au I l'activité est considérée être exercée.

L'Autorité de contrôle prudentiel et de résolution dispose d'un délai fixé par voie réglementaire suivant la réception de la déclaration pour notifier au déclarant, après avis de la Banque de France au titre du quatrième alinéa du I de l'article L. 141-4, que les conditions mentionnées au I du présent article ne sont pas remplies. Le silence gardé par l'Autorité de contrôle prudentiel et de résolution vaut approbation du respect des conditions susmentionnées.

Ces entreprises adressent chaque année à l'Autorité de contrôle prudentiel et de résolution, qui la transmet à la Banque de France, une actualisation de la déclaration afin de justifier du respect des dispositions précitées et la sécurité des moyens de paiement qu'elles émettent et gèrent.

Dès qu'une entreprise prévoit de ne plus remplir les conditions mentionnées au I du présent article, elle dépose une demande d'agrément auprès de l'Autorité de contrôle prudentiel et de résolution en application de l'article L. 522-6.

Lorsque l'Autorité de contrôle prudentiel et de résolution notifie à une entreprise que les conditions mentionnées au I du présent article ne sont pas remplies, l'entreprise dispose d'un délai de trois mois pour prendre les mesures nécessaires pour respecter les conditions précitées ou pour déposer une demande d'agrément auprès de l'Autorité de contrôle prudentiel et de résolution en application de l'article L. 522-6.

Tant que l'Autorité de contrôle prudentiel et de résolution ne s'est pas prononcée sur la demande d'agrément, l'entreprise veille à respecter les conditions prévues au I du présent article.

I. – Par exception à l'interdiction prévue à l'article L. 521-2, un fournisseur de réseaux ou de services de communications électroniques peut fournir des services de paiement, en sus des services de communications électroniques à un abonné à ce réseau ou à ce service, pour l'exécution :

1° D'opérations de paiement effectuées pour l'achat de contenus numériques et de services vocaux, quel que soit le dispositif utilisé pour l'achat ou la consommation de ces contenus numériques, et imputées sur la facture correspondante ;

2° D'opérations de paiement exécutées depuis un dispositif électronique ou au moyen de celui-ci et imputées sur la facture correspondante, dans le cadre de la collecte de dons par les organismes faisant appel public à la générosité au sens de la loi n° 91-772 du 7 août 1991 relative au congé de représentation en faveur des associations et des mutuelles et au contrôle des comptes des organismes faisant appel à la générosité publique, par les associations cultuelles ainsi que par les établissements publics des cultes reconnus d'Alsace-Moselle ;

3° D'opérations de paiement exécutées depuis un dispositif électronique ou au moyen de celui-ci et imputées sur la facture correspondante pour l'achat de tickets électroniques.

La valeur de chaque opération de paiement isolée ne peut excéder le montant de 50 €.

La valeur mensuelle cumulée des opérations de paiement pour un même abonné ne peut excéder le montant de 300 €. Dans le cas d'un abonnement souscrit à des fins professionnelles, ce montant s'apprécie au niveau de l'utilisateur final.

Le présent I s'applique également lorsqu'un abonné préfinance son compte auprès du fournisseur de réseaux ou de services de communications électroniques.

II. – Avant de commencer à exercer les activités mentionnées au I, le fournisseur de réseaux ou de services de communications électroniques adresse une déclaration contenant une description des services proposés à l'Autorité de contrôle prudentiel et de résolution, qui dispose d'un délai de trois mois à compter de la réception de cette déclaration pour notifier au déclarant que les conditions mentionnées au même I ne sont pas remplies.

Le fournisseur de réseaux ou de services de communications électroniques adresse à l'Autorité de contrôle prudentiel et de résolution un rapport annuel justifiant du respect des conditions mentionnées audit I.

Dès que le fournisseur de réseaux ou de services de communications électroniques prévoit de ne plus remplir les conditions mentionnées au même I, il dépose une demande d'agrément auprès de l'Autorité de contrôle prudentiel et de résolution en application de l'article L. 522-6.

Lorsque l'Autorité de contrôle prudentiel et de résolution notifie à un fournisseur de réseaux ou de services de communications électroniques que les conditions mentionnées au I du présent article ne sont plus remplies, ce dernier dispose d'un délai de trois mois pour prendre les mesures nécessaires pour respecter ces conditions ou pour déposer une demande d'agrément auprès de l'Autorité de contrôle prudentiel et de résolution en application du même article L. 522-6.

Tant que l'Autorité de contrôle prudentiel et de résolution ne s'est pas prononcée sur l'octroi de l'agrément, le fournisseur de réseaux ou de services de communications électroniques veille à respecter les conditions prévues au I du présent article.

Les services reposant sur des instruments de paiement spécifiques, valables uniquement en France, fournis à la demande d'une personne morale de droit public ou de droit privé ou assimilé, soumis à des dispositions législatives ou réglementaires spécifiques ou un régime spécial de droit public, et permettant d'acquérir des catégories de biens ou des services spécifiques auprès de fournisseurs ayant conclu un accord commercial relatif à l'acceptation de ces instruments ne sont pas considérés comme des services de paiement au sens de l'article L. 314-1.

Les entreprises qui fournissent les services, reposant sur ces instruments de paiement spécifiques, pour la partie de leur activité qui répond aux conditions du présent article, ne sont pas soumises aux règles applicables aux prestataires de services de paiement mentionnés à l'article L. 521-1.

La liste des instruments spéciaux de paiement mentionnés au premier alinéa est fixée par arrêté du ministre chargé de l'économie.

La Banque de France s'assure de la sécurité des services reposant sur des instruments de paiement spécifiques et de la pertinence des normes applicables en la matière. Si elle estime qu'un de ces instruments de paiement spécifiques présente des garanties de sécurité insuffisantes, elle peut recommander à son émetteur de prendre toutes mesures destinées à y remédier. Si ces recommandations n'ont pas été suivies d'effet, elle peut, après avoir recueilli les observations de l'émetteur, décider de formuler un avis négatif publié au Journal officiel.

Pour l'exercice de cette mission, la Banque de France procède aux expertises et se fait communiquer, par l'émetteur ou par toute personne intéressée, les informations utiles concernant les instruments de paiement spécifiques et les terminaux ou les dispositifs techniques qui leur sont associés.

Les entreprises mentionnées au présent article adressent à la Banque de France un rapport annuel justifiant de la sécurité des instruments de paiement spécifiques qu'elles émettent et gèrent.

Les prestataires de services de paiement n'ont accès à des données à caractère personnel nécessaires à l'exécution de leurs services de paiement, ne les traitent et ne les conservent qu'avec le consentement exprès de l'utilisateur de services de paiement.

Les systèmes de paiement et les prestataires de services de paiement sont autorisés à traiter des données à caractère personnel lorsque cela est nécessaire pour garantir la prévention, la recherche et la détection des fraudes en matière de paiements. La communication aux personnes d'informations sur le traitement des données à caractère personnel et le traitement de ces données à caractère personnel ainsi que tout autre traitement de données à caractère personnel sont effectués conformément aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil et la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et du règlement (CE) 45/2001 du Parlement européen et du Conseil.

I.-Afin d'améliorer la prévention, la recherche et la détection de la fraude en matière de paiements, un fichier national recense les informations permettant d'identifier les comptes de paiement et les comptes de dépôt que les prestataires de services de paiement définis à l'article L. 521-1 établis ou exerçant en France, à l'exception des prestataires de services d'information sur les comptes et des établissements de paiement fournissant exclusivement un service d'initiation de paiement, estiment susceptibles d'être frauduleux en se fondant notamment sur les analyses réalisées dans le cadre de leurs dispositifs internes de lutte contre la fraude.

Ce fichier comprend en outre les éléments caractérisant la fraude ou la suspicion de fraude.

Il est géré par la Banque de France.

II.-Les prestataires de services de paiement sont responsables de la fourniture des données mentionnées au I du présent article. Ils les déclarent sous leur seule responsabilité et procèdent sans délai aux déclarations correctives lorsque les raisons de soupçonner la fraude disparaissent. Les frais afférents à ces déclarations ne peuvent être directement ou indirectement facturés aux clients concernés.

Les instances locales du fichier utilisées, le cas échéant, par les prestataires de services de paiement pour récupérer les informations contenues dans le fichier géré par la Banque de France sont de la responsabilité pleine et entière de ces établissements.

Lorsqu'ils disposent d'un faisceau d'indices suggérant qu'un compte ayant fait l'objet d'une déclaration a été ouvert dans les conditions mentionnées à l'article 226-4-1 du code pénal, les prestataires de services de paiement actualisent immédiatement le fichier.

III.-Les unions de recouvrement des cotisations de sécurité sociale et d'allocations familiales peuvent signaler au gestionnaire du fichier les comptes qu'elles estiment susceptibles d'être frauduleux.

Sous réserve de ses propres contrôles, le gestionnaire du fichier procède à l'inscription de ces comptes dans le fichier.

IV.-L'inscription des informations relatives à un compte dans le fichier n'emporte pas d'interdiction de réaliser des opérations de paiement impliquant ce compte. Elle ne peut justifier à elle seule la résiliation du contrat-cadre de services de paiement ou de la convention de compte de dépôt par le prestataire de services de paiement teneur du compte déclaré.

Lorsqu'un compte figure dans le fichier, le prestataire de services de paiement chargé de la tenue de ce compte effectue sans délai l'ensemble des diligences visant à évaluer son caractère frauduleux.

V.-Il est interdit à la Banque de France et aux prestataires de services de paiement de remettre à quiconque copie des informations contenues dans le fichier.

La Banque de France est déliée du secret professionnel pour la divulgation des informations contenues dans le fichier dans les cas prévus au présent article.

VI.-Un arrêté du ministre chargé de l'économie, pris après avis de la Commission nationale de l'informatique et des libertés, définit les modalités de collecte, d'enregistrement, de conservation et de consultation des données ainsi que la liste des informations mentionnées au présent article.

VII.-Les tarifs liés à la mise en place et au fonctionnement du dispositif sont fixés par un arrêté du ministre chargé de l'économie pris après avis de la Banque de France. Ces tarifs, acquittés par les prestataires de services de paiement, sont fixés de manière à couvrir l'intégralité des coûts du dispositif.

Par dérogation aux dispositions de l'article L. 612-1, la Commission nationale de l'informatique et des libertés veille au respect des dispositions des articles L. 521-5 à L. 521-6-1 en utilisant les compétences qui lui sont reconnues par le règlement (UE) 2016/679 du Parlement européen et du Conseil et la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. A cette fin, elle peut notamment recevoir, par tous moyens, les plaintes relatives aux infractions aux dispositions des articles L. 521-5 et L. 521-6.

La Banque de France s'assure de la sécurité de l'accès aux comptes de paiement et à leurs informations dans le cadre de la fourniture des services de paiement mentionnés au 7° et 8° du II de l'article L. 314-1 par tout prestataire de services de paiement et de la pertinence des normes applicables en la matière. Pour l'accomplissement de cette mission, la Banque de France dispose des mêmes pouvoirs auprès de ces prestataires que ceux prévus aux quatrième et sixième alinéas du I de l'article L. 141-4.

Les prestataires de services de paiement mettent en place des procédures prévoyant des mesures d'atténuation et des mécanismes de contrôle appropriés en vue de gérer les risques opérationnels et de sécurité, liés aux services de paiement qu'ils fournissent. Un arrêté du ministre en charge de l'économie et des finances précise le contenu de ces procédures.

I. – Les prestataires de services de paiement informent sans retard injustifié l'Autorité de contrôle prudentiel et de résolution de tout incident opérationnel majeur.

II. – Les prestataires de services de paiement informent sans retard injustifié la Banque de France de tout incident de sécurité majeur. La Banque de France évalue l'incident et prend au besoin des mesures appropriées et si elle l'estime nécessaire, elle en informe l'Autorité de contrôle prudentiel et de résolution en application de l'article L. 631-1.

III. – Lorsque l'incident a ou est susceptible d'avoir des répercussions sur les intérêts financiers de ses utilisateurs de services de paiement, le prestataire de services de paiement informe sans retard injustifié ses utilisateurs de services de paiement de l'incident et de toutes les mesures disponibles qu'ils peuvent prendre pour atténuer les effets dommageables de l'incident.

IV. – Dès réception de la notification visée au I ou au II, l'Autorité de contrôle prudentiel et de résolution ou la Banque de France communique sans retard injustifié les détails importants de l'incident à l'Autorité bancaire européenne et à la Banque centrale européenne, et, après avoir évalué la pertinence de l'incident pour d'autres autorités nationales concernées, informe celles-ci en conséquence.

V. – Les modalités des notifications prévues aux I à III sont précisées par arrêté du ministre de l'économie et des finances.