Renforcement de la lutte contre la fraude aux moyens de paiement

fraude aux moyens de paiementFace aux menaces numériques, la Commission a proposé des outils pour lutter contre la fraude aux moyens de paiement (1).

Objectif : une capacité accrue en matière de cybersécurité

Dans son discours annuel sur l’état annuel, le président de la Commission européenne, Jean-Claude Juncker a fait le constat suivant, malgré « des progrès dans la sécurisation de l’internet, (…) l’Europe reste mal équipée face aux cyberattaques ».

C’est en réponse aux défaillances significatives de l’arsenal européen de lutte contre les cyberattaques, que la Commission a proposé une panoplie de nouveaux outils permettant de « mieux nous défendre contre ces attaques ». Constat alarmant : l’année dernière plus de 4 000 attaques par rançongiciel par jour ont été enregistrées et 80% des entreprises européennes ont connu au moins un incident lié à la cybersécurité.

L’ambition du paquet cybersécurité est de permettre que l’UE devienne « plus résiliente face aux cyberattaques et puisse adopter des mesures efficaces, en matière de cyberdissuasion et de répression par le droit pénal, pour mieux protéger les citoyens, les entreprises et les institutions publiques européennes ».

Ainsi, la Commission renforce la résilience en proposant que :

  • l’Agence européenne pour la sécurité des réseaux et des Etats membres soit renforcée en ce qu’elle disposera d’un mandat permanent qui aidera les Etats membres à prévenir efficacement les cyberattaques et à y répondre ;
  • un cadre de certification à l’échelle de l’UE permette de garantir que les produits et les services répondent à toutes les exigences de cyberécurité applicables. Cela vise notamment à offrir aux citoyens un cadre de confiance pour les dispositifs d’internet des objets qui sera reconnu dans tous les Etats membres de l’Union Européenne.

La lutte contre la fraude aux moyens de paiement autres que les espèces

La fraude aux moyens de paiement (autres que les espèces) constituent une importante source de revenus pour la criminalité organisée et sont souvent le nid de pratiques illégales voire criminelles : terrorisme, trafic de stupéfiants ou traite des êtres humains. A titre d’exemple, Europol a signalé que les personnes qui voyageaient frauduleusement incluaient des personnes servant de mules.

En outre, cette fraude aux moyens de paiement nuit à la confiance que peuvent avoir les citoyens européens dans le commerce en ligne, craignant que leurs données soient détournées de leur finalité initiale, et donc ralentit l’activité économique.

Afin d’être en phase avec les nouveaux comportements criminels résultant des nouvelles technologies comme les monnaies virtuelles et les paiements mobiles, la Commission a proposé l’adoption d’une nouvelle directive concernant la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces (2).

Cette proposition a trois objectifs spécifiques :

  • la mise en place d’un cadre juridique clair, solide et technologiquement neutre ;
  • l’élimination d’obstacles opérationnels qui entravent les enquêtes et les poursuites ;
  • l’amélioration de la prévention.

Tout d’abord, la proposition de nouvelle directive élargit le champ des infractions pour y inclure les transactions effectuées avec des monnaies virtuelles (Proposition de directive, art. 3, 5). Désormais, en faisant référence expressément aux « transfert d’argent, de valeur monétaire, ou de monnaies virtuelles », la Commission permet aux Etats de prendre en compte les infractions liées aux opérations de paiement réalisées avec des monnaies virtuelles.

La Commission instaure, également, de nouvelles infractions relevant de la cybercriminalité (Proposition de directive, art. 4) afin de s’adapter aux nouveaux comportements résultant du développement des nouvelles technologies. Ainsi elle sanctionne l’utilisation frauduleuse d’un instrument de paiement volé ou faux, qu’il soit matériel ou non. Cela comprend toutes les fraudes commises à l’aide d’authentifiant de paiements volés ou falsifiés.

La proposition de directive introduit également une durée minimale allant de 2 ans pour les infractions par exemples de « carding » (vol d’authentifiant volés), de « phishing » et de « pharming » (exploitation des vulnérabilités d’un système) à 5 ans lorsqu’elles sont commises dans le cadre d’une organisation criminelle ou qu’elles causent un préjudice grave ou considérable ou procurent un avantage cumulé égal à au moins 20 000 euros (Proposition de directive, art. 9-10).

Ces sanctions seront prononcées dans un cadre juridictionnel bien défini puisque la directive clarifie la portée de la compétence juridictionnelle des Etats qui doit s’établir selon les critères suivants (Proposition de directive, art. 11) :

  • l’infraction a été commise, en tout ou en partie, sur son territoire ;
  • l’auteur de l’infraction est l’un de ses ressortissants ;
  • l’infraction a causé un préjudice sur son territoire.

Enfin, la proposition de la directive cherche à garantir les droits des victimes de fraude aux moyens de paiement, notamment (Proposition de directive, art. 15) :

  • en leur procurant des informations et de conseils sur la façon de se protéger contre les conséquences négative de ces infractions ;
  • en leur permettant de s’adresser à une l’autorité compétente qui leur assure un accompagnement dans leurs démarches ;
  • en les sensibilisant et les informant sur les risques que présentent l’économie numérique.

De nouvelles propositions sur l’accès transfrontalier aux preuves électroniques seront publiées au début de l’année 2018.

Frédéric Forster
Charlotte Le Fiblec
Lexing Télécoms / Banque et bourse électroniques

(1) « Cybersécurité : la Commission dote l’UE de moyens supplémentaires pour répondre aux cyberattaques », Communiqué de presse de la Commission européenne, IP/17/3193 du 19 septembre 2017.
(2) Proposition de directive concernant la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces COM (2017) 489 final du 13 septembre 2017.




Payer avec la main : le nouveau moyen de paiement de demain?

Payer avec la mainPayer avec la main c’est désormais possible grâce à l’implantation sous la peau d’une puce électronique.

C’est ce qu’a proposé une entreprise américaine à ses salariés notamment pour payer les repas que ces derniers prennent habituellement à la cafeteria.

L’implantation d’une puce RFID (Radio Frequency identification) dans la main n’a rien de nouveau puisque de nombreuses sociétés les utilisent déjà afin de remplacer les badges d’accès des salariés. Ce qui change ici c’est l’utilisation pour laquelle la puce est implantée. Jusqu’à présent ce type de puces était très rarement implanté sous la peau d’une personne à des fins de paiement.

Payer avec la main : comment cela fonctionne-t-il ?

La puce utilise la technologie RFID et se caractérise par « l’utilisation d’ondes électromagnétiques rayonnantes ou d’un couplage de champ réactif dans une portion de radio­fréquences du spectre pour communiquer vers ou à partir d’une étiquette selon différents schémas de modulation et d’encodage afin de lire, de façon univoque, l’identité d’une étiquette de radiofréquence ou d’autres données stockées sur celle-ci » (1).

Le simple effleurement de la main sur le terminal de paiement va permettre d’effectuer le paiement. Cette technologie est la même que celle utilisée pour les moyens de paiement sans contact traditionnels, telle que la carte de paiement sans contact ou le paiement cashless (à ce sujet, voir notre article (2)). La main devient un moyen de paiement comme un autre.

Payer avec la main : quels sont les risques en matière bancaire ?

Dès lors, les problématiques qui se posent sont en partie identiques à celles que les autres moyens de paiement sans contact rencontrent. En effet, l’implantation d’une puce utilisant la technologie RFID suscite notamment des questions sur la sécurité des données bancaires.

La Cnil s’était déjà penchée sur la question du niveau de protection des données personnelles de ces nouveaux moyens de paiement.

Elle avait, à cette occasion, relevé une insuffisance de sécurité du fait de la possibilité d’intercepter les échanges de données personnelles entre une carte bancaire dotée de la technologie NFC et le lecteur à proximité duquel elle est passée (3).

La Cnil recommande que le nom du porteur ne soit plus lisible par l’intermédiaire de l’interface sans contact d’une carte bancaire et qu’il ne soit plus possible de lire l’historique des transactions (4).

En effet, le risque de fraude constitue la menace principale pour ce type de moyen de paiement. Afin de réduire au maximum ce risque de fraude, ce type de moyen de paiement est généralement limité aux achats d’un montant de 30 euros. Des plafonds cumulés empêchent également de payer sans contact au-delà d’un certain montant par jour et par mois.

Tandis que la Cnil et la Banque de France recommandent aux utilisateurs de protéger leur moyen de paiement par l’usage d’un étui protecteur qui créé une barrière contre les ondes électromagnétiques, comment appliquer cette recommandation concernant la main ? L’utilisateur devra-t-il se doter de gant protégeant sa puce ? Ces questions demeurent à ce jour sans réponse.

Enfin, en cas de fraude, l’établissement bancaire est tenu au remboursement intégral immédiat pour tous les prélèvements réalisés sans qu’un code confidentiel n’ait été composé et si le titulaire du moyen de paiement ne tarde pas à faire opposition (CMF, art. L.133-20 et L.133-18).

Payer avec la main : quels sont les risques en matière de protection des données à caractère personnel ?

Plus que la technologie RFID elle-même, c’est le maillage de toutes les informations contenues dans les puces qui posent problème aux défenseurs des libertés individuelles. Ce maillage de données est d’autant plus problématique qu’il est lié à la personne humaine (puisqu’ implantée sous sa peau). La puce devient indissociable de la personne et ne pourra pas être retirée par elle, au moment où elle le souhaitera.

Emblème RFIDCet aspect attentatoire à la vie privée a retenu l’attention des autorités puisque la Commission européenne s’est interrogée sur la manière de concilier le développement de la technologie RFID avec la protection des données à caractère personnel et de la vie privée.

Les puces RFID peuvent être considérées comme un moyen d’espionner les consommateurs. Il faut donc prendre des mesures pour garantir que cette technologie respecte la vie privée. Un emblème RFID sur les produits serait une première étape garantissant la transparence de l’industrie (5).

Elle propose en outre la mise en place de mécanismes de désactivation des puces RFID dans certaines situations, par exemple à la sortie des magasins, et avec le libre choix des personnes. Cependant, comment faire pour désactiver une puce RFID implantée sous la peau ?

Payer avec la main : l’après RGPD ?

Le développement de la technologie du « payer avec la main » va susciter de nombreuses questions avec l’application, à partir du 25 mai 2018, du règlement n°2016-679 sur la protection des données personnelles (« RGPD »), notamment au regard du principe d’accountability ou du principe de protection des données dès la conception et de la « sécurité par défaut ».

Frédéric Forster
Charlotte Le Fiblec
Lexing Constructeur informatique et télécom

(1)  Recommandation de la Commission du 12 mai 2009 sur la mise en œuvre des principes de respect de la vie privée et de protection des données dans les applications reposant sur l’identification par radiofréquence.
(2) F. Forster, Les problématiques juridiques relatives au paiement cashless, Alain-Bensoussan.com 25-10-2016.
(3) F. Forster, Paiement mobile : la Cnil s’intéresse aux cartes de paiement sans contact, Alain-Bensoussan.com 17-7-2013.
(4) Carte de paiement sans contact : mode d’emploi, Cnil 19-5-2015.
(5) Ch. Guillemin, Un logo explicite sur les produits à étiquette RFID d’ici 3 ans ?, ZDNer.fr 25-2-2008.




Les récentes évolutions en matière de régulation du THF à l’étranger

régulation du THF Tandis que des initiatives de régulation du THF voient le jour aux Etats-Unis, le Japon semble durcir sa législation sur ce type de trading.

En effet, la SEC (Securities and Exchange Commission) a approuvé en 2016 l’initiative d’IEX (Investors Exchange) de mettre en place une bourse électronique dont la particularité est de ralentir les échanges dans le but d’instaurer une forme de régulation du THF.

De son côté, le parlement japonais a voté, le 17 mai 2017, un projet de loi tendant à mieux encadrer le trading haute fréquence.

Les initiatives de régulation aux Etats-Unis

Le 17 juin 2016, la SEC a validé la démarche de l’ancien trader de Wall Street, Brad Katsuyama, d’ouvrir une bourse électronique allant à contre-courant des valeurs actuelles de rapidité et d’immédiateté, permettant une régulation du THF .

En effet, alors que les machines ont pris le pas sur les êtres humains pour passer les ordres à très grande vitesse sur les marchés financiers, l’idée d’IEX est de redonner du pouvoir aux personnes en mettant en place des « ralentisseurs » qui dissuaderont les traders haute fréquence.

En effet, un temps minimum pour passer les ordres sera mis en place et il sera donc techniquement impossible de passer des dizaines de milliers d’ordres à la seconde comme le font actuellement les logiciels de THF : cela permettra en principe d’empêcher, ou en tout cas de restreindre, les éventuelles manipulations des cours et d’encadrer certaines pratiques.

Si certains opérateurs du New York Stock Exchange et du Nasdaq ont accueilli cette initiative avec un certain scepticisme, la SEC a salué cette initiative en soulignant qu’elle était de nature à « promouvoir l’innovation et la concurrence pour fournir des service performant et robustes aux investisseurs individuels et institutionnels ».

Une nouvelle législation japonaise

La loi voté le 17 mai 2017 et qui pourrait entrer en vigueur dès 2018, encadre l’activité des traders haute fréquence sur les places de marché japonaises.

La FSA « Financial Services Agences » avait déjà expliqué qu’il convenait d’encadrer certaines pratiques et que cela devait notamment passer par la création d’un registre recensant les acteurs de THF opérant sur les places de marché japonaises.

La loi japonaise semble s’imprégner de ce concept puisque l’idée est effectivement de permettre d’identifier les acteurs de THF qui passent des ordres sur la bourse de Tokyo : l’objectif étant, in fine, de pouvoir identifier les auteurs d’éventuelles dérives et de manipulation des cours.

Ainsi, il sera désormais demandé aux traders haute fréquence de s’enregistrer auprès de la FSA et de fournir des preuves de pratiques de gestion des risques efficaces.

En outre, les traders étrangers devront également s’enregistrer et établir un bureau au Japon.

Si cela ne permettra pas, stricto sensu, une régulation du THF et une moralisation de l’activité du trading, cela permettra au moins d’identifier les traders responsables de pratiques illégales.

Marie Adélaïde de Montlivault-Jacquot
Pierre Guynot de Boismenu
Lexing Contentieux informatique

(1) SEC Approves IEX Proposal to Launch National Exchange, Issues Interpretation on Automated Securities Prices, Press Release 2016-123 17-6-2016.
(2) High-Frequency Trading: Overview of the New Japanese Regulations, Nishimura & Asahi Financial Regulation Newsletter 6-2017.
(3) Amendments to Legislation on High Frequency Trading, Financial Services & Transactions Group Newsletter 14-6-2017.




Le banking as a service (BaaS) : le renouveau de la banque

banking as a serviceUne nouvelle manière d’envisager les services bancaires semble s’ouvrir avec le développement du banking as a service.

Reprenant la terminologie bien connue en informatique du software as a service (le « SaaS »), qui désigne un logiciel installé sur un serveur que l’utilisateur exploite à distance, le banking as a service (le « BaaS »), est une plateforme technologique hébergée en cloud qui permet la fourniture de services de paiement par de nouveaux acteurs.

Face au développement et au succès grandissant que rencontrent les interfaces de programmation ouvertes (les « Api »), de nombreux acteurs non-bancaires en ont profité pour développer à leur tour un ensemble de services de paiement clés en main, « en libre-service » dans le cloud, destinés à des prestataires de services de paiement en quête de nouvelles solutions innovantes et flexibles. Ainsi, ces derniers peuvent décider, à leur convenance, de recourir au BaaS auprès d’un prestataire technique pour qu’il mette notamment à leur disposition, des services bancaires de bases ou des services de gestions de portefeuille.

Ce modèle de « morcellement des services de paiement » a pour conséquence de bousculer le schéma classique bancaire dans lequel l’offre, allant de la fourniture du carnet de chèque à l’ouverture et la gestion du compte bancaire, était traditionnellement globale.

L’enjeu majeur réside dans le fait que ces nouveaux acteurs ne sont pas agréés auprès de l’Autorité de contrôle prudentiel et de résolution (ACPR) et ne sont donc pas soumis à une obligation spécifique de sécurité, comme peuvent l’être les prestataires de services de paiement (Arrêté 3-11-2014, art. 255). Dès lors, cette externalisation de services bancaires ne nuit-elle pas aux obligations de sécurité propres aux prestataires de services de paiement ?

Pourquoi recourir au banking as a service (BaaS) ?

L’atout majeur du banking as a service est d’ordre technique puisqu’il offre au prestataire de services de paiement la possibilité de disposer d’un système informatique agile, flexible et innovant, tout en se dispensant d’investissements humains et financiers que ce type de développement aurait naturellement impliqué.

Les prestataires de services de paiement ne constituent pas les uniques cibles du banking as a service, puisque ce service s’adresse également à des groupes digitaux ou des start-up qui souhaiteraient élargir leur offre en proposant des services bancaires à leurs clients, mais sans avoir à gérer l’infrastructure technique et complexe de ce type de services.

Quels sont les risques juridiques ?

L’arrêté du 3 novembre 2014, relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumis au contrôle de l’ACPR (1), règlemente les exigences en matière de contrôle interne des prestataires de services de paiement. A ce titre, l’accent est en particulier porté sur le maintien du contrôle interne malgré l’externalisation de services de paiement.

Ainsi, l’externalisation de certains services, tels la réception de fonds remboursables du public, les opérations de crédit, ou les services bancaires de paiement (CMF, art. L.311-1) (2) ne peut se réaliser qu’auprès de prestataires de services de paiement.

Pour les autres services qui ne sont pas visés dans cet article, l’externalisation est permise, mais elle ne doit pas néanmoins compromettre le contrôle interne mis en place par l’établissement (Arrêté 3-11-2014, art 252).

Cependant, le banking as a service, ne constitue pas en tant que tel une externalisation du service puisque l’établissement bancaire continue d’assurer la fourniture du service hébergé en SaaS auprès de ses clients. En effet, le BaaS n’est qu’un moyen technique de gestion des services de paiement.

Toutefois, on peut se poser la question si cette externalisation n’est pas susceptible de mettre en péril l’exigence de sécurité à laquelle les prestataires de services de paiement sont tenus. En effet, alors que l’externalisation auprès de prestataires de services de paiement ne soulèverait pas de problèmes, elle mériterait d’être davantage encadrée lorsqu’elle est effectuée auprès de prestataires techniques qui n’ont pas de statut juridique spécifique, et ne sont donc pas soumis à des obligations de sécurité renforcée.

Cela conduit dès lors à s’interroger sur la protection du secret bancaire. En effet, comment garantir la protection des données dans le cloud, lorsque ces données sont hébergées dans les « nuages » avec des millions d’autres données ? Cela est d’autant plus problématique que ces données ne sont pas sous le contrôle direct de la banque elle-même mais d’un prestataire technique qui définit lui mêmes ses propres mesures de sécurité, ce qui implique une attention toute particulière dans la rédaction et la négociation des contrats conclus avec le prestataire technique.

Quels sont les points d’attention d’un contrat BaaS ?

Tout comme pour l’utilisation du SaaS, le recours au BaaS implique la vigilance sur un ensemble de stipulations contractuelles.
Avant toute chose, il est impératif de déterminer les services et les données que l’on souhaite externaliser, et ce afin de pouvoir ensuite apprécier les différentes exigences de sécurité à mettre en œuvre.

Enfin, tout comme pour le contrat SaaS, la vigilance doit être apportée à la réversibilité, et aux niveaux de services et à leur auditabilité afin d’avoir une vision sur les engagements du prestataire.

Quel avenir pour les banques ?

Le BaaS répond à un besoin de souplesse des systèmes d’information des banques qui se complexifient avec le temps. La difficulté majeure à venir pour les banques ne vient pas tant de cette innovation, qui a vocation à les aider à se renouveler, mais à l’ouverture de leur système d’informations aux agrégateurs, qui disposent désormais d’un statut légitime (3).

L’ère de « l’open banking » (4) n’en est qu’à ses premiers balbutiements…

Frédéric Forster
Charlotte Le Fiblec
Lexing Constructeur Informatique et Telecom

(1) Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de de l’Autorité de contrôle prudentiel et de résolution (ACPR).
(2) Code monétaire et financier, article L.311-1.
(5) Directive n°2015-2366 du 25-11-2015 concernant les services de paiement dans le marché intérieur.
(6) Ninon Renaud, « La banque en kit fait florès en Europe », Les Échos du 10-4-2017.




Sepa : plus que trois mois avant le grand départ

SepaL’un des chantiers informatiques majeurs de cette fin d’année devrait être, dans bon nombre d’entreprises, celui de la mise en conformité des chaînes de facturation et d’encaissement clients avec les nouvelles règles du Sepa (Single European Payment Area). L’ambition de la mise en place de cet espace européen unique des systèmes de paiements est de faciliter les transactions de paiements, qu’elles soient initiées dans le cadre de relations BtoB ou BtoC ou encore CtoC.

Ainsi, après les systèmes de paiement par cartes, pour lesquels cette unification a été mise en œuvre depuis quelques années déjà, arrive le tour des prélèvements et des virements bancaires.

C’est pourquoi, à partir du 1er février prochain, les modalités de mise en œuvre de ces types de paiement vont évoluer entraînant des modifications importantes tant pour ce qui concerne les virements ou les autorisations de prélèvement d’ores et déjà en place, que pour les futurs règlements initiés à compter du 1er février 2014.

Cette date marquera une rupture que les entreprises doivent impérativement préparer.

Les systèmes informatiques de paiement, de gestion commerciale des clients, d’encaissement et de facturation devront alors avoir été mis en conformité avec les nouvelles modalités de réalisation des prélèvements et des virements qui s’appuieront, notamment, sur la mise en place d’identifiants unifiés sur l’ensemble du territoire des pays concernés par le Sepa, c’est-à-dire ceux de l’Union européenne, de la Suisse, de la Norvège et de l’Islande.

La modification la plus visible, engendrée par la mise en place du Sepa, concerne le format des données bancaires : fini le RIB et place au RUM, avec une place centrale accordée au couple Bic-Iban qui ne servait jusqu’alors qu’aux opérations transnationales et qui sera, désormais, aussi utilisé pour les opérations purement nationales.

Place aussi, mais à une échéance un peu plus lointaine, à l’autorisation de prélèvement donnée par voie de mandat électronique, signé grâce à des outils de signature électronique. Ainsi, tout le processus d’autorisation pourra être dématérialisé.

Selon un récent sondage du Comité national Sepa, 45 % seulement des entreprises seraient prêtes à basculer vers le Sepa. Or, passé le 1er février, le risque majeur sera que les entreprises non mobilisées pour passer au Sepa seront coupées du monde des paiements et des règlements. Elles ne pourront régler leurs factures ou recevoir les règlements de leurs clients.

Or, l’expérience montre que trois mois, soit la durée restant avant l’arrivée de la date fatidique, ne seront pas de trop pour spécifier, réaliser, déployer et tester les nouveaux systèmes informatiques.

Il y a donc urgence à ce que les 55 % d’entreprises restantes se mobilisent rapidement pour réussir leur migration vers le Sepa.

Frédéric Forster
Lexing Droit Télécoms




Paiement mobile : la Cnil s’intéresse aux cartesdepaiementsanscontact

paiement sans contactLa question de la sécurité des cartes bancaires permettant des paiements sans contact grâce à l’utilisation des technologies développées autour du NFC (Near Field Communication), était posée depuis quelques années. La Cnil s’y est attelée, avec l’aide des professionnels du secteur bancaire, afin d’identifier les éventuels problèmes pour la protection des données personnelles et de la vie privée que le développement extrêmement rapide de ces nouveau moyens de paiement pouvait engendrer.

Sans surprise, malheureusement devrait-on dire, il a été constaté qu’il était possible d’intercepter les échanges de données personnelles entre la carte et le lecteur à proximité duquel elle est passée. Ainsi, les noms des porteurs des cartes ont-ils été lus, tout comme la liste des dernières transactions réalisées, le numéro de la carte et sa date d’expiration.

Depuis fin septembre 2012, les nouvelles cartes mises en circulation, dotées de la technologie sans contact, ne transmettent plus le nom de leur porteur. Celles qui devraient être déployées d’ici à la fin de cette année devraient ne plus transmettre la liste des dernières transactions. Restent le nom du porteur et le numéro de la carte qui, sans cryptage de l’échange des données, continueront à être transmises entre la carte ou le terminal mobile et le lecteur de carte.

Par ailleurs, la Cnil observe que les établissements de crédit ou de paiement qui permettent à leurs clients de ne pas activer la fonction de paiement à distance sans contact sont extrêmement rares, de sorte que les porteurs de cartes ne savent pas toujours que leur moyen de paiement est doté de cette fonctionnalité qui, parce qu’elle est préactivée au moment de la remise de la carte, ne peut donc pas être omise ou désactivée.

Aussi, la Cnil rappelle-t-elle que serait un comportement vertueux le fait pour ces établissements de n’activer la fonction de paiement sans contact qu’avec l’accord du porteur de la carte, ce dernier devant pouvoir être en mesure d’en demander la désactivation à tout moment.

Frédéric Forster
Lexing Droit Télécoms

Cnil, Rubrique Actualité, Article du 1-7-2013.




Lutte anti blanchiment : adoption d’une quatrième directive européenne

lutte anti blanchimentFrédéric Forster – En matière de lutte anti blanchiment, l’Union européenne a adopté une quatrième directive et un nouveau règlement sur la transparence. La crise financière que subissent les pays de la zone Euro et les pratiques parfois douteuses qu’elle révèle ont incité les autorités européennes à pousser les feux sur la remise en conformité du droit bancaire européen avec les dernières recommandations internationales du Gafi (Groupe d’action financière internationale) en matière de lutte anti blanchiment, d’une part, mais également à renforcer la transparence de certaines opérations financières.

S’agissant de la lutte anti blanchiment, il est apparu que le dispositif mis en place par la troisième directive du 26 octobre 2005 n’était pas suffisant dans la mesure où il ne permettait pas nécessairement de détecter toutes les opérations conduisant à des pratiques de blanchiment de capitaux ou favorisant le financement du terrorisme.

Aussi, la Commission a-t-elle souhaité modifier le paradigme de la réglementation sur la lutte anti blanchiment afin de l’orienter davantage sur une meilleure appréhension et compréhension des risques que la réalisation de certaines opérations pourrait engendrer sur la stabilité du système bancaire et financier européen.

Ainsi, les acteurs contribuant à cette lutte, qui est élargie aux auditeurs et aux prestataires de jeux d’argent et de hasard, devront-ils prendre toutes les mesures qui s’imposeront pour diminuer ces risques, les mesures à appliquer devant être proportionnées et adaptées aux risques considérés.

L’identification des bénéficiaires de mouvements de fonds potentiellement suspects est renforcée, notamment s’agissant d’opérations conclues entre un bénéficiaire et une société, le premier détenant plus de 25% du capital ou des droits de vote de la seconde.

La coopération entre les organismes nationaux auprès desquels sont effectuées les déclarations de soupçons est également renforcée. Enfin, les obligations de vigilance sont élargies aux prestations réalisées pour le compte de personnes politiquement exposées ou pour le compte d’organisations internationales.

S’agissant du renforcement de la transparence, celle-ci passera par l’adoption d’un règlement européen, centré sur les opérations de virements de fonds pour lesquelles seraient obligatoirement identifiés, non seulement l’émetteur du virement (comme actuellement), mais également le bénéficiaire de celui-ci.

Les prestataires de services de paiement devront donc relever un certain nombre d’informations touchant à l’identité de l’émetteur et du bénéficiaire, ainsi que d’autres informations relatives à l’adresse, à la date et au lieu de naissance ou zu numéro RCS pour l’émetteur de l’ordre.

Ces prestataires seraient évidemment toujours tenus du respect des obligations qui sont déjà les leurs en matière de déclaration de soupçons auprès des autorités nationales et de conservation des documents reflétant les opérations déclarées pendant une durée de cinq ans.

Enfin le seuil financier des virements échappant à ces nouvelles règles serait fixé à la somme de 1 000 euros.

Lexing Droit Télécoms

Proposition de directive COM(2013) 45 final du 5-2-2013
Proposition de règlement COM(2013) 44 final du 5-2-2013
Communiqué du 5-2-2013
Gafi, Recommandations du 2-2012




Contrôle bancaire : adoption de la version révisée de la norme Bâle 3

Bâle 3Suite à la crise financière de 2007, le comité de Bâle a présenté des propositions de réglementation bancaire, regroupées sous le nom d’accords de Bâle 3 (normes prudentielles pour les banques convenues au niveau international), qui ont été publiées fin 2010 et dont l’objectif est d’améliorer la qualité des fonds propres des établissements bancaires pour renforcer leur capacité à absorber des pertes.

Parmi ces propositions, il a été prévu de mettre en place une norme minimale relative au ratio de liquidité à court terme (LCR) pour les banques internationales.

Le LCR a pour objectif de garantir que les banques disposent d’un niveau adéquat d’actifs liquides de haute qualité (HQLA), non grevés et pouvant être convertis en liquidités pour couvrir leurs besoins sur une période de 30 jours en cas de graves difficultés de financement, c’est-à-dire en cas de choc de liquidité soudain.

Ce choc combine à la fois un choc individuel sur l’établissement, soit une perte de confiance de la part des clients, ainsi qu’une situation de marché difficile, comme un refinancement interbancaire perturbé.

Le LCR est calculé à partir d’une formule qui correspond à l’ensemble des actifs liquides de haute qualité d’un établissement divisés par le total net des sorties de fonds, c’est-à-dire les flux sortants moins les flux entrants, ces derniers étant plafonnés à 75% des flux sortants ; l’ensemble des chiffres devant être ceux correspondant à un mois.

Le ratio calculé est donc propre à chaque établissement en fonction des montants qui ont été déclarés.

Depuis les accords de Bâle 3, le Comité de Bâle a observé les effets potentiels de cette norme sur les marchés financiers et a proposé une révision de cette dernière.

C’est pourquoi, le 6 janvier 2012, le Groupe des gouverneurs de banque centrale et des responsables du contrôle bancaire (GHOS), instance de gouvernance du Comité de Bâle, a publié un communiqué de presse annonçant que les modifications portant sur le ratio de liquidité à court terme apportées par le Comité de Bâle avaient été adoptées à l’unanimité.

L’approche du Comité de Bâle est une approche graduelle qui vise à ne pas perturber le processus de renforcement des systèmes bancaires ni le financement continu de l’activité économique.

La révision de cette norme Bâle 3 a alors consisté, d’une part, à étendre la définition du ratio de couverture de liquidité puisque la base des actifs éligibles comme HQLA inclut désormais des obligations d’entreprises suivant leur notation, certaines actions et des emprunts hypothécaire titrisés notés AA et au-dessus, et d’autre part, à ajuster les taux applicables aux entrées et sorties attendues, afin de mieux prendre en considération les situations observées en périodes de tensions.

De plus, le Comité de Bâle a modifié le calendrier de mise en œuvre de cette norme.

Ainsi, le LCR entrera en vigueur le 1er janvier 2015 mais l’exigence minimale sera fixée à 60% pour évoluer annuellement par tranches de 10 points de pourcentage et atteindre 100% au 1er janvier 2019.

Le GHOS est d’avis à ce qu’en périodes de tensions, les banques puissent utiliser leurs actifs liquides de haute qualité et ainsi passer en dessous du seuil minimum requis.

Les futurs travaux du Comité de Bâle porteront désormais sur la seconde norme minimale constituant en partie les accords de Bâle 3, c’est-à-dire la norme relative au ratio de liquidité à long terme (NSFR) qui devrait entrer en vigueur en 2018.

Comité de Bâle, Communiqué du 6-1-2013

Lexing Alain Bensoussan Avocats
Lexing Droit Banque électronique




Bitcoin : centre d’attention de la Banque centrale européenne

Bitcoin : centre d’attention de la Banque centrale européenneBitcoin – Le système bancaire international classique est fondé sur une communication d’informations bancaires entre deux établissements de crédit qui s’échangent des fonds en fonction des demandes des clients et qui mettent à la disposition de ces derniers des moyens de paiement.

Ce système repose avant tout sur les établissements de crédit qui en constituent la clé de voûte et qui valident et effectuent les transactions pour lesquelles ils sont rémunérés par leurs clients.

Face à ce système très centralisé, un nouveau concept, dénommé Bitcoin, a été développé en 2009 par une personne connue sous le pseudonyme de Satoshi Nakamoto.

Le concept Bitcoin recouvre à la fois :

  • le nom d’une nouvelle monnaie virtuelle décentralisée, totalement indépendante d’une volonté étatique, convertible en devises telles que le dollar et l’euro. Cette monnaie virtuelle a pour caractéristique d’avoir été programmée pour que la masse monétaire soit limitée à 21 millions de Bitcoins d’ici 2030. Le nombre de Bitcoins actuellement en circulation est de 7 millions ;
  • un système de paiement reposant sur un protocole d’échange monétaire sécurisé et anonyme.

Le système de paiement Bitcoin fonctionne sans banque centrale ni établissement de crédit et permet, via un réseau informatique, de répartir la gestion de la monnaie virtuelle.

Pour fonctionner, ce système repose sur l’ensemble de ses utilisateurs et utilise les ressources et la force de calcul d’ordinateurs s’échangeant des fichiers, à la manière des sites de peer to peer. Le système Bitcoin permet de valider les transactions signées électroniquement grâce à une vérification de clé publique et de clé privée.

Le bon fonctionnement du système repose sur la robustesse des procédés cryptographiques employés et nécessite l’utilisation d’un protocole informatique, mis en place sur chacune des machines connectées au réseau et participant au système Bitcoin, grâce à un logiciel libre écrit en langage C++.

Les utilisateurs s’échangent une adresse Bitcoin, qui équivaut à un numéro de compte bancaire, encodée de manière spécifique et fabriquée à partir d’une clé publique. Cette adresse Bitcoin est la seule information nécessaire pour recevoir des Bitcoins. Elle peut varier d’une transaction à une autre, ce qui a pour effet de garantir l’anonymat.

Techniquement, la création et l’échange de Bitcoins se réalisent à chaque fois qu’un ordinateur cherche à se connecter aux ordinateurs des participants du réseau et à utiliser la force de calcul de ces autres ordinateurs afin de résoudre l’algorithme qui permet de boucler un bloc de transactions.

Une fois qu’une nouvelle transaction est reçue sur le réseau, les ordinateurs ont besoin d’environ dix minutes pour la valider. Ce laps de temps permet ainsi d’éviter le double paiement. Cette étape permet de jouer le rôle, en principe dédié aux établissements de crédit, c’est-à-dire valider la transaction souhaitée par le client en évitant tout doublon et en exerçant les contrôles requis sur la faisabilité de cette transaction.

Le système a été conçu de telle sorte que pour récompenser la personne dont l’ordinateur a résolu l’algorithme, ce dernier se voit créditer d’un certain nombre de Bitcoins.

La nouveauté du concept Bitcoin et le fait que ce dernier remette en question le système monétaire et financier actuel ont conduit la Banque centrale européenne à s’intéresser à ce système dans un rapport d’octobre 2012 « virtual currency schemes ». Dans ce rapport, cette dernière expose en particulier le fonctionnement du système Bitcoin et souligne le risque de blanchiment d’argent et d’utilisation de cette monnaie virtuelle pour acheter des biens illégaux, telle que de la drogue, grâce à l’anonymat qu’offre ce procédé.

De plus, la Banque centrale européenne souligne le risque d’instabilité que ce système peut entrainer, notamment en ce qui concerne les systèmes de paiement, en raison de l’absence de contrôle.

Enfin, d’un point de vue purement juridique, le rapport soulève le vide juridique qui entoure la monnaie virtuelle et le fait que cette dernière ne puisse être qualifiée de monnaie électronique. En effet, pour qu’il y ait monnaie électronique, il faut que trois critères soient réunis :

  • le stockage de la monnaie sous forme électronique ;
  • l’émission de monnaie électronique contre la remise de fonds, la valeur de cette monnaie ne pouvant pas être supérieure à celle des fonds reçus ;
  • l’acceptation comme moyen de paiement par des tiers autres que l’émetteur.

Or, si le premier et le troisième critère sont bien réunis, le second critère ne l’est pas. Cela a pour conséquence de ne pas permettre de qualifier, par exemple les Bitcoins, de monnaie électronique.

Si cette monnaie virtuelle n’est pas encore connue de tous, elle intéresse de plus en plus d’acteurs.

Ainsi, le 6 décembre 2012 une plateforme d’échange « Bitcoin Central » a été lancée et a pour objectif, à terme, de proposer des cartes bancaire pour payer en Bitcoins.

Reste à voir, si une réglementation particulière viendra à s’appliquer pour ce type de monnaie.

Lexing Alain Bensoussan Avocats
Lexing Droit Banque électronique




Système bancaire parallèle : réglementation européenne à venir

Système bancaire parallèle : réglementation européenne à venirSystème bancaire parallèle : une réglementation européenne à venir. Suite à la crise financière de 2008, qui a en grande partie été causée par le système bancaire parallèle en raison de son interdépendance avec le système bancaire traditionnel, une réflexion au niveau international a été engagée et l’encadrement réglementaire de ce que l’on appelle le « shadow banking » est désormais à l’ordre du jour.

Ainsi, depuis le G20 qui s’est tenu à Séoul en 2010 et qui avait pour thème : « le rôle du G20 dans un monde d’après crise », le système bancaire parallèle fait l’objet d’une attention de plus en plus forte comme en témoignent les différents rapports qui ont pu être publiés à ce sujet.

En effet, le Conseil de stabilité financière (CSF) a rendu le 27 octobre 2011 un rapport sur le système bancaire parallèle. Dans ce rapport, ce système est défini comme étant « le système d’intermédiation de crédit auquel concourent des entités et activités qui ne font pas partie du système bancaire classique ». Cette définition a été reprise dans le livre vert intitulé « le système bancaire parallèle » publié le 19 mars 2012 par la Commission Européenne.

Ce livre vert avait pour objectif de faire le bilan de la situation actuelle et de présenter les réflexions en cours sur le sujet, grâce au lancement d’une consultation publique, dont les résultats ont été publiés en décembre 2012, afin d’être capable de formuler de prochaines propositions. Ainsi, le rapport met en exergue les entités et les activités qui peuvent faire partie du système bancaire parallèle et mentionne :

  • « les entités ad hoc qui réalisent des opérations de transformation de liquidité ou d’échéance, par exemple les véhicules de titrisation comme les conduits ABCP, les véhicules d’investissement spéciaux et d’autres véhicules ad hoc ;
  • les fonds monétaires et autres types de fonds ou produits d’investissement qui présentent des caractéristiques de dépôt, ce qui les rend vulnérables aux désengagements massifs ;
  • les fonds d’investissement, y compris les ETF (Exchange Traded Funds), qui procurent des crédits ou utilisent le levier
  • les sociétés de financement et entités spécialisées dans les titres qui fournissent des crédits ou des garanties de crédit, ou réalisent des opérations de transformation de liquidité ou d’échéance, sans être réglementées comme les banques ;
  • les entreprises d’assurance et de réassurance qui émettent ou garantissent des produits de crédit. »

Actuellement, ce système bancaire parallèle serait estimé à 46 000 milliards d’euros en 2010, soit 25 % à 30 % de l’ensemble du système financier, contre 21 000 milliards d’euros en 2002.

L’objectif n’est pas d’éliminer ce système qui permet de fournir des sources de financement mais bien de réduire les risques potentiels que sa présence induit, de faire le bilan des modifications récentes de la réglementation afin d’encadrer ce système bancaire parallèle et de ne pas répéter les erreurs commises par le passé, comme le développement des véhicules spéciaux de titrisation.

Le livre vert souligne donc le rôle important que joue le système bancaire parallèle dans le système financier et rappelle que ce dernier « peut constituer un élément utile du système financier » s’il peut :

  • « offrir une alternative aux dépôts bancaires pour les investisseurs ;
  • affecter avec plus d’efficacité les ressources à des besoins spécifiques du fait d’une plus grande spécialisation ;
  • offrir à l’économie réelle un mode de financement alternatif pouvant s’avérer particulièrement utile en période de mauvais fonctionnement du système bancaire traditionnel et des marchés ;
  • constituer une possibilité de diversification des risques par rapport au système bancaire ».

Néanmoins, le livre vert pointe les quatre risques suivants qui peuvent être engendrés par le système parallèle :

  • les structures de financement peuvent être victimes d’un désengagement massif et brutal des fonds des clients car certaines activités du système bancaire parallèle reposent sur des financements à court terme ;
  • une accumulation de levier important et invisible du fait d’une réutilisation à plusieurs reprises des sûretés, sans limites imposées par la réglementation et la surveillance ;
  • un contournement des règles et de l’arbitrage réglementaire du fait de la volonté des banques et des autres intermédiaires financiers d’imiter les entités du secteur parallèle ou de faire mener, par des entités extérieures, des activités qui échappent alors à la réglementation ;
  • des défaillances non ordonnées affectant le système bancaire traditionnel en raison du lien étroit entre ce dernier et le système bancaire parallèle. La prise de risque du système bancaire parallèle peut se transmettre au système bancaire traditionnel à travers les emprunts directement souscrits par les entités du système bancaire parallèle ou encore par les ventes massives d’actifs et leur répercussion sur les prix des actifs réels et financiers.

Afin d’éviter ces risques, la Commission européenne indique qu’il serait souhaitable que l’Union européenne mette en place des procédures pour la collecte et l’échange d’informations entre autorités nationales et supranationales pour déceler des difficultés et établir une carte des interconnexions entre le système bancaire parallèle et le reste du secteur financier. De plus, la réglementation est appelée à évoluer. A ce titre, la Commission souligne qu’un équilibre devra être trouvé entre :

  • une réglementation indirecte, c’est-à-dire une réglementation des liens entre les entités du système bancaire traditionnel et celles du système bancaire parallèle ;
  • une extension ou une révision de la réglementation existante ;
  • de nouvelles mesures réglementaires applicables directement au système bancaire parallèle.

A ce titre, la Commission européenne rappelle les évolutions récentes en matière de réglementation et indique que ces évolutions conduisent, pour certaines, à réguler directement le système bancaire parallèle, l’objectif étant de pas inciter certaines activités à migrer vers le secteur non réglementé.

Suite à la publication de ce livre vert, la commission des affaires économiques et monétaires du Parlement Européen a adopté le 25 octobre 2012, en session plénière, un rapport d’initiative sur le système bancaire parallèle afin de faire une proposition de résolution.

Enfin, le 15 novembre 2012, le Comité économique et social européen (CESE), organe consultatif de l’Union européenne, a approuvé le livre vert de la Commission européenne comme « un pas dans la bonne direction » (1). Néanmoins, ce dernier est d’avis que des activités parallèles ne devraient pas exister et qu’ainsi « le système bancaire parallèle devrait être soumis aux mêmes exigences réglementaires et prudentielles que l’ensemble du système financier ».

A ce titre, le CESE encourage la dénonciation et la protection des dénonciateurs afin d’assainir le système financier pour protéger les consommateurs européens. Suite à ces rapports, une proposition législative présentée par la Commission européenne est attendue pour début 2013.

Frédéric Forster

(1) Comité économique et social européen, Rapport (2012/2115 (INI) du 25-10-2012)




Monnaie électronique : la France traine les pieds à transposerladirective 2009/110/CE

Monnaie électronique : la France traine les pieds à transposer la directiveLe cadre législatif français relatif à la monnaie électronique est issu de la directive 2000/46/CE du 18 septembre 2000. Or, ce cadre n’a pas été modifié malgré la publication de la directive 2007/64/CE relative aux établissements de paiement et aux services de paiement publiée le 13 novembre 2007. Ainsi, seule la directive 2000/46/CE règlementait cette question. Cependant, une directive 2009/110/CE du Parlement européen et du Conseil a été publiée le 16 septembre 2009. Cette directive abroge la directive 2000/46/CE pour poser de nouvelles règles juridiques en matière d’accès à l’activité d’émission de monnaie électronique, établir les règles pour l’exercice de cette activité et harmoniser le régime prudentiel avec celui des établissements de paiement.

La Commission présente la monnaie électronique comme suit : « la monnaie électronique est un équivalent numérique de l’argent liquide, stocké sur un support électronique ou à distance sur un serveur. L’une de ses applications les plus courantes est le porte-monnaie électronique, qui permet de stocker de petites sommes d’argent sur une carte de paiement ou une autre carte à puce pour effectuer des paiements de faible montant. Mais les téléphones mobiles ou les comptes de paiement internet peuvent également servir de moyen de stockage et de paiement pour la monnaie électronique ».

Les Etats membres avaient jusqu’au 30 avril 2011 pour transposer cette directive en droit interne. Or, tel n’a pas été le cas de la France, de la Belgique, de l’Espagne, de Chypre, de la Pologne et du Portugal. Or, le principe est que les directives, contrairement aux règlements, ne contiennent pas de modalités d’application de leurs dispositions et imposent une obligation de résultat aux États membres. Ces derniers sont ensuite libres de choisir la forme et les moyens pour appliquer la directive.

Ce principe connait néanmoins une exception lorsque le délai de transposition est dépassé, ce qui est le cas en l’espèce. Dans ce cas précis, la directive devient d’effet direct vertical et peut être alors invoquée, par un particulier, à l’encontre de l’Etat membre défaillant.

Pour que l’effet direct vertical soit reconnu, la Cour de justice a posé deux conditions :

  • les dispositions de la directive doivent être inconditionnelles et suffisamment précises ;
  • la directive ne doit pas avoir été correctement transposée par une mesure nationale dans les délais prévus.

La situation juridique relative à la directive 2009/110 n’étant que peu compréhensible pour les entreprises et les autres Etats membres, la Commission européenne, dans son communiqué du 26 avril 2012, insiste sur les trois points suivants et rappelle :

  • l’importance du développement de la concurrence dans ce domaine lié à la mise en œuvre de la directive 2007/64/CE sur les services de paiement ;
  • l’importance d’offrir rapidement aux entreprises les bénéfices de ces nouveaux outils ;
  • la nécessité d’adapter rapidement les dispositifs nationaux de surveillance prudentielle de la monnaie électronique.

C’est pourquoi après un retard de plus d’un an de la part de certains Etats membres pour transposer cette directive, la Commission est intervenue et a émis un avis motivé. En application de l’article 258 du traité sur le fonctionnement de l’Union européenne, la Commission peut émettre un avis motivé si elle estime qu’un Etat membre a manqué à l’une de ses obligations lui incombant en vertu des traités. Elle fixe alors un délai pour que ce dernier lui présente ses observations. En l’espèce, la Commission a laissé deux mois à chaque Etat concerné.

10. Cette procédure initiée par la Commission est une première étape vers le contentieux. En effet, la Commission précise les raisons et les faits qui l’amènent à conclure qu’il existe un manquement de la part de l’Etat membre. Si la Commission décide de poursuivre la procédure et de saisir la Cour de justice de Luxembourg, comme elle en a le pouvoir discrétionnaire, elle se fondera sur les raisons préalablement dégagées et demandera à la Cour de prendre des sanctions financières.

Bruxelles, communiqué CE du 26 04 2012




Sommet de l’information financière 2012

Sommet de l'information financièreFrédéric Forster a participé à la troisième édition annuelle du Sommet de l’information financière, qui a eut lieu le mardi 12 juin 2012 à l’Hôtel Concorde La Fayette, Paris.

Il a abordé les questions de propriété intellectuelle, notamment quelles sont les données qui peuvent être considérées comme des données à forte valeur ajoutée ? que prévoit la législation française en terme de protection ? de commercialisation ? etc.

Télécharger le programme