Vous êtes ici

Exemption API

Afin de guider au mieux les requérants dans leur démarche, le Collège de l’ACPR a adopté le 18/02/2019 une nouvelle instruction introduisant le formulaire destiné aux prestataires de services de paiement gestionnaires de comptes (PSPGC) souhaitant bénéficier d’une exemption à l’obligation de disposer d’un mécanisme de secours pour leurs interfaces dédiées d’accès aux comptes de paiement (API). Ce formulaire devra être adressée à l’ACPR avant le 14 juillet 2019 afin que les demandeurs puissent s’assurer de l’obtention de l’autorisation avant le 14 septembre 2019.

Une présentation de ce formulaire a été effectuée le 18/03/2019 à l’ACPR : voir présentation.

En cas de question, les personnes sont invitées à adresser leurs demandes à 2788-EXEMPTION-API-UT@acpr.banque-france.fr

 

Calendrier de mise en œuvre

En termes de calendrier, les enjeux sont conséquents pour les acteurs qui souhaitent déployer leur API sans mettre à disposition une solution de secours. En effet, le règlement délégué (UE) n° 2018/389 fixe les délais suivants :

  • Article 30.3 : la mise à disposition par les PSPGC de la documentation relative à leurs interfaces d’accès au minimum 6 mois avant la date d’application des normes (fixé au 14 septembre 2019)1;
  • Article 30.5 : le lancement d’un dispositif d’essai de leurs interfaces d’accès par les PSPGC au minimum 6 mois avant la date d’application des normes (fixé au 14 septembre 2019), ou la date de lancement de l’interface d’accès si celle-ci intervient après le 14 septembre 2019;
  • Article 33.6.c) : une utilisation large de ces interfaces d’accès par des prestataires de services de paiement durant au moins 3 mois précédent le déploiement effectif de ces dernières (ce délai pouvant se superposer aux délais mentionnés aux articles 30.3 et 30.5).

A ce calendrier, s’ajoute le délai d’examen des dossiers de demande d’exemption par l’ACPR, en collaboration avec la Banque de France, dont la durée maximale a été fixée à 2 mois à compter de la réception d’un dossier complet. Au-delà de ce délai, le principe de « silence vaut acceptation » prévaudra pour attribuer une exemption.

La conjonction de ces différents délais donne donc le rétro-planning suivant :

  • 14 septembre 2019 : date limite d’obtention d’une exemption de mécanisme d’urgence pour les PSPGC ayant décidé la mise en place d’une API. Au-delà de cette date, tout PSPGC qui n’aurait pas obtenu d’autorisation sera dans l’obligation de prévoir un mécanisme d’urgence. À défaut, le PSPGC sera non conforme à la réglementation.
  • 14 juillet 2019 : date limite de dépôt d’un dossier complet par les PSPGC de la demande d’exemption auprès de l’ACPR. Cette date permet aux demandeurs de s’assurer de l’obtention de l’autorisation avant le 14 septembre 2019.
  • 14 avril 2019 : date limite de la mise à disposition d’une API répondant aux conditions d’utilisation étendue telles que définies par les standards sécuritaires et les orientations de l’ABE. En effet, pour que le dossier d’exemption puisse être qualifié de complet lors de son dépôt à l’ACPR le 14 juillet 2019, le PSPGC devra être en mesure de prouver à cette date que son interface a fait l’objet d’une utilisation étendue conformément aux orientations de l’ABE durant les 3 mois précédents.
  • 14 mars 2019 : date limite prévue par les articles 30.3 et 30.5 des RTS pour la mise à disposition par les PSPGC 1) de la documentation et 2) d’un dispositif d’essai de leurs interfaces d’accès pour obtenir une exemption au plus  tard au 14 septembre 2019. Un PSPGC qui mettrait à disposition ces deux éléments à cette date devra néanmoins pouvoir justifier auprès de l’ACPR que le délai d’un mois avant la mise à disposition aux conditions d’utilisation étendue a été suffisant pour permettre aux PSP tiers d’utiliser l’API aux conditions d’utilisation étendues à compter du 14 avril 2019.
  • 14 janvier 2019 : date recommandée par l’ACPR pour la mise à disposition par les ASPSP 1) de la documentation et 2) d’un dispositif d’essai de leurs interfaces d’accès afin de permettre aux tiers de disposer d’un temps suffisant pour se préparer aux conditions d’utilisation étendue à compter du 14 avril 2019.

Il est à signaler que le décret n° 2018-1228 du 24 décembre 2018 a rendu en France le règlement délégué règlement délégué (UE) n° 2018/389 applicable de façon anticipée à sa date d'application fixée au 14 septembre 2019, afin que l'ensemble des parties prenantes mette en place dans les meilleurs délais des solutions techniques permettant de sécuriser leurs communications donnant accès aux données des comptes de paiement.

Mis à jour le : 21/03/2019 10:26