[1] Pour le secteur de l’assurance, se référer à « Points d’attention de l’ACPR dans l’instruction des dossiers d’agrément des organismes d’assurance ».

Sommaire

A. Gouvernance et organisation interne

B. Dispositif de contrôle interne

C. Dispositif de lutte contre le blanchiment de capitaux et le financement du terrorisme

D. Gestion du risque de crédit et de liquidité

E. Programme d’activités

F. Protection des fonds de la clientèle

G. Exigences prudentielles

H. Avis de la Banque de France sur la sécurité des paiements

Annexe : Tableau synoptique pour les sociétés de financement (« SF »), les établissements de monnaie électronique (« EME »), les établissements de paiement (« EP »), les prestataires de services d’information sur les comptes (« PSIC »)

Dans le cadre d’une demande d’agrément, un porteur de projet aura l’ACPR pour interlocuteur principal tout au long de l’instruction de son dossier d’agrément. Toutefois, selon la nature de l’agrément souhaité, plusieurs institutions différentes pourront prendre part au dossier.

A. Gouvernance et organisation interne

Le système de gouvernance* projeté doit être présenté dans le dossier. Cette présentation doit permettre d’en évaluer l’efficacité et démontrer la gestion saine et prudente de l’activité envisagée. La structure organisationnelle doit être transparente et les responsabilités doivent faire l’objet d’une répartition claire et cohérente ainsi que d’une séparation appropriée des pouvoirs et des rôles de sorte à garantir l’indépendance des fonctions de surveillance et de contrôle.

_{*Ensemble des éléments relatifs aux organes de direction (les dirigeants effectifs, le conseil d’administration ou les autres formes d’organe de surveillance, les différents comités), les dispositifs tels que les politiques, les procédures, les capacités opérationnelles propres au contrôle interne et à la gestion des risques. Mise en place des nouvelles règles de gouvernance dans le secteur de la banque : bilan et perspectives}

1. L’actionnariat de la société

La répartition du capital et des droits de vote doit être décrite et la qualité et l’honorabilité des personnes détenant une participation qualifiée de façon directe ou indirecte* doivent être établies. Par ailleurs, ces actionnaires s’engagent à aider la société à respecter les exigences prudentielles qui s’appliquent à elle via la signature d’une lettre d’engagement annexée au formulaire des actionnaires qualifiés annexée au formulaire des actionnaires qualifiés.

_{*Personnes détenant directement ou indirectement au moins de 10% du capital ou des droits de vote ou qui permet d’exercer une influence notable sur la gestion de cette entreprise au sens du 36) du paragraphe 1 de l'article 4 du règlement (UE) n° 575/2013 du 26 juin 2013.}

2. Les dirigeants effectifs et l’organe de surveillance (fit and proper)

La directive 2013/36/EU (ci-après CRD), en particulier son article 91, établit des normes relatives à l’honorabilité, aux connaissances, aux compétences et à l’expérience dans les organes de direction.

Aux termes de l’article L. 511-51 du Code monétaire et financier pour les établissements de crédits et les sociétés de financement, et de l’article L. 533-25 du Code monétaire et financier pour les entreprises d’investissement, les dirigeants effectifs (c’est-à-dire les personnes chargées de diriger et/ou d’administrer la société) ont une responsabilité ultime et globale à l’égard de l’assujetti.

On retrouve ces mêmes dispositions pour les établissements de paiement et les établissements de monnaie électronique, respectivement aux articles L. 522-6 et L. 526-9 du Code monétaire et financier.

Les dirigeants effectifs doivent donc être aptes à occuper leur poste et posséder notamment l’honorabilité, la compétence et l’expérience nécessaires à leurs fonctions. Ils adoptent des décisions sur une base solide et éclairée et disposent donc des informations les plus étendues sur les activités de la société.

La direction effective de l’activité doit être assurée en France et par deux personnes au moins (article L. 511-13 pour les établissements de crédit et sociétés de financement, article L. 532-2 pour les entreprises d’investissement, article L. 522-6 pour les établissements de paiement et article L. 526-9 pour les établissements de monnaie électronique - Code monétaire et financier). Elle rend compte sous tous les aspects à l’organe de surveillance*.

_{*Voir les articles 241 et suivants de l’Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’ACPR, contenus dans le Titre VI consacré au rôle des dirigeants effectifs et organes de surveillance de l’entreprise assujettie et de l’ACPR.}

Les membres de l’organe de surveillance doivent présenter une compétence collective et une honorabilité individuelle pour assurer leur rôle. Ils assurent notamment, au sein de cet organe, le suivi de la stratégie de l’assujetti et disposent d’un degré d’indépendance suffisant leur permettant de garantir et d’évaluer l’efficacité du cadre de gouvernance interne. Dans ce contexte, ils disposent également de pouvoirs suffisants pour prendre des mesures appropriées afin de remédier aux éventuelles faiblesses détectées.

Le dossier doit également permettre de vérifier que les modalités de constitution et de fonctionnement des organes de surveillance et des organes dirigeants sont conformes aux dispositions applicables à la forme juridique de la société.

3. Les responsables de fonctions « clés »

Même en cas d’externalisation, la responsabilité demeure toujours au sein de la société candidate à l’agrément. Par conséquent, il convient notamment de nommer en interne des responsables de fonctions clés (« RFC ») pour les fonctions suivantes :

• le contrôle permanent de deuxième niveau (article 16 de l’arrêté du 3 novembre 2014 modifié relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’ACPR) ;
• l’audit interne (contrôle périodique) (article 17 de l’arrêté du 3 novembre 2014 modifié relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’ACPR) ;
• la gestion des risques (article 74 de l’arrêté du 3 novembre 2014 modifié relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’ACPR) ;
• le contrôle du risque de non-conformité (article 28 de l’arrêté du 3 novembre 2014 modifié relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’ACPR) ;
• la mise en œuvre du dispositif de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) (article 3 de l’arrêté du 6 janvier 2021 relatif au dispositif et au contrôle interne en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme et de gel des avoirs et d’interdiction de mise à disposition ou d’utilisation des fonds ou ressources économiques , et article L. 561-32, I, alinéa 4 du CMF) ;
• le contrôle des risques liés aux dispositifs d’externalisation (articles 231 à 240 de l’arrêté du 3 novembre 2014 modifié relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’ACPR).

En fonction de la taille, de la nature et de la complexité des activités d’une société, certaines responsabilités peuvent être confiées soit à une seule personne, soit aux dirigeants effectifs. En tout état de cause, les RFC rendent compte de l'exercice de leurs missions aux dirigeants effectifs et à l'organe de surveillance ainsi que, le cas échéant, au comité des risques.

Le nombre de personnes exerçant ces responsabilités, ainsi que les moyens mis à leur disposition, en particulier les moyens humains ainsi que les outils de suivi et les méthodes d'analyse de risques, sont adaptés à la taille, aux implantations ainsi qu'à la nature, à l'échelle et à la complexité des risques inhérents au modèle d'affaires et aux activités de l’assujetti (principe de proportionnalité).

Il convient d’indiquer dans le dossier l’identité des RFC, fournir leur CV, ainsi qu’un certain nombre d’informations les concernant (par exemple : le responsable hiérarchique, éventuellement le responsable fonctionnel s’il est différent du responsable hiérarchique, le nombre de collaborateurs du RFC, éventuellement les autres fonctions exercées par celui-ci lorsque cela est compatible avec ses responsabilités).

B. Dispositif de contrôle interne

Les candidats à l’agrément doivent disposer d’un système adéquat de contrôle interne leur permettant notamment de mesurer les risques et la rentabilité de leurs activités (pour plus de précisions, voir le guide « Contrôle interne »).

Chaque entité doit disposer d’un dispositif de contrôle interne organisé selon trois niveaux indépendants les uns des autres :

(i) Le premier niveau de contrôle est assuré par des personnes exerçant des activités opérationnelles (par exemple : la rédaction des contrats, la validation des opérations, l’analyses des pièces justificatives lors des entrées en relation, la validation des entrées en relations, les opérations de back-office, etc.) ;

(ii) Le second niveau de contrôle est assuré par des personnes exclusivement dédiées à la fonction de gestion des risques y compris le risque de non-conformité ;

(iii) Le troisième niveau de contrôle est assuré par la fonction d’audit interne composée de personnes distinctes de celles qui assurent le contrôle de premier et second niveau.

L’ACPR s’assure que les moyens techniques et humains dévolus à ces fonctions soient en adéquation avec les risques identifiés par le candidat, la complexité des activités et les volumes d’activité projetés.

En outre, les candidats à l’agrément doivent disposer de politiques et de procédures formalisées, dont la composition varie selon la nature de leur activité. Ainsi, un certain nombre de documents sont attendus ; notamment :

• La ou les politiques de contrôle interne* ;
• une cartographie des risques** ;
• La politique de LCB-FT, les éventuelles procédures opérationnelles en matière de LCB-FT, et une classification des risques (voire partie C de la présente fiche) ;
• Un plan de contrôle permanent et périodique ;
• Un plan de continuité d’activité (incluant, le cas échéant, un plan de sortie) ;
• La politique de rémunération et la politique de prévention et de gestion des conflits d’intérêts.***

_{*Cette politique inclut en particulier la présentation des trois lignes de défense et leur articulation avec la direction effective et l’organe de surveillance.}

_{** Le candidat doit identifier ces risques dans une cartographie exhaustive, qui couvre l’ensemble des activités de l’entreprise (y compris ses activités commerciales le cas échéant.}

_{***Pour les seuls EC, EI et SF}

Les porteurs de projet sollicitant un agrément d’établissement de crédit doivent en outre établir un plan de sortie qui doit permettre de démontrer comment une société avec un modèle d’affaires innovant candidate à un agrément peut cesser ses opérations commerciales de sa propre initiative, de façon ordonnée et solvable, sans porter atteinte à ses clients, sans perturber le système financier et sans intervention de l’ACPR*.

_{*https://www.bankingsupervision.europa.eu/ecb/pub/pdf/ssm.201803_guide_assessment_fintech_credit_inst_licensing.fr.pdf}

C. Dispositif de lutte contre le blanchiment de capitaux et le financement du terrorisme

Une attention particulière doit être portée à la description du dispositif de LCB-FT. Il est attendu des candidats à l’agrément qu’ils décrivent dans le dossier d’agrément, notamment :

• La classification des risques documentée tenant compte de l’ensemble des éléments énumérés à l’article L. 561-4-1 du Code monétaire et financier permettant d’aboutir à l’établissement d’un profil de risque BC-FT de la relation d’affaires ;
• La politique et les modalités de mise en œuvre (i) des obligations de vigilance à l’égard de la clientèle, y compris les modalités d’entrée en relation (l’identification du client et, le cas échéant, du bénéficiaire effectif, la vérification de son identité ainsi que les éléments de connaissance de la relation d’affaires devant être modulés selon le profil de risque de la relation d’affaires) et d’actualisation de ces éléments selon une approche par les risques, de mise en œuvre (ii) des mesures de vigilance renforcée pour les clients PPE ou résidant dans une zone géographique à risque et de mise en œuvre (ii) des mesures de vigilance constante (dont notamment la surveillance des opérations afin de s’assurer qu’elles sont cohérentes avec la connaissance actualisée du client). Le cas échéant, il convient également de décrire les modalités opérationnelles permettant de distinguer entre les clients occasionnels et les relations d’affaires ;
• Les modalités de surveillance des opérations, y compris une description des critères et seuils de significativité permettant de détecter les opérations atypiques, du traitement des alertes ainsi que des examens renforcés et des outils techniques employés ;
• La description du dispositif de gel des avoirs (y compris les mécanismes de traitement des alertes) et des outils techniques employés ;
• Les modalités de transmission des informations à Tracfin et aux autres autorités publiques ;
• Les contrôles effectués sur la mise en œuvre du dispositif de LCB-FT.

En outre, l’ACPR s’assure que les moyens techniques et humains dévolus aux fonctions de LCB-FT sont adaptés à la nature des activités, à la complexité des opérations et aux volumes d’activités projetés.

Nota bene : Les PSIC ne sont pas assujettis aux obligations de LCB-FT et de gel des avoirs (voir l’article L. 561-2-3 du Code monétaire et financier).

D. Gestion du risque de crédit et de liquidité

Si l’entreprise sollicite un agrément qui lui permet d’octroyer des crédits*, elle doit décrire l’ensemble des mécanismes qu’elle entend mettre en œuvre pour maîtriser le risque de crédit sur l’ensemble du cycle de vie des opérations (par exemple la politique de sélection de la clientèle, la politique de gestion des créances douteuses, la gestion des contentieux, les mécanismes de reprise dans le cadre des opérations de crédits baux, etc.). Les mécanismes d’atténuation du risque de crédit doivent également être décrits et, le cas échéant, les contrats régissant les protections financées ou non doivent être fournis.

_{*EC/SF à titre principal et EP/EME à titre accessoire aux services de paiement fournis}

L’ACPR exige une description précise de la politique de refinancement envisagée et de couverture des exigibilités. À cet égard, les sociétés de financement par exemple doivent être en mesure de respecter un ratio de couverture des exigibilités par des liquidités sur base sociale en permanence supérieur à 100 % (ou à l’exigence spécifique que l’ACPR peut leur avoir fixée, notamment en cas d’utilisation de l’approche avancée).

E. Programme d’activités

Afin de comprendre l’ensemble des activités qui sont envisagées par la société sollicitant un agrément, et ainsi s’assurer que l’ensemble des zones de risques ont bien été couvertes, il est essentiel de fournir une description détaillée du projet. Le niveau de détails attendu dépend de la complexité de l’activité et des risques soulevés par les activités envisagées.

1. La qualification des services

Le porteur de projet présente à l’ACPR les activités envisagées et les qualifications juridiques associées avant un dépôt d’agrément officiel. Sur la base de cette première proposition, l’ACPR et/ou l’AMF pour les services d’investissement analyse la qualification des services fournis au regard de la réglementation et s’assure de l’adéquation de l’agrément requis avec les activités envisagées (pour plus de précisions, voir la FAQ « De quel statut relève mon activité ? »).

En effet, pour chacun des services fournis découlent un ensemble d’implications en matière de risques, de couverture de ces risques et d’exigences prudentielles. Dans ce contexte, le candidat à l’agrément doit fournir des éléments les plus complets possibles en précisant notamment :

• La nature de l’activité envisagée,
• Les modalités de distribution de l’offre,
• La tarification des solutions proposées,
• Une description de la clientèle,
• Une description de l’ensemble des partenaires clés et la fourniture des contrats y afférents, dont leurs annexes,
• Une description de l’organisation de la société (les fonctions clés, l’organigramme, les effectifs prévisionnels, etc.),
• La qualification envisagée des prestations qui seront externalisées (notamment prestataire de service essentiel ou non).

En appui de ces éléments, il convient également de fournir un (des) schéma(s) des flux financiers, étape par étape, mettant en exergue le rôle de chacun des partenaires et de la société candidate à l’agrément et comprenant les temps de traitement.

D’une part, ces schémas permettent de vérifier la cohérence de l’agrément envisagé avec le projet (la qualification des services découlant la plupart du temps de l’analyse de ces flux). D’autre part, ils permettent de souligner la cinématique des opérations et de mettre en lumière le respect des exigences en matière de dates d’exécution des opérations (par exemple : le délai pour cantonner les fonds, la mise à disposition immédiate des fonds, les conditions de remboursement de la monnaie électronique, etc.).

Le cas échéant, ces schémas peuvent également être complétés par des éléments sur les flux d’informations (par exemple : la transmission d’un ordre de paiement par un partenaire clé, la mise en œuvre d’une authentification forte pour la réalisation de l’opération, etc.).

2. Les conditions de fourniture du service

L’ACPR analyse les conditions de fourniture de ces services. Il convient que les demandes soient accompagnées d’éléments précis et exhaustifs quant aux modalités de distribution de l’offre (par exemple : le réseau d’agents ou de distributeurs, la description de l’entrée en relation, la description de la façon dont les demandeurs entendent acquérir des clients, etc.). Ainsi, si le porteur de projet a déjà identifié des agents auxquels il envisage d’avoir recours, la demande d’enregistrement ne sera instruite qu’après l’obtention de l’agrément et, s’il y a lieu, levée des conditions suspensives (pour plus de précisions, voir la FAQ « Agent de PSP et PSP : qui fait quoi ? »).

L’ensemble des prestations confiées à des tiers (y compris au sein d’un même groupe) devront également être décrites (y compris l’identité de ces tiers) de sorte que l’ACPR puisse s’assurer, toujours dans une optique de supervision des risques, que le dispositif envisagé couvre bien l’ensemble des fonctions y compris celles qui font l’objet d’externalisation (pour plus de précisions, voir le guide « Contrôle interne »). L’entreprise candidate à l’agrément devra également fournir l’ensemble des projets de contrats régissant ces prestations.

Par ailleurs, si le demandeur prévoit d’exercer son activité en libre prestation de service ou en libre établissement dans un autre État de l’Espace économique européen (« EEE »), la demande ne sera instruite qu’après l’obtention de l’agrément et, s’il y a lieu, levée des conditions suspensives (pour plus de précisions, voir la FAQ « Passeporter mon activité »).

Nota bene : Il est également attendu que les contrats encadrant la fourniture des services envisagés soient transmis à l’ACPR (p.ex. contrat-cadre de services de paiement, contrat-type pour les opérations de crédit etc.).

3. Cas particulier des agents de PSP candidats à l’agrément

Dans le cas où le candidat à l’agrément serait agent de PSP et que celui-ci souhaiterait reprendre l’activité exercée sous couvert de son mandat, une attention particulière devra être portée sur les mécanismes de reprises de clientèle notamment en matière de gestion des contrats existants entre les utilisateurs et le PSP (y compris de traitement des cas où le client ne souhaiterait pas migrer ses comptes), de calendrier, de dispositif de LCB-FT et de moyens dévolus à l’opération de reprise de l’activité.

F. Protection des fonds de la clientèle

Pour les futurs établissements de monnaie électronique et établissements de paiement, l’ACPR s’assure* que les fonds détenus pour le compte de tiers seront effectivement protégés selon une des deux méthodes suivantes :

_{*Articles L.522-17 et L. 526-32 du Code monétaire et financier}

• Le cantonnement des fonds de la clientèle sur un compte à vue ouvert auprès d’un établissement de crédit agréé dans un État membre de l’Union européenne ou dans un autre État de l’EEE ou l’investissement en titres émis par un fonds du marché monétaire qualifié (tel que défini à l’article 2 de l’arrêté du 6 septembre 2017) et conservés sur un compte spécialement ouvert à cet effet auprès d’une personne habilitée (mentionnée aux 2° à 5° de l'article L542-1 du Code monétaire et financier) ;
• La souscription d’un contrat d’assurance ou d’une garantie comparable.

Pour les entreprises d’investissement recevant des fonds appartenant à la clientèle, seule la méthode du cantonnement des fonds est applicable.

Il est donc demandé au porteur du projet de fournir l’ensemble des éléments permettant d’analyser cette protection au regard des obligations qui lui incomberont (selon le cas : le projet de convention de compte de cantonnement avec les clauses nécessaires, le contrat d’assurance complet, la description des modalités de cantonnement y compris des partenaires clés, le respect des délais de protection des fonds).

S’agissant des comptes de cantonnement, il est rappelé qu’un certain nombre de points doivent figurer dans la convention de compte de cantonnement dont : l’objet du compte, ses caractéristiques (notamment le fait que les fonds reçus ne sont en aucun cas confondus avec les fonds de personnes physiques ou morales autres que les utilisateurs de services de paiement pour le compte desquels les fonds sont détenus), ses modalités de fonctionnement (comme l’identification claire des opérations au débit et crédit, l’absence de frais imputés directement sur ce compte, etc.), son intitulé qui mentionne l’affectation des sommes qui y sont déposées, etc.

G. Exigences prudentielles

L’ACPR s’assure que le demandeur dispose des ressources financières suffisantes pour générer une activité pérenne dans le respect des exigences liées à son agrément. Dans ce cadre, et dans le prolongement du point précédent, elle s’assure que le demandeur a envisagé le projet dans toute sa dimension financière, tant du point de vue des coûts générés par l’activité (l’investissement initial, les coûts fixes et variables) que du point de vue des revenus.

1. Le plan d’affaires (« business plan »)

Il est donc primordial de fournir un plan d’affaires qui reflète l’ensemble des éléments décrits dans le programme d’activité et qui s’appuie sur des hypothèses crédibles et documentées :

• Les coûts engendrés par les externalisations et les partenaires clés, les frais marketing et les éventuelles commissions dues, la masse salariale par « grandes fonctions » en cohérence avec les prévisions d’effectifs, l’organigramme et les volumes, la cohérence entre les charges locatives, la taille et l’emplacement des locaux, la distinction nette entre chaque ligne de revenus en cohérence avec le nombre de clients et les volumes, etc.
• La justification du taux de croissance, l’hypothèses de volumes de flux et de clientèle, le taux d’attrition de la clientèle, la cohérence avec ce qui est constaté sur le marché sur la base d’une étude de marché qu’il convient également de fournir, etc.

Afin de souligner la pérennité de l’activité et la capacité de la société à absorber les éventuelles pertes initiales, le plan d’affaires devra donc être composé d’un compte de résultat, d’un bilan et d’un tableau de flux de trésorerie portant sur les trois premiers exercices et devra inclure au moins deux scenarii (un scénario cible et un scénario dégradé).

L’ensemble des hypothèses devront être décrites (à l’écrit) et reflétées dans le plan d’affaires et les deux scenarii susmentionnés. À cet égard, il convient d’adresser un plan d’affaires au format Excel afin de faciliter l’analyse et de vérifier la cohérence des données qui sont transmises.

2. Couverture des exigences prudentielles sur les trois premières années de l’activité

Ce plan d’affaires devra également démontrer que les fonds propres de la société sont suffisants à l'agrément pour couvrir les besoins de la société au cours des trois premières années d’activité tant du point de vue des affaires elles-mêmes (la couverture des charges et des moyens réalistes pour la réalisation du plan) que du point de vue des exigences prudentielles applicables (le capital minimum, les exigences de fonds propres et les autres ratios prudentiels).

Le bilan devra notamment mettre en lumière un taux de couverture suffisant en matière de fonds propres prudentiels. Sur ce point, il est important de souligner que la notion de « fonds propres prudentiels » se distingue de celles des « fonds propres comptables » (pour plus de précisions, voir le guide « Fonds propres »). En effet, tous les instruments de capital ne sont pas éligibles en tant qu’instruments de fonds propres (par exemple : les actions de préférence) et un certain nombre de déductions doivent être appliquées (par exemple dans le cas d’immobilisations incorporelles) conformément aux dispositions prévues dans le règlement (UE) n° 575/2013 modifié.

Dans le cadre d’une demande d’agrément d’établissement de paiement pour lequel il existe plusieurs méthodes de calcul des exigences prudentielles, cette projection doit être réalisée par le demandeur au regard de chacune d’elles en précisant, le cas échéant, les montants des fonds propres nécessaires relatifs aux opérations de crédit. La méthode retenue est choisie par l'ACPR.

3. Cas particuliers des services d’initiation de paiement ou d’information sur les comptes

Les prestataires de services d’initiation de paiement et d’information sur les comptes, sont tenus d’avoir une assurance de responsabilité civile professionnelle ou une garantie comparable couvrant spécifiquement ces services*.

_{*Article L. 522-7-1 du Code monétaire et financier}

Dans ce cadre, l’ACPR porte une attention particulière à l’adéquation du contrat d’assurance, ou de la garantie comparable, (qu’il convient de fournir y compris les annexes et les conditions particulières) avec le montant minimal à couvrir (dont il convient de décrire le calcul appliqué au cas de la société requérante, selon les méthodes définies dans l’arrêté du 29 juillet 2009 portant sur la réglementation prudentielle des établissements de paiement, pour chacun des scenarii).

L’objet de l’assurance ou de la garantie comparable doit viser spécifiquement l’activité de fourniture des services d’initiation de paiement ou d’information sur les comptes.

H. Avis de la Banque de France sur la sécurité des paiements

L’avis de la Banque de France (BDF) sur la sécurité des paiements d’un dossier transmis par l’ACPR (pour les établissements de paiement et les établissements de monnaie électronique) est construit en quatre temps.

1. Comprendre l’activité pour identifier les risques intrinsèques

Dans ce premier temps, la BDF cherche à comprendre l’activité de l’établissement à travers des cinématiques claires faisant apparaitre les acteurs essentiels des services de paiements proposés ainsi que les flux d’échange de bout en bout et leurs natures.

La BDF, en soutien de l’ACPR, vérifie entre autres que les services de paiements demandés sont cohérents avec les cinématiques. C’est également à cette phase que la BDF identifie les risques intrinsèques à l’activité en s’appuyant sur ses connaissances de la fraude.

2. Apprécier la qualité de la gouvernance en matière de sécurité des paiements

La BDF s’assure que l’établissement présente une organisation claire des responsabilités et de la reddition des comptes, un dispositif de contrôle permanent et périodique, notamment en ce qui concerne l’application de la politique de sécurité du SI (PSSI) et le contrôle des prestataires de services essentiels externalisés (PSEE) et des agents, et un dispositif de continuité d’activité (PCA ou PUPA).

La BDF s’assure également que l’établissement a mis en place un dispositif dynamique d’évaluation des risques : une cartographie des risques (élément essentiel), un recensement de la fraude se traduisant par des reportings internes et à destination des autorités, ainsi qu'un traitement réactif des incidents.

Enfin, la BDF vérifie la mise en place de dispositifs permettant d’associer les utilisateurs à la lutte contre la fraude : une assistance commerciale, une assistance en cas de fraude, un dispositif de contestation des opérations ou de mise en opposition du moyen de paiement.

3. Évaluer la sécurité physique et logique de l’environnement technique des opérations de paiement

Dans un premier temps, la BDF évalue la sécurité physique et la logique des instruments de paiement mis en jeu dans le dossier. L’objectif est de détecter les éventuels maillons techniques faibles. Dans un deuxième temps, la BDF évalue la sécurité physique et la logique du système d’information (SI), en particulier l’architecture technique détaillée, la gestion des droits d’accès, des données sensibles de paiement, des sauvegardes, des certificats et des clés de chiffrement. L’établissement doit être en capacité de protéger les données sensibles de paiement et d'assurer la robustesse de son SI.

Pour chaque service de paiement, les attentes de la BDF en termes de sécurisation des données sensibles de paiement sont :

• La description des données sensibles collectées et/ou en transit dans le système d’information de l’établissement ;
• La description des conditions de stockage et de transmission de ces données. La BDF examinera avec attention la durée de conservation, les algorithmes de chiffrement ou de scellement et les tailles de clés utilisés, les mécanismes de contrôle d’accès mis en place ainsi que toutes mesures de sécurité déployées afin de protéger la confidentialité et l’intégrité de ces données.

4. Mesurer l’efficacité des dispositifs de prévention et de lutte contre la fraude

La BDF s’assure de l’efficacité des dispositifs de prévention et de lutte contre la fraude, en vérifiant notamment les procédures suivantes :

• Enrôlement des clients, de leurs équipements, authentification forte du payeur ;
• Surveillance des opérations, identification des opérations à risque et mesures complémentaires ;
• Action de sensibilisation auprès des utilisateurs et formation des équipes.

Annexe : Tableau synoptique pour les sociétés de financement (« SF »), les établissements de monnaie électronique (« EME »), les établissements de paiement (« EP »), les prestataires de services d’information sur les comptes (« PSIC »)