1. Quelle qualification juridique ?
Si vous accédez, via une API, au(x) compte(s) de votre client et que vous analysez ses opérations (par exemple, pour identifier les paiements éligibles au cashback ou pour connaître son budget et ainsi mieux cibler sa capacité d’épargne ou pour mieux évaluer sa solvabilité), cette activité nécessite d’être autorisé à fournir le service d’information sur les comptes visé au 8° du II de l’article L. 314-1 du Code monétaire et financier.
Le service d’information sur les comptes (ou agrégation de comptes) est un service en ligne consistant à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l’utilisateur auprès d’un ou plusieurs prestataires. Ainsi, un client qui détient plusieurs comptes peut les visualiser depuis l’application de l’agrégateur.
Le client ne peut transmettre des ordres de virement depuis cette même application que si vous êtes également habilité pour l’initiation de paiement.
L’initiation de paiement est un service consistant à transmettre un ordre de paiement à la demande de l'utilisateur de services de paiement et concernant un compte de paiement détenu auprès d'un autre prestataire de services de paiement (PSP). Dans ce cadre, l’utilisateur peut demander à un PSP d’initier une opération de paiement concernant son compte de paiement détenu auprès d’un autre PSP. Concrètement, le PSP initiateur passe l’ordre sur l’API du PSP teneur de compte de l’utilisateur après avoir recueilli le consentement de celui-ci.
Le service d’initiation de paiement n’est possible que si le(s) compte(s) du client est/sont accessible(s) en ligne.
Les services d’initiation de paiement et d’information sur les comptes impliquent que le prestataire ne reçoit à aucun moment les fonds de son client (services 7 et 8 de l’article L. 314-1, II, du Code monétaire et financier).
2. Quels sont les statuts possibles ?
Concernant le service d’information sur les comptes (ou agrégation de comptes) : plusieurs statuts sont envisageables. L’obtention d’un statut est un prérequis pour le lancement de votre activité. À défaut, vous seriez dans une situation d’exercice illégal.
-
Prestataire de service d’information sur les comptes (« PSIC » ou « agrégateur de comptes »)
-
PSP agréé (EP, EME ou EC)
-
Agent de PSP ou agent de PSIC
Le statut de prestataires de service d’information sur les comptes (« PSIC »). Les PSIC sont des personnes physiques ou morales autres que les établissements de crédit, les établissements de monnaie électronique et les établissements de paiement qui fournissent à titre d’activité habituelle le service d’information sur les comptes (service 8° de l’article L. 314-1, II du Code monétaire et financier) à l'exclusion de tout autre service de paiement. Selon l’article L. 522-11-2 du Code monétaire et financier, avant de fournir le service d'information sur les comptes mentionné au 8° du II de l’article L. 314-1 du Code monétaire et financier, les PSIC doivent adresser à l'ACPR une demande d'enregistrement.
Les PSIC doivent établir avec leurs clients un contrat (contrat-cadre de services de paiement) comportant un certain nombre d’informations (article L314-12 du Code monétaire et financier) détaillées à l’article 2 de l’arrêté du 29 juillet 2009.
Les prestataires fournissant un service d’information sur les comptes ne sont pas assujettis à la LCB-FT au titre de cette activité d’agrégation de comptes.
Les autres statuts : PSP (EP, EME ou EC) et agent de PSP
Concernant le service d’initiation de paiement : plusieurs statuts sont envisageables. L’obtention d’un statut est un prérequis pour le lancement de votre activité. À défaut, vous seriez dans une situation d’exercice illégal.
-
PSP agréé (EP, EME ou EC)
-
Agent de PSP
Les prestataires fournissant un service d’initiation de paiement doivent établir avec leurs clients un contrat (contrat-cadre de services de paiement) comportant un certain nombre d’informations (article L314-12 du Code monétaire et financier) détaillées à l’article 2 de l’arrêté du 29 juillet 2009.
Par ailleurs, ils sont assujettis à la réglementation de LCB-FT, mais selon un régime simplifié conformément au 2° de l'article L561-9 du code monétaire et financier.
Nota Bene : Dans le cadre de la fourniture du service d’initiation de paiement et de celui d’information sur les comptes, il convient de fournir à l’ACPR le détail du parcours utilisateur (accompagné de captures d’écran) afin de comprendre le rôle de chaque acteur et identifier leur statut (apporteur d’affaires, IOBSP, agent PSP, PSIC/PSIP …).
3. Quel cadre est applicable aux API dites « DSP2 » ?
Le Règlement délégué 2018/389 de la Commission européenne apporte des précisions sur l’authentification forte et sur les API des établissements gestionnaires des comptes de paiement de vos clients.
A la demande des prestataires agréés de services d'initiation de paiement, de services d'information sur les comptes et de services de paiement qui émettent des instruments de paiement liés à une carte, les établissements gestionnaires de comptes mettent gratuitement à disposition une documentation sur leur API. Ces derniers doivent également publier sur leur site internet un résumé de la documentation concernant la procédure à suivre pour utiliser leur API (article 30).
En cas de problème dans l’utilisation de l’API d’un établissement gestionnaire de compte de paiement, vous pouvez informer l’ACPR : voir instruction 2023-I-04 et son annexe.
Les dispositions relatives à l’authentification forte sont définies aux articles 4 et suivants du Règlement délégué.
Mise à jour le 2 Janvier 2025