Points d’attention de l’ACPR dans l’instruction des dossiers d’agrément dans les domaines bancaire, financier et des paiements

Les informations contenues dans cette page « Points d’attention de l’ACPR dans l’instruction des dossiers d’agrément dans les domaines bancaire, financier et des paiements » sont uniquement publiées à titre informatif et n’ont pas vocation à être exhaustives, ni à lier l’ACPR dans ses relations avec les personnes soumises à son contrôle. Elles ont pour objet d’expliquer de manière pédagogique certains des points d’attention de l’ACPR dans l’instruction des dossiers d’agrément des établissements de crédit, des sociétés de financement, des entreprises d’investissement, des établissements de monnaie électronique et des établissements de paiement[1]. Ces informations sont simplement destinées à aider les porteurs de projet désireux de déposer un dossier de demande d’autorisation auprès de l’ACPR. En aucun cas, elles ne préjugent de la décision de l’ACPR sur les dossiers individuels.

[1] Pour le secteur de l’assurance, se référer à la page « Points d’attention de l’ACPR dans l’instruction des dossiers d’agrément des organismes d’assurance ».

 

Sommaire

A. Gouvernance et organisation interne

B. Dispositif de contrôle interne

C. Dispositif de lutte contre le blanchiment de capitaux et le financement du terrorisme

D. Gestion du risque de crédit et de liquidité

E. Programme d’activités

F. Protection des fonds de la clientèle

G. Exigences prudentielles

H. Avis de la Banque de France sur la sécurité des paiements

Annexe : Tableau synoptique pour les sociétés de financement (« SF »), les établissements de monnaie électronique (« EME »), les établissements de paiement (« EP »), les prestataires de services d’information sur les comptes (« PSIC »)

 

 

Dans le cadre d’une demande d’agrément, un porteur de projet aura l’ACPR pour interlocuteur principal tout au long de l’instruction de son dossier d’agrément. Toutefois, selon la nature de l’agrément souhaité, plusieurs institutions différentes pourront prendre part au dossier.

Nature de l’agrément

Établissement de crédit et entreprise d’investissement de classe 1 (ECI)

Entreprise d’investissement de classe 1bis, 2 et 3

Établissement de paiement et établissement de monnaie électronique

Société de financement

Autorités en charge de l’instruction

ACPR et BCE (autorisation d’agrément par la BCE sur proposition de l’ACPR)

AMF (approbation par l’AMF du programme d’activités)

ACPR et AMF (approbation par l’AMF du programme d’activités)

ACPR et Banque de France (BDF). Avis de la BDF sur la sécurité des moyens de paiement

ACPR

 

 

 

A. Gouvernance et organisation interne

Le système de gouvernance[2] projeté doit être présenté dans le dossier. Cette présentation doit permettre d’en évaluer l’efficacité et démontrer la gestion saine et prudente de l’activité envisagée. La structure organisationnelle doit être transparente et les responsabilités doivent faire l’objet d’une répartition claire et cohérente ainsi que d’une séparation appropriée des pouvoirs et des rôles de sorte à garantir l’indépendance des fonctions de surveillance et de contrôle.

 

1. L’actionnariat de la société

La répartition du capital et des droits de vote doit être décrite et la qualité et l’honorabilité des personnes détenant une participation qualifiée[3] doivent être établies. Par ailleurs, ces actionnaires s’engagent à aider la société à respecter les exigences prudentielles qui s’appliquent à elle. 

 

2. Les dirigeants effectifs et l’organe de surveillance (fit and proper)

Les dirigeants effectifs (c’est-à-dire les personnes chargées de diriger et/ou d’administrer la société) ont une responsabilité ultime et globale à l’égard de l’assujetti. Ils doivent donc être aptes à occuper leur poste et posséder notamment l’honorabilité, la compétence et l’expérience nécessaires à leurs fonctions. Ils adoptent des décisions sur une base solide et éclairée et disposent donc des informations les plus étendues sur les activités de la société. La direction effective de l’activité doit être assurée en France et par deux personnes au moins. Elle rend compte sous tous les aspects à l’organe de surveillance.

Les membres de l’organe de surveillance doivent présenter une compétence collective et une honorabilité individuelle pour assurer leur rôle. Ils assurent notamment, au sein de cet organe, le suivi de la stratégie de l’assujetti et disposent d’un degré d’indépendance suffisant leur permettant de garantir et d’évaluer l’efficacité du cadre de gouvernance interne. Dans ce contexte, ils disposent également de pouvoirs suffisants pour prendre des mesures appropriées afin de remédier aux éventuelles faiblesses détectées.

Le dossier doit également permettre de vérifier que les modalités de constitution et de fonctionnement des organes de surveillance et des organes dirigeants sont conformes aux dispositions applicables à la forme juridique de la société.

 

3. Les responsables de fonctions « clés »

Même en cas d’externalisation, la responsabilité demeure toujours au sein de la société candidate à l’agrément. Par conséquent, il convient notamment de nommer en interne des responsables de fonctions clés (« RFC ») pour les fonctions suivantes :

  • le contrôle permanent de deuxième niveau ;
  • l’audit interne (contrôle périodique) ;
  • la gestion des risques ;
  • le contrôle du risque de non-conformité ;
  • la mise en œuvre du dispositif de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) ;
  • le contrôle des risques liés aux dispositifs d’externalisation.

En fonction de la taille, de la nature et de la complexité des activités d’une société, certaines responsabilités peuvent être confiées soit à une seule personne, soit aux dirigeants effectifs. En tout état de cause, les RFC rendent compte de l'exercice de leurs missions aux dirigeants effectifs et à l'organe de surveillance ainsi que, le cas échéant, au comité des risques.

Le nombre de personnes exerçant ces responsabilités, ainsi que les moyens mis à leur disposition, en particulier les moyens humains ainsi que les outils de suivi et les méthodes d'analyse de risques, sont adaptés à la taille, aux implantations ainsi qu'à la nature, à l'échelle et à la complexité des risques inhérents au modèle d'affaires et aux activités de l’assujetti (principe de proportionnalité).

Il convient d’indiquer dans le dossier l’identité des RFC, fournir leur CV, ainsi qu’un certain nombre d’informations les concernant (par exemple : le responsable hiérarchique, éventuellement le responsable fonctionnel s’il est différent du responsable hiérarchique, le nombre de collaborateurs du RFC, éventuellement les autres fonctions exercées par celui-ci lorsque cela est compatible avec ses responsabilités).

 

[2] Ensemble des éléments relatifs aux organes de direction (les dirigeants effectifs, le conseil d’administration ou les autres formes d’organe de surveillance, les différents comités), les dispositifs tels que les politiques, les procédures, les capacités opérationnelles propres au contrôle interne et à la gestion des risques.

[3] Personnes détenant directement ou indirectement au moins de 10% du capital ou des droits de vote.

 

 

B. Dispositif de contrôle interne

Les candidats à l’agrément doivent disposer d’un système adéquat de contrôle interne leur permettant notamment de mesurer les risques et la rentabilité de leurs activités (pour plus de précisions, voir le guide « Contrôle interne »).

Chaque entité doit disposer d’un dispositif de contrôle interne organisé selon trois niveaux indépendants les uns des autres :

(i) Le premier niveau de contrôle est assuré par des personnes exerçant des activités opérationnelles (par exemple : la rédaction des contrats, la validation de opérations, l’analyses des pièces justificatives lors des entrées en relation, la validation des entrées en relations, les opérations de back-office, etc.) ;

(ii)Le second niveau de contrôle est assuré par des personnes exclusivement dédiées à la fonction de gestion des risques y compris le risque de non-conformité ;

(iii)Le troisième niveau de contrôle est assuré par la fonction d’audit interne composée de personnes distinctes de celles qui assurent le contrôle de premier et second niveau.

L’ACPR s’assure que les moyens techniques et humains dévolus à ces fonctions soient en adéquation avec les risques identifiés par le candidat, la complexité des activités et les volumes d’activité projetés.

En outre, les candidats à l’agrément doivent disposer de politiques et de procédures formalisées, dont la composition varie selon la nature de leur activité. Ainsi, un certain nombre de documents sont attendus ; notamment :

  • La ou les politiques de contrôle interne[4] ;
  • une cartographie des risques[5] ;
  • La politique de LCB-FT, les éventuelles procédures opérationnelles en matière de LCB-FT, et une classification des risques (voire partie C de la présente fiche) ;
  • Un plan de contrôle permanent et périodique ;
  • Un plan de continuité d’activité (incluant, le cas échéant, un plan de sortie) ;
  • La politique de rémunération et la politique de prévention et de gestion des conflits d’intérêts.[6]

 

Les porteurs de projet sollicitant un agrément d’établissement de crédit doivent en outre établir un plan de sortie qui doit permettre de démontrer comment une société avec un modèle d’affaires innovant candidate à un agrément peut cesser ses opérations commerciales de sa propre initiative, de façon ordonnée et solvable, sans porter atteinte à ses clients, sans perturber le système financier et sans intervention de l’ACPR[7].

 

[4] Cette politique inclut en particulier la présentation des trois lignes de défense et leur articulation avec la direction effective et l’organe de surveillance.

[5] Le candidat doit identifier ces risques dans une cartographie exhaustive, qui couvre l’ensemble des activités de l’entreprise (y compris ses activités commerciales le cas échéant.

[6] Pour les seuls EC, EI et SF

 

C. Dispositif de lutte contre le blanchiment de capitaux et le financement du terrorisme

Une attention particulière doit être portée à la description du dispositif de LCB-FT. Il est attendu des candidats à l’agrément qu’ils décrivent dans le dossier d’agrément, notamment :

  • La classification des risques documentée tenant compte de l’ensemble des éléments énumérés à l’article L. 561-4-1 du Code monétaire et financier permettant d’aboutir à l’établissement d’un profil de risque BC-FT de la relation d’affaires ;
  • La politique et les modalités de mise en œuvre (i) des obligation de vigilance à l’égard de la clientèle, y compris les modalités d’entrée en relation (l’identification du client et, le cas échéant, du bénéficiaire effectif, la vérification de son identité ainsi que les éléments de connaissance de la relation d’affaires devant être modulé selon le profil de risque de la relation d’affaires) et d’actualisation de ces éléments selon une approche par les risques, de mise en œuvre (ii) des mesures de vigilance renforcée pour les clients PPE ou résidant dans une zone géographique à risque et de mise en œuvre (ii) des mesures de vigilance constante (dont notamment la surveillance des opérations afin de s’assurer qu’elles sont cohérentes avec la connaissance actualisée du client). Le cas échéant, il convient également de décrire les modalités opérationnelles permettant de distinguer entre les clients occasionnels et les relations d’affaires ;
  • Les modalités de surveillance des opérations, y compris une description des critères et seuils de significativité permettant de détecter les opérations atypiques, du traitement des alertes ainsi que des examens renforcés et des outils techniques employés ;
  • La description du dispositif de gel des avoirs (y compris les mécanismes de traitement des alertes) et des outils techniques employés ;
  • Les modalités de transmission des informations à Tracfin et aux autres autorités publiques ;
  • Les contrôles effectués sur la mise en œuvre du dispositif de LCB-FT.

En outre, l’ACPR s’assure que les moyens techniques et humains dévolus aux fonctions de LCB-FT soient adaptés à la nature des activités, la complexité des opérations et les volumes d’activités projetés.

Nota bene : Les PSIC ne sont pas assujettis aux obligations de LCB-FT et de gel des avoirs (voir l’article L. 561-2-3 du Code monétaire et financier).

 

 

D. Gestion du risque de crédit et de liquidité

Si l’entreprise sollicite un agrément qui lui permet d’octroyer des crédits[8], elle doit décrire l’ensemble des mécanismes qu’elle entend mettre en œuvre pour maîtriser le risque de crédit sur l’ensemble du cycle de vie des opérations (par exemple la politique de sélection de la clientèle, la politique de gestion des créances douteuses, la gestion des contentieux, les mécanismes de reprise dans le cadre des opérations de crédits baux, etc.). Les mécanismes d’atténuation du risque de crédit doivent également être décrits et, le cas échéant, les contrats régissant les protections financées ou non doivent être fournis.

L’ACPR exige une description précise de la politique de refinancement envisagée et de couverture des exigibilités. À cet égard, les sociétés de financement par exemple doivent être en mesure de respecter un ratio de couverture des exigibilités par des liquidités sur base sociale en permanence supérieur à 100 % (ou à l’exigence spécifique que l’ACPR peut leur avoir fixée, notamment en cas d’utilisation de l’approche avancée).

 

[8] EC/SF à titre principal et EP/EME à titre accessoire aux services de paiement fournis

 

 

E. Programme d’activités

Afin de comprendre l’ensemble des activités qui sont envisagées par la société sollicitant un agrément, et ainsi s’assurer que l’ensemble des zones de risques ont bien été couvertes, il est essentiel de fournir une description détaillée du projet. Le niveau de détails attendu dépend de la complexité de l’activité et des risques soulevés par les activités envisagées.

 

1. La qualification des services

Le porteur de projet présente à l’ACPR les activités envisagées et les qualifications juridiques associées avant un dépôt d’agrément officiel. Sur la base de cette première proposition, l’ACPR et/ou l’AMF pour les services d’investissement analyse la qualification des services fournis au regard de la réglementation et s’assure de l’adéquation de l’agrément requis avec les activités envisagées (pour plus de précisions, voir la FAQ « Qualifier mon activité »).

En effet, pour chacun des services fournis découlent un ensemble d’implications en matière de risques, de couverture de ces risques et d’exigences prudentielles. Dans ce contexte, le candidat à l’agrément doit fournir des éléments les plus complets possibles en précisant notamment :

  • La nature de l’activité envisagée,
  • Les modalités de distribution de l’offre,
  • La tarification des solutions proposées,
  • Une description de la clientèle,
  • Une description de l’ensemble des partenaires clés et la fourniture des contrats y afférents dont leurs annexes,
  • Une description de l’organisation de la société (les fonctions clés, l’organigramme, les effectifs prévisionnels, etc.),
  • La qualification envisagée des prestations qui seront externalisées (notamment prestataire de service essentiel ou non).

En appui de ces éléments, il convient également de fournir un (des) schéma(s) des flux financiers, étape par étape, mettant en exergue le rôle de chacun des partenaires et de la société candidate à l’agrément et comprenant les temps de traitement.

D’une part, ces schémas permettent de vérifier la cohérence de l’agrément envisagé avec le projet (la qualification des services découlant la plupart du temps de l’analyse de ces flux). D’autre part, ils permettent de souligner la cinématique des opérations et de mettre en lumière le respect des exigences en matière de dates d’exécution des opérations (par exemple : le délai pour cantonner les fonds, la mise à disposition immédiate des fonds, les conditions de remboursement de la monnaie électronique, etc.).

Le cas échéant, ces schémas peuvent également être complétés par des éléments sur les flux d’informations (par exemple : la transmission d’un ordre de paiement par un partenaire clé, la mise en œuvre d’une authentification forte pour la réalisation de l’opération, etc.).

 

2. Les conditions de fourniture du service

L’ACPR analyse les conditions de fourniture de ces services. Il convient que les demandes soient accompagnées d’éléments précis et exhaustifs quant aux modalités de distribution de l’offre (par exemple : le réseau d’agents ou de distributeurs, la description de l’entrée en relation, la description de la façon dont les demandeurs entendent acquérir des clients, etc.). Ainsi, si le porteur de projet a déjà identifié des agents auxquels il envisage d’avoir recours, la demande d’enregistrement ne sera instruite qu’après l’obtention de l’agrément et, s’il y a lieu, levée des conditions suspensives (pour plus de précisions, voir la FAQ « Devenir un agent de PSP »).

L’ensemble des prestations confiées à des tiers (y compris au sein d’un même groupe) devront également être décrites (y compris l’identité de ces tiers) de sorte à ce que l’ACPR puisse s’assurer, toujours dans une optique de supervision des risques, que le dispositif envisagé couvre bien l’ensemble des fonctions y compris celles qui font l’objet d’externalisation (pour plus de précisions, voir le guide « Contrôle interne »). L’entreprise candidate à l’agrément devra également fournir l’ensemble des projets de contrats régissant ces prestations.

Par ailleurs, si le demandeur prévoit d’exercer son activité en libre prestation de service ou en libre établissement dans un autre État de l’Espace économique européen (« EEE »), la demande ne sera instruite qu’après l’obtention de l’agrément et, s’il y a lieu, levée des conditions suspensives (pour plus de précisions, voir la FAQ « Passeporter mon activité »).

Nota bene : Il est également attendu que les contrats encadrant la fourniture des services envisagés soient transmis à l’ACPR (p.ex. contrat-cadre de services de paiement, contrat-type pour les opérations de crédit etc.).

 

3. Cas particulier des agents de PSP candidats à l’agrément

Dans le cas où le candidat à l’agrément serait agent de PSP et que celui-ci souhaiterait reprendre l’activité exercée sous couvert de son mandat, une attention particulière devra être portée sur les mécanismes de reprises de clientèle notamment en matière de gestion des contrats existants entre les utilisateurs et le PSP (y compris de traitement des cas où le client ne souhaiterait pas migrer ses comptes), de calendrier, de dispositif de LCB-FT et de moyens dévolus à l’opération de reprise de l’activité.

 

 

F. Protection des fonds de la clientèle

Pour les futurs établissements de monnaie électronique et établissements de paiement, l’ACPR s’assure que les fonds détenus pour le compte de tiers seront effectivement protégés selon une des deux méthodes suivantes :

  • Le cantonnement des fonds de la clientèle sur un compte ouvert auprès d’un établissement de crédit agréé dans un État membre de l’Union européenne ou dans un autre État de l’EEE ;
  • La souscription d’un contrat d’assurance ou d’une garantie comparable.

Pour les entreprises d’investissement recevant des fonds appartenant à la clientèle, seule la méthode du cantonnement des fonds est applicable.

Il est donc demandé au porteur du projet de fournir l’ensemble des éléments permettant d’analyser cette protection au regard des obligations qui lui incomberont (selon le cas : le projet de convention de compte de cantonnement avec les clauses nécessaires, le contrat d’assurance complet, la description des modalités de cantonnement y compris des partenaires clés, le respect des délais de protection des fonds.).

S’agissant des comptes de cantonnement, il est rappelé qu’un certain nombre de points doivent figurer dans la convention de compte de cantonnement dont : l’objet du compte, ses caractéristiques (notamment le fait que les fonds reçus ne sont en aucun cas confondus avec les fonds de personnes physiques ou morales autres que les utilisateurs de services de paiement pour le compte desquels les fonds sont détenus), ses modalités de fonctionnement (comme l’identification claire des opérations au débit et crédit, l’absence de frais imputé directement sur ce compte, etc.), son intitulé qui mentionne l’affectation des sommes qui y sont déposés, etc.

 

 

G. Exigences prudentielles

L’ACPR s’assure que le demandeur dispose des ressources financières suffisantes pour générer une activité pérenne dans le respect des exigences liées à son agrément. Dans ce cadre, et dans le prolongement du point précédent, elle s’assure que le demandeur a envisagé le projet dans toute sa dimension financière, tant du point de vue des coûts générés par l’activité (l’investissement initial, les coûts fixes et variables) que du point de vue des revenus.

 

1. Le plan d’affaires (« business plan »)

Il est donc primordial de fournir un plan d’affaires qui reflète l’ensemble des éléments décrits dans le programme d’activité et qui s’appuie sur des hypothèses crédibles et documentées :

  • Les coûts engendrés par les externalisations et les partenaires clés, les frais marketing et les éventuelles commissions dues, la masse salariale par « grandes fonctions » en cohérence avec les prévisions d’effectifs, l’organigramme et les volumes, la cohérence entre les charges locatives, la taille et l’emplacement des locaux, la distinction nette entre chaque ligne de revenus en cohérence avec le nombre de clients et les volumes, etc.
  • La justification du taux de croissance, l’hypothèses de volumes de flux et de clientèle, le taux d’attrition de la clientèle, la cohérence avec ce qui est constaté sur le marché sur la base d’une étude de marché qu’il convient également de fournir, etc.

Afin de souligner la pérennité de l’activité et la capacité de la société à absorber les éventuelles pertes initiales, le plan d’affaires devra donc être composé d’un compte de résultat, d’un bilan et d’un tableau de flux de trésorerie portant sur les trois premiers exercices et devra inclure au moins deux scenarii (un scénario cible et un scénario dégradé).

L’ensemble des hypothèses devront être décrites (à l’écrit) et reflétées dans le plan d’affaires et les deux scenarii susmentionnés. À cet égard, il est préférable de privilégier l’envoi d’un plan d’affaires dans un format numérique mettant en lumière les liens entre chaque ligne (format Excel ou similaire) afin d’en faciliter l’analyse et de vérifier la cohérence des données qui sont transmises.

 

2. Couverture des exigences prudentielles sur les trois premières années de l’activité

Ce plan d’affaires devra également démontrer que les fonds propres de la société sont suffisants pour couvrir les besoins de la société au cours des trois premières années d’activité tant du point de vue des affaires elles-mêmes (la couverture des charges et des moyens réalistes pour la réalisation du plan) que du point de vue des exigences prudentielles applicables (le capital minimum, les exigences de fonds propres et les autres ratios prudentiels).

Le bilan devra notamment mettre un lumière un taux de couverture suffisant en matière de fonds propres prudentiels. Sur ce point, il est important de souligner que la notion de « fonds propres prudentiels » se distingue de celles des « fonds propres comptables » (pour plus de précisions, voir le guide « Fonds propres »). En effet, tous les instruments de capital ne sont pas éligibles en tant qu’instruments de fonds propres (par exemple : les actions de préférence) et un certain nombre de déductions doivent être appliquées (par exemple dans le cas d’immobilisations incorporelles) conformément aux dispositions prévues dans le règlement (UE) n° 575/2013 modifié.

S’il existe plusieurs méthodes de calcul des exigences prudentielles, cette projection doit être réalisée par le demandeur au regard de chacune d’elle en précisant, le cas échéant, les montants des fonds propres nécessaires relatifs aux opérations de crédit. Dans ce cas, le choix de la méthode que le demandeur souhaite retenir doit être justifié au regard des risques liés aux activités envisagées.

 

3. Cas particuliers des services d’initiation de paiement ou d’information sur les comptes

Les prestataires de services d’initiation de paiement et d’information sur les comptes, sont tenus d’avoir une assurance de responsabilité civile professionnelle ou une garantie comparable couvrant spécifiquement ces services[9].

 

Dans ce cadre, l’ACPR porte une attention particulière à l’adéquation du contrat d’assurance, ou de la garantie comparable, (qu’il convient de fournir y compris les annexes et les conditions particulières) avec le montant minimal à couvrir (dont il convient de décrire le calcul appliqué au cas de la société requérante, selon les méthodes définies dans l’arrêté du 29 juillet 2009 portant sur la réglementation prudentielle des établissements de paiement, pour chacun des scenarii).

 

 

H. Avis de la Banque de France sur la sécurité des paiements

L’avis de la Banque de France (BDF) sur la sécurité des paiements d’un dossier transmis par l’ACPR (pour les établissements de paiement et les établissements de monnaie électronique) est construit en quatre temps.

 

1. Comprendre l’activité pour identifier les risques intrinsèques

Dans ce premier temps, la BDF cherche à comprendre l’activité de l’établissement à travers des cinématiques claires faisant apparaitre les acteurs essentiels des services de paiements proposés ainsi que les flux d’échange de bout en bout et leurs natures.

La BDF, en soutien de l’ACPR, vérifie entre autres que les services de paiements demandés sont cohérents avec les cinématiques. C’est également à cette phase que la BDF identifie les risques intrinsèques à l’activité en s’appuyant sur ses connaissances de la fraude.

 

2. Apprécier la qualité de la gouvernance en matière de sécurité des paiements

La BDF s’assure que l’établissement présente une organisation claire des responsabilités et de la reddition des comptes, un dispositif de contrôle permanent et périodique, notamment en ce qui concerne l’application de la politique de sécurité du SI (PSSI) et le contrôle des prestataires de services essentiels externalisés (PSEE) et des agents, et un dispositif de continuité d’activité (PCA ou PUPA).

La BDF s’assure également que l’établissement a mis en place un dispositif dynamique d’évaluation des risques : une cartographie des risques (élément essentiel), un recensement de la fraude se traduisant par des reportings internes et à destination des autorités, un traitement réactif des incidents.

Enfin, la BDF vérifie la mise en place de dispositifs permettant d’associer les utilisateurs à la lutte contre la fraude : une assistance commerciale, une assistance en cas de fraude, un dispositif de contestation des opérations ou de mise en opposition du moyen de paiement.

 

3. Évaluer la sécurité physique et logique de l’environnement technique des opérations de paiement

Dans un premier temps, la BDF évalue la sécurité physique et la logique des instruments de paiement mis en jeu dans le dossier. L’objectif est de détecter les éventuels maillons techniques faibles. Dans un deuxième temps, la BDF évalue la sécurité physique et la logique du système d’information (SI), en particulier l’architecture technique détaillée, la gestion des droits d’accès, des données sensibles de paiement, des sauvegardes, des certificats et des clés de chiffrement. L’établissement doit être en capacité de protéger les données sensibles de paiement et assurer la robustesse de son SI.

Pour chaque service de paiement, les attentes de la BDF en termes de sécurisation des données sensibles de paiement sont :

  • La description des données sensibles collectées et/ou en transit dans le système d’information de l’établissement ;
  • La description des conditions de stockage et de transmission de ces données. La BDF examinera avec attention la durée de conservation, les algorithmes de chiffrement ou de scellement et les tailles de clés utilisés, les mécanismes de contrôle d’accès mis en place ainsi que toutes mesures de sécurité déployées afin de protéger la confidentialité et l’intégrité de ces données.

 

4. Mesurer l’efficacité des dispositifs de prévention et de lutte contre la fraude

La BDF s’assure de l’efficacité des dispositifs de prévention et de lutte contre la fraude, en vérifiant notamment les procédures suivantes :

  • Enrôlement des clients, de leurs équipements, authentification forte du payeur ;
  • Surveillance des opérations, identification des opérations à risque et mesures complémentaires ;
  • Action de sensibilisation auprès des utilisateurs et formation des équipes.

À ne pas faire :

Si le système d’information de l’établissement est hébergé en mode SaaS chez un fournisseur, il ne faut pas copier/coller la liste des outils fournis par l’hébergeur sans préciser leurs fonctions, ni le paramétrage et la configuration spécifiques à l’établissement.

Il ne faut pas indiquer dans le dossier des noms de documents de référence (en annexes) qui diffèrent de la nomenclature des annexes réellement fournies.

Il ne faut pas mettre en annexe des documents sans avoir vérifié leurs contenus, ainsi que l’adéquation de ce dernier avec les informations demandées dans le dossier.

 

Annexe : Tableau synoptique pour les sociétés de financement (« SF »), les établissements de monnaie électronique (« EME »), les établissements de paiement (« EP »), les prestataires de services d’information sur les comptes (« PSIC »)

Exigence

Agrément de SF

Agrément d’EME

Agrément simplifié d’EME

Agrément d’EP

Agrément simplifié d’EP

PSIC

Gouvernance

Capital minimum

2 200 000 EUR

ou

1 100 000 EUR

(si imité à l’exercice des opérations de caution)

350 000 EUR

100 000 EUR

20 000 EUR (transmission de fonds)

50 000 EUR

(initiation de paiement)

125 000 EUR

(autres services de paiement)

40 000 EUR

Exigences en fonds propres

(ratios de solvabilité)

(Pour la ME : calculées en % de la moyenne de la ME en circulation – Pour les SP : voir colonne EP)

(3 méthodes de calcul

dont une basée sur les volumes de paiement)

Risque de liquidité

 

Grands risques

 

Assurance[10]

(N/A sauf si double agrément avec fourniture du service d’initiation de paiement et/ou d’information sur les comptes)

(uniquement si initiation de paiement et/ou information sur les comptes)

(uniquement si initiation de paiement et/ou information sur les comptes)

Contrôle interne

Dispositif LCB-FT

Protection des fonds

(N/A sauf si double agrément en tant qu’établissement de paiement ou de monnaie électronique)

 

Recours à des agents

(N/A sauf si double agrément en tant qu’établissement de paiement ou de monnaie électronique)

(si des services de paiement sont fournis)

Passeport EEE[11]

 

Reporting SURFI

Reporting COREP

(uniquement l’état CA 1 sur les fonds propres)

Autres conditions particulières

-

- Le cas échant, des exigences de fonds propres s’imposent sur les services de paiement fournis par l’EME

- Pas de services de paiement ou de services connexes

- Monnaie électronique en circulation inférieure à 5M EUR

- Seuil de monnaie électronique par instrument limité à 250 EUR

-

- Pas de transmission de fonds, d’initiation de paiement et d’information sur les comptes

- Volume de paiement inférieur à 3M EUR par mois

-

 

[10] Assurance couvrant spécifiquement la responsabilité civile liée à la fourniture des services de paiement prévus aux 7° et 8° du II de l’article L. 314-1 du Code monétaire et financier.

[11] La libre prestation de services (« LPS ») ou le libre établissement (« LE ») dans un État membre de l’Espace économique européen (« EEE »).

Mis à jour le : 10/01/2022 15:00