RÉPUBLIQUE FRANÇAISE

Avis n° 21-A-05 du 29 avril 2021 portant sur le secteur des nouvelles technologies appliquées aux activités de paiement L’Autorité de la concurrence (section 1B), Vu la décision n° 20-SOA-01 du 13 janvier 2020 relative à une saisine d’office pour avis portant sur le secteur des nouvelles technologies appliquées aux activités financières, enregistrée sous le numéro 20/0013 A ; Vu le livre IV du code de commerce ; Vu les questionnaires adressés par l’Autorité de la concurrence aux opérateurs du secteur ; Vu le document de consultation publique publié par l’Autorité de la concurrence le 20 mai 2020 ; Vu les contributions reçues jusqu’au 19 juin 2020 ; Vu les autres pièces du dossier ; Les représentants de l’Autorité de contrôle prudentiel et de résolution, de la Fédération Bancaire Française, de l’Association France FinTech, de l’Association Libra (devenue l’Association Diem), du GIE Cartes Bancaires et des sociétés Apple, Orange, Paylib, Paypal, Qonto et Visa Europe Limited, entendus lors des auditions du 24 septembre 2020 ; Les rapporteurs, la rapporteure générale adjointe et le commissaire du Gouvernement, entendus lors de la séance du 21 janvier 2021 ; Les représentants de la Banque de France et les représentants du groupe BNP Paribas, entendus sur le fondement de l’article L. 463-7 du code de commerce;

Adopte l’avis suivant :

Synthèse L’Autorité a décidé de se saisir d’office pour avis le 13 janvier 2020 afin de mener une évaluation de la situation concurrentielle du secteur des nouvelles technologies appliquées aux activités financières et, plus particulièrement, aux activités de paiement. L’instruction menée dans ce cadre a permis à l’Autorité de dégager les constats suivants. Au cours des dernières années, grâce à l’innovation technologique et à certains changements réglementaires décidés au niveau européen (adoption notamment de la première et de la deuxième directives sur les services de paiement), le secteur des paiements a connu une évolution importante de l’offre, conduisant à une dynamique de marché nouvelle. Cette dynamique, qui se traduit par l’entrée d’acteurs non-bancaires dans le secteur des paiements, est le fait de deux catégories d’acteurs bien différents. Tout d’abord, ceux que l’on peut rassembler sous l’étendard « FinTech », qui regroupe une myriade d’entités aux profils et modèles économiques très variés : il peut s’agir de petites entreprises innovantes de type « start-up », sans activité préexistante, et connaissant pour certaines un essor européen, voire international, comme N26 par exemple, mais aussi d’acteurs bien établis, issus d’autres secteurs d’activités et disposant d’une base de clientèle déjà constituée, comme Orange ou Carrefour. L’autre agent de disruption majeure du secteur est l’arrivée, rapide et massive, des grands acteurs du numérique dits « BigTech »1. Cette catégorie regroupe tant les GAFAM2, en Europe ou aux États-Unis notamment, que les BATX3, qui ont acquis des positions fortes en Asie, et commencent leur développement vers l’Europe et les États-Unis. Cette dynamique se traduit également par des stratégies d’adaptation à la numérisation des services de paiement mises en place par les acteurs bancaires traditionnels. La mutation du secteur des activités de paiement se manifeste, en premier lieu, par l’apparition, ces dernières années, de multiples nouveaux services, canaux d’initiation et méthodes alternatives de paiement. Des services d’initiation de paiement et d’information sur les comptes ont été créés dans le sillage de la deuxième directive sur les services de paiement (« DSP2 »)4. De nouveaux canaux d’initiation de paiement ont émergé, dont le paiement sans contact par carte bancaire, par téléphone mobile et par montre connectée, dans un contexte caractérisé par la consolidation du paiement à distance sur internet. Par ailleurs, le paiement par reconnaissance faciale pourrait être à l’avenir disponible en Europe. Enfin, sont désormais reconnues par la Banque de France des « méthodes alternatives de paiement », parmi lesquelles figurent les crypto-actifs ainsi que les stable coins (ou « pièces stables »), la deuxième génération de crypto-actifs. Diverses initiatives ayant pour objet de développer ces pièces stables ont récemment vu le jour, telles que celle de la banque JP Morgan, visant à lancer le JPM Coin indexé sur le dollar américain, et celle de l’Association Diem, à laquelle participe notamment Facebook via sa filiale Novi, en vue

1 Le terme « BigTech » désigne de « gigantesques plateformes de services numérisés et de données basées essentiellement aux Etats-Unis ou en Chine » (voir Banque de France, « Paiements et infrastructures de marché à l’ère digitale », rapport, janvier 2021, page 4, lien). 2 Google, Amazon, Facebook, Apple et Microsoft. 3 Baidu, Alibaba, Tencent et Xiaomi. 4 Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n° 1093/2010, et abrogeant la directive 2007/64/CE, JO n° L 337 du 23.12.2015, pages 35 à 127. 2

d’émettre, dans un premier temps, un stable coin à devise unique, le « Diem Dollar », indexé sur le dollar américain. Ces différentes évolutions reposent sur des technologies récentes. Si le secteur a toujours été marqué par des évolutions technologiques majeures, souvent intra sectorielles, comme par exemple l’automatisation du traitement des transactions en temps réel ou le développement des cartes à puce utilisées comme moyen de paiement, il intègre aujourd’hui deux technologies, le cloud computing et la blockchain, qui, bien que ne lui étant pas spécifiques, sont susceptibles de modifier en profondeur et durablement son fonctionnement. Les services de cloud, qui regroupent notamment les solutions d’externalisation du stockage des données, s’imposent, en raison des atouts qu’ils présentent en termes de souplesse et de performance, comme des services incontournables pour de nombreux acteurs du secteur, qu’il s’agisse de nouveaux entrants ou d’acteurs traditionnels. À ce jour utilisée principalement dans le secteur financier pour permettre la réalisation de transactions en crypto-actifs, la blockchain constitue également une technologie particulièrement prometteuse, qui devrait favoriser le développement de services innovants, améliorer la sécurité des opérations de paiement, réduire leur coût et accélérer les transactions transfrontalières. La nouvelle dynamique de marché résultant de ces changements se caractérise non seulement par l’arrivée des FinTech et des BigTech dans le secteur, mais aussi par l’adaptation des groupes bancaires traditionnels, qui participent eux aussi directement et activement aux évolutions en cours. Les acteurs bancaires traditionnels français sont des acteurs engagés de l’évolution du secteur des paiements, et recourent à différentes stratégies complémentaires: ils investissent directement, via des prises de participation, dans les FinTech afin d’internaliser certaines fonctions proposées par ces dernières, créer des synergies ou conquérir de nouveaux marchés ; ils concluent, par ailleurs, des accords de coopération ou de partenariat avec les nouveaux acteurs non-bancaires, notamment les BigTech ; enfin, ils continuent d’investir de façon intensive dans la recherche et le développement pour améliorer leurs services. Les accords conclus entre banques et FinTech permettent aux banques de tirer profit de l’agilité et des innovations des FinTech, tandis que ces dernières bénéficient de la notoriété des banques, de leurs canaux de distribution, de leur base de clientèle ou encore de leur aptitude à maîtriser les contraintes réglementaires. Ceux conclus entre banques et BigTech permettent aux banques de proposer à leurs clients certains services comme Apple Pay, Google Pay ou Samsung Pay par exemple. Enfin, certains accords conclus, au niveau national, entre groupes bancaires ont permis la création d’acteurs nouveaux comme Paylib ou Lyf Pay, qui proposent, notamment, des services de paiement sans contact. Un accord au niveau européen, l’European Payment Initiative ou « EPI », vise à créer un système paneuropéen de paiement qui pourrait permettre de connecter les banques entre elles sans utiliser les réseaux actuels, tels que Visa et MasterCard. Les investissements des banques dans la recherche et le développement prennent notamment la forme d’incubateurs réunissant des start-up du secteur des paiements afin d’accélérer leur transition numérique et d’élargir leur clientèle (par exemple pour atteindre une clientèle plus jeune ou être présents sur des nouveaux services). L’Autorité a analysé l’impact de ces évolutions sur l’équilibre concurrentiel du secteur des paiements, en se concentrant sur l’examen du rapport concurrentiel des produits et services concernés (substituabilité ou complémentarité) et sur l’identification des barrières à l’entrée 3

et à l’expansion ainsi que des avantages concurrentiels détenus par les différentes catégories d’acteurs présents dans le secteur, avant de formuler certains points de vigilance. S’agissant, d’abord, des produits et services concernés, l’Autorité relève que certains marchés du secteur des paiements sont de nature biface. C’est le cas notamment du paiement par carte, qui constitue aujourd’hui le premier moyen de paiement en termes de nombre de transactions, et sur lequel une partie des nouveaux entrants, dont certaines plateformes comme Google ou Apple, s’appuie pour offrir leurs services. Le secteur est également caractérisé par un fort dynamisme, qui se traduit par l’apparition d’une multitude de produits et services innovants, souvent intégrés entre eux ou combinés à des produits ou services préexistants pour en devenir l’accessoire ou pour disparaître en tant que service autonome. Ce dynamisme peut rendre difficile l’identification durable et précise du périmètre des produits ou services offerts sur le marché et donc de la nature du rapport concurrentiel entre ces produits et services. Ces deux caractéristiques peuvent contribuer à rendre l’exercice de définition des marchés pertinents particulièrement complexe, notamment dans le contexte de l’analyse prospective des opérations de concentration. S’agissant, ensuite, des barrières à l’entrée et à l’expansion, l’Autorité constate la présence de barrières d’origine réglementaire et économique ainsi que de barrières liées à l’accès à certaines infrastructures et données. Le secteur est en effet marqué par l’importance de la réglementation, différenciée selon les services proposés, et qui poursuit plusieurs objectifs : par exemple la stabilité du système monétaire et financier, la lutte contre le blanchiment des capitaux et le financement du terrorisme. Par ailleurs, on constate que certaines activités sont hors du champ défini par le code monétaire et financier et échappent ainsi à la supervision qui y est attachée (c’est le cas, par exemple, de prestations qui s’apparentent à des services de paiement sans toutefois relever nécessairement du code monétaire et financier, telles que celles permettant le paiement sans contact par téléphone mobile comme Apple Pay). Les barrières d’origine économique se traduisent par l’existence d’externalités de réseau directes et croisées, particulièrement sur certains marchés bifaces, ainsi que d’économies d’expérience (coûts élevés pour se faire connaître et gagner la confiance des clients) et d’économies d’échelle (existence de coûts fixes importants supportés par les acteurs bancaires liés aux réseaux physiques d’agence et aux systèmes informatiques). L’existence de ces barrières permet d’expliquer la manière dont les FinTech décident d’entrer dans le secteur, en s’appuyant, pour certaines d’entre elles, sur des réseaux de distribution préexistants (par exemple Orange Bank ou Nickel) et en utilisant les nouvelles technologies, dont les services de cloud pour les besoins informatiques par exemple. Les autres barrières identifiées dans le cadre du présent avis concernent les deux situations suivantes. En premier lieu, l’ouverture ou la fermeture de l’accès effectif à l’antenne NFC (pour « near field communication » ou « communication en champ proche ») des smartphones a une véritable incidence sur la capacité des acteurs ayant développé des solutions de paiement mobile sans contact reposant sur la technologie NFC, la plus largement utilisée en France, à pouvoir proposer leurs services sur les appareils équipés d’une telle antenne. En second lieu, il ressort des déclarations de certains acteurs, recueillies au cours de l’instruction du présent avis, que les différentes API développées par les prestataires de services de paiement gestionnaires de comptes (« PSPGC »), dont notamment les banques, dans le cadre de la DSP2, ne seraient toujours pas totalement opérationnelles en France. Cette situation, ainsi que la redirection obligatoire imposée par les PSPGC à leurs clients, 4

afin de permettre leur authentification forte, lorsque ceux-ci ont recours aux prestataires de services d’initiation de paiement ou aux prestataires de services d’information sur les comptes, seraient susceptibles, selon ces déclarations, d’entraver le développement de ces derniers. S’agissant, enfin, des avantages concurrentiels détenus par les différentes catégories d’acteurs présents dans le secteur, les banques disposent de plusieurs avantages, liés à leur position historique. Elles ont acquis une expérience inégalée dans la maîtrise de la conformité aux différentes réglementations applicables et bénéficient d’une forte notoriété ainsi que d’une bonne réputation en matière de sécurité et de protection des données de leurs clients, à un moment où les pratiques de certains grands acteurs du numérique à cet égard font parfois débat. En outre, grâce à leurs solides bases de clients, leurs volumes d’activité leur permettent d’avoir des coûts de traitement unitaire des transactions liées à leurs services de paiement parmi les plus faibles du marché. Elles peuvent en outre facilement les mutualiser avec les autres services qu’elles proposent. Les banques disposent, par ailleurs, d’une bonne connaissance des habitudes de leurs clients, grâce aux volumes et à la qualité des données historiques dont elles disposent, dont certains nouveaux entrants dépendent pour pouvoir proposer leurs services. L’expérience qu’elles ont acquise depuis plusieurs décennies dans la conception et la gestion opérationnelle des solutions de paiement, ainsi que leur capacité à faire valoir leurs intérêts auprès des pouvoirs publics et leur puissance financière, constituent également des avantages concurrentiels significatifs. À la différence des acteurs bancaires traditionnels, les FinTech, y compris les néobanques, supportent des coûts fixes moins élevés, ce qui constitue un avantage concurrentiel. En effet, elles ne supportent ni les coûts liés au maintien des infrastructures interbancaires, ni ceux afférents aux réseaux physiques d’agences bancaires. Elles ne sont pas non plus liées par l’héritage de systèmes d’information anciens et lourds, bâtis sur des technologies parfois obsolètes. Les FinTech peuvent ainsi faire preuve d’agilité, en répondant rapidement aux besoins spécifiques de la vie quotidienne des consommateurs et en se positionnant sur des niches de marché. En outre, elles disposent d’un savoir-faire en matière de simplification du « parcours client » qui favorise la création de solutions de paiement facilement utilisables et adaptées aux nouveaux usages des utilisateurs de ces services. Les grands acteurs du numérique disposent enfin, pour leur part, d’avantages concurrentiels considérables, alors même que leur arrivée dans le secteur des paiements est beaucoup plus récente. Ils disposent d’abord d’une très large communauté d’utilisateurs, issue de leurs activités principales, qui peut leur servir d’appui pour se développer rapidement dans le secteur des paiements comme Apple ou Amazon ont pu le faire, respectivement à travers Apple Pay et Amazon Pay. Par ailleurs, ils ont accès à d’importants volumes de données concernant les utilisateurs de leurs services non financiers, avantage qu’ils peuvent coupler avec la maîtrise des nouvelles technologies telles que l’intelligence artificielle et des instruments algorithmiques permettant de traiter et d’analyser de telles données. Grâce à ces atouts très puissants, ils peuvent développer une capacité à mieux évaluer la santé financière de leurs utilisateurs et à adapter leurs offres à leurs préférences ou à leurs besoins, y compris en estimant leur disposition maximale à payer. Les BigTech bénéficient par ailleurs d’une puissance financière considérable, qui leur permet notamment d’effectuer des investissements conséquents dans différentes nouvelles technologies facilitant le développement de solutions de paiement innovantes. Grâce à la maîtrise technique de leurs écosystèmes, structurés pour la plupart autour de plateformes, dans lesquels sont intégrées leurs solutions de paiement, les grands acteurs du numérique sont capables d’offrir un « parcours client » très fluide et performant, difficilement réplicable 5

par leurs concurrents. De plus, en raison d’économies de gamme, ils font face à des coûts marginaux moins élevés que ceux supportés, par exemple, par les acteurs bancaires traditionnels, ce qui renforce leur capacité à offrir aux consommateurs leurs solutions de paiement à titre gratuit. Ils peuvent, dans le même temps, obtenir des avantages conséquents de la part de leurs partenaires ou prestataires s’agissant des services de paiement, y compris sous forme de commissions, du fait du caractère incontournable de leurs services. Enfin, les grands acteurs du numérique jouissent, avec bien sûr des spécificités propres à chaque acteur, d’une image de marque et d’une notoriété susceptibles de favoriser, dans le cadre de la prestation de leurs solutions de paiement, la fidélisation de certains utilisateurs, en particulier les plus jeunes dans le contexte des avantages offerts par leur écosystème. À la lumière de ces éléments, l’Autorité relève les points de vigilance suivants. En premier lieu, l’Autorité a identifié certains risques concurrentiels liés, d’une part, à certains avantages concurrentiels détenus par les BigTech et à ceux détenus par les banques et, d’autre part, à l’utilisation de la technologie blockchain. Les données récoltées par les BigTech dans le cadre de leurs activités de cœur de métier pourraient leur procurer un avantage non négligeable dans le secteur des paiements et, réciproquement, les données collectées via les services de paiement qu’elles proposent pourraient leur permettre de renforcer l’attractivité de leurs plateformes respectives. Par ailleurs, au-delà des éventuelles barrières pouvant découler des modalités d’accès effectives aux antennes NFC des smartphones, certaines pratiques relatives aux solutions de paiement sans contact mobile, dont la préinstallation dans certains téléphones de solutions ou la mise en place de raccourcis ergonomiques facilitant l’accès à une solution donnée, pourraient présenter des risques pour la concurrence, par exemple si elles conduisaient au verrouillage des consommateurs dans un écosystème donné ou pouvaient être regardées, plus généralement, comme des abus de position dominante. Dans le cadre de la mise en œuvre des obligations découlant de la DSP2 et du règlement délégué 2018/389 de la Commission européenne5, il ressort de l’instruction qu’il convient d’être vigilant sur le comportement des PSPGC, lié à la détention des données des comptes de paiement accessibles en ligne et, surtout, aux conditions de leur mise à disposition, et de veiller notamment à ce qu’il n’entrave le développement des activités exercées par les prestataires de services d’initiation de paiement et d’information sur les comptes. S’agissant des risques concurrentiels susceptibles de découler de l’utilisation de la technologie blockchain, non spécifiques au secteur des paiements mais susceptibles de s’y matérialiser, ceux-ci peuvent relever aussi bien des règles prohibant les ententes anticoncurrentielles que de celles interdisant les abus de position dominante et être le fait des acteurs contrôlant l’accès à la chaîne de blocs, des utilisateurs de la chaîne de blocs ou encore des « mineurs ». En second lieu, l’Autorité note que, si les évolutions en cours conduisent à accroître l’offre et améliorer la qualité et la diversité des produits et services offerts, tout en exerçant une pression sur les prix en faveur des consommateurs, elles sont également susceptibles de conduire à une modification profonde du fonctionnement actuel du secteur, notamment par la possible remise en cause du modèle de la banque universelle, qui permet d’assurer certains

5 Règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/2366 du Parlement européen et du Conseil par des normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication, JO n° L 69 du 13.3.2018, pages 23 à 43. 6

services, comme le dépôt et l’encaissement des chèques et espèces, jugés « non-rentables » si offerts isolément. Pour conclure, s’il apparaît improbable aujourd’hui d’envisager un scénario dans lequel les FinTech s’émanciperaient entièrement du système bancaire en créant leurs propres infrastructures, il apparaît que, sans disposer de l’expérience des banques dans le secteur des paiements, les BigTech maîtrisent, voire contrôlent, certaines technologies innovantes pouvant, à l’avenir, jouer un rôle déterminant dans la chaîne de services. Leur présence dans le secteur des paiements pourrait ainsi être renforcée, notamment via la conclusion de nouveaux partenariats avec les acteurs bancaires. Il existe ainsi un risque pour les acteurs bancaires traditionnels qu’ils se trouvent cantonnés à des tâches d’exécution comportant pour eux des coûts fixes importants (charges réglementaires, réseau physique, infrastructures de paiement), tout en étant marginalisés dans la chaîne de répartition de la valeur.

7

I. LE PAYSAGE CONCURRENTIEL DU SECTEUR DES PAIEMENTS : UN RYTHME ELEVE D’INNOVATION ET DES AVANCEES DU CADRE REGLEMENTAIRE …………………………. 13 A. L’APPARITION DE NOUVEAUX SERVICES ET CANAUX D’INITIATION DE PAIEMENT AINSI QUE DE METHODES DE PAIEMENT ALTERNATIVES ET LE DEVELOPPEMENT DE NOUVELLES TECHNOLOGIES ………………………………………………………… 13 1. UNE EVOLUTION RECENTE DE L’OFFRE DANS LE SECTEUR DES PAIEMENTS MARQUEE PAR UNE FORTE INNOVATION ……………………………………………….. 13 a) La création par la DSP2 de deux nouvelles catégories de services de paiement ……………………………………………………………………………………… 13 b) Une diversification des canaux d’initiation de paiement ………………… 16 La consolidation du paiement à distance sur internet ……………………. 16 L’essor du paiement sans contact …………………………………………………. 18 La poursuite de la progression du paiement sans contact par carte bancaire …………………………………………………………………………………… 18 Le développement du paiement sans contact par téléphone mobile ….. 19 L’apparition du paiement sans contact par montre connectée …………. 24 L’avenir du paiement sans contact : le paiement par reconnaissance faciale ………………………………………………………………………………………. 25 c) L’irruption de méthodes de paiement alternatives …………………………. 26 Les moyens de paiement au sens de l’article L. 311-3 du code monétaire et financier …………………………………………………………………………………… 27 L’émergence des crypto-actifs ………………………………………………………. 29 Le lancement d’initiatives visant à développer des stable coins, la deuxième génération de crypto-actifs ……………………………………………. 31 Les réflexions autour de l’éventuelle émission d’une « monnaie numérique de banque centrale » au niveau de la zone euro ……………. 33 2. LE SECTEUR DES PAIEMENTS AU CŒUR DE L’EVOLUTION TECHNOLOGIQUE 34 a) Un secteur des paiements marqué par une constante évolution technologique ………………………………………………………………………………. 34 Les évolutions technologiques fondatrices des systèmes de paiement de détail ……………………………………………………………………………………………. 34 Les évolutions technologiques fondatrices du paiement en ligne et du paiement mobile …………………………………………………………………………… 38 b) Un secteur marqué par l’avènement du cloud et de la blockchain ….. 39 La place grandissante des services de « cloud (computing) » dans le secteur des paiements …………………………………………………………………… 39 Caractéristiques générales des services de cloud ………………………….. 39 8

Le recours aux services de cloud par les prestataires de services de paiement …………………………………………………………………………………… 41 La blockchain, une technologie au service notamment de la réalisation de transactions en crypto-actifs …………………………………………………….. 42 Les principales caractéristiques de la technologie blockchain ………… 43 Les différents types de blockchain ……………………………………………….. 45 L’impact de la blockchain dans le secteur des paiements ……………….. 46 B. UNE NOUVELLE DYNAMIQUE DE MARCHE : L’ARRIVEE DE NOUVEAUX ACTEURS ET L’ADAPTATION DES GROUPES BANCAIRES TRADITIONNELS…………………………………………………………. 47 1. L’ARRIVEE DE NOUVEAUX ACTEURS ……………………………………………………. 48 a) L’émergence de FinTech proposant des services de paiement ………… 48 b) L’entrée des BigTech …………………………………………………………………… 53 Services proposés en France par les GAFA …………………………………… 54 Google ……………………………………………………………………………………… 54 Apple ……………………………………………………………………………………….. 55 Amazon …………………………………………………………………………………….. 56 Facebook ………………………………………………………………………………….. 56 Services proposés en France par les BATX……………………………………. 58 Des modèles d’affaires et des stratégies d’entrée variées ………………… 59 2. L’ADAPTATION DES ACTEURS BANCAIRES TRADITIONNELS …………………….. 61 a) Prises de participation dans le capital des FinTech ……………………….. 61 La diversité des FinTech concernées …………………………………………….. 63 La diversité des stratégies des groupes bancaires…………………………… 63 b) De nombreux accords de coopération et partenariats ……………………. 64 Accords entre les groupes bancaires et les FinTech ……………………….. 65 Accords entre les groupes bancaires et les BigTech ……………………….. 66 Accords entre groupes bancaires ………………………………………………….. 68 Accords entre groupes bancaires français ……………………………………. 68 Un accord entre groupes bancaires européens : l’European Payments Initiative (EPI) ………………………………………………………………………….. 68 c) Investissements dans la recherche et le développement ………………….. 69 II. ANALYSE CONCURRENTIELLE A LA LUMIERE DES EVOLUTIONS CONSTATEES …………………………………………………. 71 A. LES PRODUITS ET SERVICES CONCERNES …………………………………… 71 1. CARACTERISTIQUES SPECIFIQUES DES MARCHES DU SECTEUR DES PAIEMENTS …………………………………………………………………………………………………………. 72 9

a) Marchés bifaces et plateformes multi-faces …………………………………… 72 b) Caractère dynamique du secteur ………………………………………………….. 74 2. LE RAPPORT CONCURRENTIEL ENTRE SERVICES DES ACTEURS BANCAIRES TRADITIONNELS ET SERVICES DES NOUVEAUX ENTRANTS ……………………….. 76 a) De nouveaux services dépendants des infrastructures bancaires en place ……………………………………………………………………………………………. 76 b) La nature du rapport entre nouveaux services et services traditionnels ………………………………………………………………………………… 79 Analyse des liens de substituabilité et/ou de complémentarité ………… 79 Des liens en évolution rapide ………………………………………………………… 83 B. LES BARRIERES A L’ENTREE ET À L’EXPANSION ……………………….. 84 1. BARRIERES D’ORIGINE REGLEMENTAIRE ………………………………………………. 84 a) Un secteur très réglementé …………………………………………………………… 84 b) Une réglementation différenciée selon les services proposés voire inapplicables à certains acteurs présents dans le secteur ……………….. 86 c) Une réglementation européenne qui favorise le « forum shopping » en fonction des moyens et pratiques de supervision des régulateurs des États membres …………………………………………………………………………….. 88 2. BARRIERES D’ORIGINE ECONOMIQUE …………………………………………………… 88 a) L’existence d’externalités de réseau, particulièrement puissantes sur certains marchés bifaces ………………………………………………………………. 89 b) L’existence d’économies d’expérience et d’économies d’échelle …….. 91 L’existence d’économies d’expérience …………………………………………… 91 L’existence d’économies d’échelle …………………………………………………. 92 3. BARRIERES LIEES A L’ACCES A CERTAINES INFRASTRUCTURES TECHNOLOGIQUES ET CERTAINES DONNEES ………………………………………….. 93 a) L’accès effectif à l’antenne NFC des smartphones …………………………. 93 b) L’accès aux données permettant à certaines FinTech de proposer leurs services de paiement dans le cadre de l’application de la directive DSP2 ……………………………………………………………………………………………………. 95 C. LES AVANTAGES CONCURRENTIELS ………………………………………….. 101 1. LES AVANTAGES CONCURRENTIELS DETENUS PAR LES ACTEURS BANCAIRES TRADITIONNELS ……………………………………………………………………………….. 101 2. LES AVANTAGES CONCURRENTIELS DES FINTECH PROPOSANT DES SERVICES DE PAIEMENT ……………………………………………………………………………………. 102 3. LES AVANTAGES CONCURRENTIELS DES BIGTECH ………………………………. 104 D. POINTS D’ATTENTION ET PERSPECTIVES POUR L’AVENIR …….. 108 1. POINT D’ATTENTION SUR LES RISQUES CONCURRENTIELS QUI POURRAIENT SURVENIR DANS LE SECTEUR DES PAIEMENTS ………………………………………. 108 10

a) Sur les risques concurrentiels liés aux avantages concurrentiels détenus par les différents acteurs présents dans le secteur des paiements …. 108 S’agissant des risques concurrentiels liés aux avantages concurrentiels détenus par les BigTech ……………………………………………………………… 108 S’agissant des risques concurrentiels liés aux avantages concurrentiels détenus par les acteurs bancaires traditionnels ……………………………. 111 b) Sur les risques concurrentiels susceptibles de découler de l’utilisation de la technologie blockchain ……………………………………………………….. 113 S’agissant des risques concurrentiels liés à l’usage de la blockchain en tant qu’infrastructure technologique…………………………………………… 113 Les risques concurrentiels associés à des pratiques susceptibles d’être mises en œuvre par le (ou les) acteur(s) contrôlant l’accès au réseau …………………………………………………………………………………….. 114 Les risques concurrentiels associés aux informations échangées par les utilisateurs du réseau ……………………………………………………………….. 115 Les risques concurrentiels associés aux activités exercées par les mineurs dans le cadre des chaînes de blocs utilisant la preuve de travail comme protocole de consensus ………………………………………………….. 116 S’agissant des risques concurrentiels liés aux solutions logicielles pouvant être développées sur la blockchain …………………………………. 117 2. OUVERTURE SUR LES EVOLUTIONS POSSIBLES DU SECTEUR A LA LUMIERE DES CONSTATATIONS ………………………………………………………………………………. 117

11

1. Le secteur bancaire et financier connaît depuis déjà quelques années, comme d’autres secteurs particulièrement exposés à la transformation numérique, des évolutions importantes qui se traduisent par un bouleversement des équilibres concurrentiels. 2. S’agissant plus particulièrement du secteur des paiements, qui a attiré en 2019 presque un tiers du total des investissements réalisés en France dans des start-ups spécialisées dans les nouvelles technologies appliquées aux activités financières6, celui-ci s’est caractérisé, du côté de la demande, par l’émergence de nouvelles attentes des consommateurs, découlant des immenses possibilités offertes par le développement du numérique et, du côté de l’offre, par l’arrivée d’acteurs non-bancaires et l’adaptation des acteurs bancaires traditionnels à ces évolutions. 3. Dans le contexte de ces différents changements structurels, sont apparus, ces dernières années, de nouveaux services et canaux d’initiation de paiement, ainsi que des « méthodes de paiement alternatives » telles que les crypto-actifs ou les stable coins (ou « pièces stables »), dont le développement a été rendu possible grâce, notamment, à d’importantes innovations technologiques. 4. Au regard de l’ensemble de ces développements, l’Autorité de la concurrence (ci-après, « l’Autorité ») s’est saisie d’office pour avis le 13 janvier 20207, en application de l’article L. 462-4 du code de commerce, afin de procéder à une analyse de la dynamique concurrentielle de ce secteur en profonde mutation. 5. Dans le cadre du présent avis, la notion de « FinTech » est entendue comme regroupant les acteurs non-bancaires présents dans le secteur des paiements, à l’exception des « BigTech », et dont les profils et modèles varient parfois significativement. 6. La notion de « BigTech » renvoie, quant à elle, à de « gigantesques plateformes de services numérisés et de données basées essentiellement aux Etats-Unis ou en Chine »8. Elle est donc employée dans cet avis pour faire référence aux grands acteurs du numérique regroupant les « GAFAM » (Google, Apple, Facebook, Amazon et Microsoft) et les « BATX » (Baidu, Alibaba, Tencent et Xiaomi).

6 L’Observatoire de la FinTech a intégré, dans le calcul du financement, l’ensemble des sociétés identifiées comme appartenant aux métiers, catégorisés comme tels par l’observatoire, suivants : services aux acteurs financiers, services de paiement, services d’investissement, AssurTech, services de financement, RegTech, blockchain et crypto-actifs, middle et back office et services bancaires 2.0 et néobanques. 7 Décision de l’Autorité de la concurrence n° 20-SOA-01 du 13 janvier 2020 relative à une saisine d’office pour avis portant sur le secteur des nouvelles technologies appliquées aux activités financières. 8 Banque de France, rapport de janvier 2021, précité, page 4. 12

I. Le paysage concurrentiel du secteur des paiements : un rythme élevé d’innovation et des avancées du cadre réglementaire A. L’APPARITION DE NOUVEAUX SERVICES ET CANAUX D’INITIATION DE PAIEMENT AINSI QUE DE METHODES DE PAIEMENT ALTERNATIVES ET LE DEVELOPPEMENT DE NOUVELLES TECHNOLOGIES 1. UNE EVOLUTION RECENTE DE L’OFFRE DANS LE SECTEUR DES PAIEMENTS MARQUEE PAR UNE FORTE INNOVATION 7. Le secteur des paiements a été marqué, ces dernières années, par l’apparition de nouveaux services de paiements, rendue possible notamment par les évolutions technologiques et, dans une moindre mesure, par l’évolution de la législation européenne (a), la multiplication des canaux d’initiation de paiement (b) et l’émergence des crypto-actifs qui, bien que ne répondant pas à la définition de moyens de paiement au sens de l’article L. 311-3 du code monétaire et financier9 (ci-après « CMF »), sont considérés par la Banque de France comme étant une « méthode de paiement alternative » (c). a) La création par la DSP2 de deux nouvelles catégories de services de paiement 8. La première directive sur les services de paiement10 (ci-après « DSP1 »), adoptée le 13 novembre 2007, a défini pour la première fois, au niveau européen, la notion de « services de paiement ».

9. La liste des activités exercées à titre professionnel relevant de cette notion et figurant en annexe à la directive a été transposée en droit français, à l’article L. 314-1 du CMF, par l’ordonnance n° 2009-866 du 15 juillet 200911. 10. Dans un contexte marqué par les progrès technologiques et l’apparition, depuis l’adoption de la DSP1, de nouveaux types de services de paiement, la deuxième directive sur les services de paiement12 (ci-après « DSP2 »), adoptée le 25 novembre 2015, en a créé deux supplémentaires : • les services d’initiation de paiement, qui permettent « à une personne physique ou morale d’ordonner l’exécution d’opérations de paiement, par exemple des virements, à partir d’une interface (site internet et/ou application mobile) qui n’est

9 Selon l’article L. 311-3 du CMF, « sont considérés comme moyens de paiement tous les instruments qui permettent à toute personne de transférer des fonds, quel que soit le support ou le procédé technique utilisé ». 10 Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE, JO n° L 319 du 5.12.2007, pages 1 à 36. 11 Ordonnance n° 2009-866 du 15 juillet 2009 relative aux conditions régissant la fourniture de services de paiement et portant création des établissements de paiement. 12 Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015, précitée. 13

pas forcément celle de la banque dans laquelle son compte (ou ses comptes) est (sont) détenu(s) »13 ; et • les services d’information sur les comptes, qui permettent « à une personne physique ou morale de regrouper sur une seule interface (site internet et/ou application mobile) les informations sur les soldes et les opérations réalisées sur plusieurs ou l’ensemble de ses comptes »14. 11. Ces nouveaux services peuvent être fournis par l’ensemble des prestataires de services de paiement, c’est-à-dire par « les établissements habilités à tenir des comptes de paiement pour le compte de leur clientèle et à émettre des moyens de paiement »15, mais également par des acteurs dont l’activité est dédiée à la fourniture de ces services (les prestataires de services d’initiation de paiement et les prestataires de services d’information sur les comptes). 12. Depuis la transposition de la DSP2 en droit français en août 201716, les services d’initiation de paiement et les services d’information sur les comptes font partie de la liste des services de paiement prévue par l’article L. 314-1 du CMF.

13. Dans sa version actuellement en vigueur, cet article du CMF prévoit donc que : « Sont des services de paiement : 1° Les services permettant le versement d’espèces sur un compte de paiement et les opérations de gestion d’un compte de paiement ; 2° Les services permettant le retrait d’espèces sur un compte de paiement et les opérations de gestion d’un compte de paiement ; 3° L’exécution des opérations de paiement suivantes associées à un compte de paiement : a) Les prélèvements, y compris les prélèvements autorisés unitairement ; b) Les opérations de paiement effectuées avec une carte de paiement ou un dispositif similaire ; c) Les virements, y compris les ordres permanents ; 4° L’exécution des opérations de paiement suivantes associées à une ouverture de crédit : a) Les prélèvements, y compris les prélèvements autorisés unitairement ; b) Les opérations de paiement effectuées avec une carte de paiement ou un dispositif similaire ; c) Les virements, y compris les ordres permanents ; 5° L’émission d’instruments de paiement et / ou l’acquisition d’opérations de paiement ; 6° Les services de transmission de fonds ; 7° Les services d’initiation de paiement ; 8° Les services d’information sur les comptes ».

13 Voir site internet d’Assurance Banque Epargne Info Service (lien). 14 Voir site internet d’Assurance Banque Epargne Info Service (lien). 15 Banque de France, rapport de janvier 2021, précité, page 20. 16 Ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur. 14

14. Le tableau ci-dessous fournit, pour chacun des services de paiement listés à l’article L. 341-1 du CMF, des exemples de FinTech proposant en France l’un au moins de ces services17 : Tableau n° 1 – Exemples de services de paiement proposés par des FinTech Services de paiement énumérés à l’article L. 314-1 du CMF FinTech proposant de tels services 1° Les services permettant le versement d’espèces sur un compte de paiement et les opérations de gestion d’un compte de paiement

2° Les services permettant le retrait d’espèces sur un compte de paiement et les opérations de gestion d’un compte de paiement

3° L’exécution des opérations de a) Les prélèvements, y compris paiement suivantes associées à un les prélèvements autorisés compte de paiement unitairement

b) Les opérations de paiement effectuées avec une carte de paiement ou un dispositif similaire

c) Les virements, y compris les ordres permanents

4° L’exécution des opérations de a) Les prélèvements, y compris paiement suivantes associées à les prélèvements autorisés une ouverture de crédit unitairement

b) Les opérations de paiement effectuées avec une carte de paiement ou un dispositif similaire

c) Les virements, y compris les ordres permanents

5° L’émission d’instruments de paiement

5° L’acquisition d’opérations de paiement

6° Les services de transmission de fonds

7° Les services d’initiation de paiement

8° Les services d’information sur les comptes

Source : Élaboration par l’Autorité de la concurrence à partir du dossier d’instruction.

17 Il est important de noter que, à l’exception de Monisnap et Transaction Connect, toutes les autres FinTech figurant dans le tableau proposent également en France des services de paiement autres que ceux qui sont mentionnés dans le tableau. 15

b) Une diversification des canaux d’initiation de paiement 15. Pour ce qui relève de l’initiation de paiement, les canaux se sont multipliés et permettent aujourd’hui notamment le paiement à distance sur internet ou le paiement sans contact18. 16. Ces deux modes d’initiation de paiement ont en commun de s’appuyer sur des moyens de paiement existants, tels que la carte bancaire, et de mettre en relation en temps réel les différentes parties à la transaction (le payeur, le bénéficiaire et leurs prestataires teneurs de comptes respectifs)19. Ils soulèvent également des problématiques nouvelles en matière de sécurisation des transactions. La consolidation du paiement à distance sur internet 17. La diffusion du réseau internet, la multiplication des terminaux reliés à internet ainsi que l’essor du commerce électronique ont entraîné une augmentation significative des paiements par carte bancaire à distance. Comme l’indique la Banque de France dans son rapport de janvier 2021 intitulé « Paiements et infrastructures de marché à l’ère digitale », « les volumes et les montants de paiements par carte à distance ont ainsi été multipliés par 9 entre 2006 et 2016 »20. En volume, ces paiements ont poursuivi leur progression, en passant de 800 millions de transactions à 1 800 millions de transactions entre 2016 et 202021. Pour ce qui relève plus concrètement de l’impact de la crise sanitaire de la Covid-19 sur ce canal d’initiation de paiement, il convient de noter que le confinement de la population française, entre le 16 mars 2020 et le 10 mai 2020, s’est traduit par une croissance des paiements par carte bancaire à distance, reflétant la transition des échanges de proximité vers les échanges à distance du fait de la fermeture de très nombreux commerces22, comme l’illustre la figure ci-dessous :

Figure n° 1 – Évolution de la structure des flux de paiement en volume imputable à la crise (en %)

Source : Observatoire de la sécurité des moyens de paiement, « Rapport annuel 2019 », page 8.

18 Banque de France, rapport de janvier 2021, précité, page 33. 19 Observatoire de la sécurité des moyens de paiement, « Rapport annuel 2018 », juillet 2019, rapport, page 41 (lien). 20 Banque de France, rapport de janvier 2021, précité, page 33. 21 Voir site internet du Groupement des Cartes Bancaires CB (lien). 22 Observatoire de la sécurité des moyens de paiement, « Rapport annuel 2019 », décembre 2020, rapport, pages 7 et 8 (lien). 16

18. L’amélioration de la sécurisation des achats en ligne a sans doute contribué également à la progression des paiements par carte bancaire à distance. En 2008, le protocole « 3D-Secure », développé par Visa et MasterCard et visant à permettre à la banque émettrice de la carte bancaire d’authentifier le payeur afin de lutter contre la fraude23, a été implanté en France. Son fonctionnement peut être schématisé de la manière suivante :

Figure n° 2 – Fonctionnement du protocole « 3D-Secure »

Source : Banque de France, « Paiements et infrastructures de marché à l’ère digitale », janvier 2021, page 57. 19. Dans le cadre de ce protocole, dont il existe une seconde version permettant le recours aux cas d’exemption à l’authentification prévus par la DSP224, l’authentification forte du payeur repose aujourd’hui sur l’utilisation d’au moins deux des trois éléments, dont le chiffre exact sera déterminé par chaque prestataire de services de paiement gestionnaire de comptes (ci-après « PSPGC »), appartenant aux catégories suivantes : « connaissance » (quelque chose que seul le payeur connaît, par exemple un mot de passe ou un code numérique), « possession » (quelque chose que seul le payeur possède, par exemple son téléphone portable) et « inhérence » (quelque chose que le payeur « est », par exemple ses empreintes digitales ou sa voix)25. 20. Il est d’ailleurs intéressant de noter que les efforts en matière de sécurisation des transactions en ligne semblent avoir porté, au moins partiellement, leurs fruits. Comme l’indique l’Observatoire de la sécurité des moyens de paiements, pour ce qui relève des paiements par carte bancaire à distance, « le taux de fraude s’inscrit à nouveau en baisse, pour la huitième année consécutive à 0,170 %, contre 0,173 % en 2018 sous l’effet de la croissance des

23 Banque de France, rapport de janvier 2021, précité, page 57. 24 Observatoire de la sécurité des moyens de paiement, rapport de décembre 2020, précité, page 17. 25 Voir la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 précitée, article 4 ; le site internet d’Assurance Banque Epargne Info Service (lien) et le site internet de la Commission européenne (lien). 17

transactions à distance (+ 12 % en valeur par rapport à 2018) »26. Néanmoins, la fraude sur ce type de paiements représente toujours, en valeur, la majeure partie de la fraude nationale27. Figure n° 3 – Comparaison des taux de fraude sur les transactions nationales, par type de transactions (en %)

Source : Observatoire de la sécurité des moyens de paiement, « Rapport annuel 2019 », page 22. 21. Comparés au nombre de paiements par carte de proximité (effectués sur le terminal d’un commerçant), ceux réalisés par carte bancaire à distance restent toutefois relativement minoritaires. En effet, en 2020, les paiements par carte bancaire à distance ont représenté, en volume, 14,1 % des paiements par carte de proximité28. L’essor du paiement sans contact 22. Dans le domaine de l’initiation des paiements, le développement du paiement sans contact est intervenu postérieurement à celui du paiement à distance sur internet29.

23. En France, il est ainsi aujourd’hui possible d’initier un paiement sans contact à partir d’une carte bancaire, d’un téléphone mobile ou d’une montre connectée. À l’image de ce qui se passe en Chine, le paiement par reconnaissance faciale pourrait être à l’avenir disponible en Europe (voir infra, paragraphes 42 à 46).

La poursuite de la progression du paiement sans contact par carte bancaire 24. Toute carte bancaire disposant du pictogramme permet à son détenteur, sous réserve que la fonctionnalité soit activée, d’initier un paiement en l’approchant de quelques centimètres

26 Observatoire de la sécurité des moyens de paiement, rapport de décembre 2020, précité, page 22. 27 Idem supra. 28 Voir site internet du Groupement des cartes bancaires (lien). 29 FOREL, J-Y., « Les moyens de paiement, quelle innovation ? », Revue d’économie financière 2015/4 (n° 120), pages 93 à 104 (lien). 18

du terminal de paiement sans contact du commerçant, et cela sans que son détenteur ait besoin de saisir son code confidentiel30 : Figure n° 4 – Comment utiliser le paiement sans contact par carte bancaire ? 31

25. Ce canal d’initiation de paiement a connu un essor considérable ces dernières années. Selon l’Observatoire de la sécurité des moyens de paiement, l’usage de la carte bancaire progresse sous l’effet notamment de « la poursuite du développement des paiements sans contact qui ont représenté en 2019, 3,8 milliards d’opérations (+ 59 % par rapport à 2018) pour un montant total de 42,9 milliards d’euros (+ 70 % par rapport à 2018) »32. 26. Originairement limité à 30 euros par opération pour les cartes émises à compter du 1^er octobre 2017, le plafond applicable à chaque paiement sans contact a été élevé, sur recommandation de l’Autorité bancaire européenne (ci-après « l’ABE »), à 50 euros depuis le 11 mai 2020 en réponse à la crise sanitaire de la Covid-1933. Selon l’Observatoire de la sécurité des moyens de paiement, ce relèvement du plafond de paiement autorisé, combiné au déconfinement, a entraîné, à compter de juillet 2020, une augmentation, de plus de 60 % en volume et 120 % en valeur, du nombre de paiements sans contact par rapport à 201934. 27. En 2020, les paiements sans contact en France ont représenté 47 % des transactions par cartes bancaires réalisées dans les commerces physiques35. Le développement du paiement sans contact par téléphone mobile 28. Tout en reposant sur l’infrastructure monétique de paiement sans contact par carte bancaire36, les téléphones mobiles sont de plus en plus utilisés en France pour l’initiation de paiements sans contact37. Les transactions nationales par équipements de téléphonie mobile ont ainsi été un peu plus de 4 fois plus importantes en 2019 qu’en 2018, pour atteindre les 45,2 millions d’opérations en 201938. À titre de comparaison, en 2019, les transactions par équipements de téléphonie mobile ont dépassé en Chine les 100 milliards d’opérations39. 29. En France, la part des paiements par téléphone mobile dans les transactions de proximité reste encore limitée, à 0,10 % des transactions nationales de proximité40.

30 Voir site internet d’Assurance Banque Epargne Info Service (lien). 31 Voir site internet d’Assurance Banque Epargne Info Service (lien). 32 Observatoire de la sécurité des moyens de paiement, rapport de décembre 2020, précité, page 17. 33 Voir l’ordonnance n° 2020-534 du 7 mai 2020 portant diverses dispositions en matière bancaire. 34 Observatoire de la sécurité des moyens de paiement, rapport de décembre 2020, précité, page 9. 35 Le Figaro, « Les paiements sans contact ont explosé en 2020 », 15 janvier 2021 (lien). 36 Observatoire de la sécurité des moyens de paiement, rapport de juillet 2019, précité, page 68. 37 Banque de France, rapport de janvier 2021, précité, page 33. 38 Observatoire de la sécurité des moyens de paiement, rapport de décembre 2020, précité, page 32. 39 Voir site internet de Statista (lien). 40 Observatoire de la sécurité des moyens de paiement, rapport de juillet 2019, précité, page 25. 19

30. Deux conditions doivent être remplies pour que l’utilisateur d’un téléphone mobile puisse initier un paiement sans contact via ce support. D’une part, le téléphone mobile doit être équipé d’une technologie rendant possible une telle initiation de paiement, la technologie de communication sans contact « NFC (near field communication) » (ou « communication en champ proche ») étant la plus largement utilisée en France par les acteurs du secteur41 (pour une description de la technologie NFC, voir infra, paragraphe 82). D’autres technologies, comme le QR code42 (quick response code, qui signifie code à réponse rapide) sur lequel reposent les solutions de paiement mobile sans contact proposées par des acteurs tels que Lydia ou Lyf Pay, sont également utilisées de nos jours. D’autre part, la banque émettrice de la carte bancaire de l’utilisateur doit avoir noué des partenariats avec un ou plusieurs acteurs proposant des solutions de paiement sans contact par téléphone mobile afin de permettre à l’utilisateur d’associer sa carte bancaire à une ou plusieurs de ces solutions43.

31. Celles-ci correspondent généralement à des « portefeuilles électroniques », appelés également portefeuilles numériques, qui permettent « à un utilisateur de confier à un tiers, jugé de confiance, des données de paiement et des données personnelles »44. L’utilisateur peut ainsi dématérialiser une ou plusieurs de ses cartes bancaires dans son portefeuille électronique, en vue de pouvoir initier ultérieurement des paiements sans avoir à saisir, à chaque transaction, des informations sensibles telles que les données de la carte bancaire utilisée45.

32. Les détenteurs des modèles de téléphone de marque Apple compatibles avec le service Apple Pay46 ne peuvent, pour initier un paiement mobile sans contact à partir d’une solution reposant sur la technologie NFC, utiliser que la solution développée par Apple pour les téléphones utilisant le système d’exploitation iOS, dénommée Apple Pay47. Ils ne peuvent ainsi utiliser, pour des raisons, de sécurité et de prévention de la fraude, de protection de la vie privée des utilisateurs et de performance, avancées par Apple48, d’autres solutions de type « portefeuille électronique » (ou « wallet » pour utiliser le nom de la solution utilisée par Apple sur l’iPhone) reposant également sur la technologie NFC. 33. Quant aux détenteurs d’un téléphone utilisant la version 5 ou toute version ultérieure du système d’exploitation Android49, ils peuvent choisir entre la solution Google Pay, préinstallée sur certains de ces téléphones50 ou téléchargeable, et toute autre solution

41 Voir, à ce sujet, les paragraphes 81 à 82. 42 Le QR code est généré sur le smartphone du consommateur et scanné par le commerçant grâce à l’appareil photo d’un smartphone ou d’une tablette ou d’un scanner dédié. 43 Voir site internet d’Assurance Banque Epargne Info Service (lien). 44 Observatoire de la sécurité des cartes de paiement, « Rapport annuel 2011 », janvier 2012, rapport, page 38 (lien). 45 Idem supra. 46 Les modèles d’iPhone avec Face ID et les modèles d’iPhone avec Touch ID, à l’exception de l’iPhone 5s, sont, au jour de la rédaction du présent avis, les seuls modèles de téléphone de marque Apple compatibles avec Apple Pay (voir site internet d’Apple (lien)). 47 Observatoire de la sécurité des moyens de paiement, rapport de juillet 2019, précité, page 68. 48 Cotes 3 750 et 4 813. 49 Voir site internet de Google (lien). 50 Voir site internet de Google (lien). 20

concurrente reposant sur la technologie NFC51, à l’exception d’Apple Pay (cette dernière étant uniquement compatible avec certains modèles de téléphone de marque Apple), telle que par exemple Paylib. Cette dernière solution, développée par plusieurs groupes bancaires français52, doit être activée dans l’application en ligne de la banque de l’utilisateur pour pouvoir être utilisée53. S’agissant enfin des détenteurs de modèles de téléphone de marque Samsung compatibles avec Samsung Pay54 et utilisant la version 5 ou toute version ultérieure du système d’exploitation Android, ceux-ci ont, en plus, accès à la solution Samsung Pay, qui est soit préinstallée par défaut sur certains modèles, soit disponible au téléchargement55.

34. Le tableau ci-dessous résume, en fonction du modèle et de la marque de téléphone détenu par l’utilisateur, les différentes solutions de portefeuilles électroniques reposant sur la technologie NFC, présentes en France, pouvant être utilisées par celui-ci :

51 Il convient de noter que les détenteurs d’un téléphone utilisant la version 5 ou toute version ultérieure du système d’exploitation Android ne pourront utiliser la solution Samsung Pay que s’ils détiennent un modèle de téléphone de marque Samsung compatible avec cette solution. 52 Voir infra, paragraphe 184. 53 Voir site internet de Paylib (lien). 54 Les modèles Galaxy Z Flip|Z Flip 5G, Fold|Z Fold2 5G, S20 FE|S20|S20+|S20 Ultra, S10e|S10|S10+, S9|S9+, S8|S8+, S7|S7 edge, Note10|Note10+, Note9, Note8, A20e, A40|A41|A42 5G, A50|A51, A70|A71, A80, A5 2017, A6|A6+, A7, A8, et A9 destinés au marché français sont, au jour de la rédaction du présent avis, les seuls modèles de téléphone de marque Samsung compatibles avec Samsung Pay. 55 Voir site internet de Samsung (lien). 21

Tableau n° 2 – Compatibilité des solutions de portefeuilles électroniques reposant sur la technologie NFC et présentes en France en fonction des marques de téléphone

Autres solutions de

portefeuilles électroniques reposant sur la technologie NFC telles que Paylib Téléphone de marque Oui56 Non57 Non Non Apple Téléphone de marque Non Oui58 Oui59 Oui60 Samsung Autres marques de Non Oui61 Non Oui62 téléphone Source : Élaboration par l’Autorité de la concurrence à partir du dossier d’instruction. 35. Selon un sondage mené en France en mars 2020 par Statista63 auprès de plus de 800 utilisateurs de solutions de portefeuilles électroniques, le poids des principales solutions reposant sur la technologie NFC, du point de vue des utilisateurs, serait le suivant :

56 Idem note de bas de page n° 46. 57 Aux États-Unis, les modèles de téléphone de marque Apple compatibles avec Apple Pay le sont également avec Google Pay (voir site internet de Google (lien)). 58 À condition que le téléphone utilise la version 5 ou une version ultérieure du système d’exploitation Android (voir site internet de Google (lien)). 59 Idem note de bas de page n° 54. 60 À condition que le téléphone utilise la version du système d’exploitation Android avec laquelle la solution de portefeuille électronique reposant sur la technologie NFC est compatible. 61 À condition que le téléphone utilise la version 5 ou une version ultérieure du système d’exploitation Android (voir site internet de Google (lien)). 62 À condition que le téléphone utilise la version du système d’exploitation Android avec laquelle la solution de portefeuille électronique reposant sur la technologie NFC est compatible. 63 Entreprise qui se définit comme « l’un des principaux fournisseurs de données sur les marchés et les consommateurs », voir site internet de Statista (lien). 22

Figure n° 5 – Poids de différentes solutions de portefeuilles électroniques reposant sur la technologie NFC présentes en France du point de vue des utilisateurs

Source : Statista (lien). Certains utilisateurs utilisent plusieurs solutions de paiement mobile reposant sur la technologie NFC, ce qui explique que la somme des pourcentages indiqués soit supérieure à 100 %. 36. Quelle que soit la solution de portefeuille électronique reposant sur la technologie NFC utilisée par le détenteur du téléphone portable, celui-ci devra approcher son téléphone portable de l’écran du terminal de paiement du commerçant affichant le pictogramme afin d’initier le paiement sans contact64. Pour les transactions supérieures à un certain montant65, il devra également saisir soit le code confidentiel de sa carte de paiement sur le clavier du terminal de paiement du commerçant soit un mot de passe, différent du code confidentiel, sur son téléphone portable et approcher à nouveau celui-ci de l’écran du terminal pour valider le paiement66 :

Figure n° 6 – Comment utiliser le paiement sans contact par téléphone mobile pour des transactions inférieures à un certain montant ?

Source : Assurance Banque Epargne Info Service (lien)

64 Voir site internet d’Assurance Banque Epargne Info Service (lien). 65 Voir l’ordonnance n° 2020-534 du 7 mai 2020, précitée. 66 Observatoire de la sécurité des moyens de paiement, rapport de juillet 2019, précité, page 69. 23

Figure n° 7 – Comment utiliser le paiement sans contact par téléphone mobile pour des transactions supérieures à un certain montant ?

Source : Assurance Banque Epargne Info Service (lien)

L’apparition du paiement sans contact par montre connectée 37. Le téléphone mobile ne constitue pas le seul terminal, offrant un accès à internet, qui permette de nos jours d’initier un paiement sans contact. En effet, les montres connectées, qui restent pour la plupart dépendantes des téléphones mobiles67, permettent également aujourd’hui de le faire.

38. Apple, Google et Samsung représentent, sur le marché des montres connectées, environ 80 % des parts de marché en volume68.

39. La solution de portefeuille électronique permettant d’initier le paiement sans contact par montre connectée dépend de la marque de la montre. Ainsi, les détenteurs d’une montre connectée des marques Apple, Garmin, Fitbit ou Samsung ne peuvent utiliser que la solution de paiement développée par le fabricant de la montre connectée (Apple Pay, pour les montres de marque Apple69, Garmin Pay pour les montres de marque Garmin70, Fitbit Pay pour les montres de marque Fitbit71 et Samsung Pay pour les montres de marque Samsung72). Les détenteurs d’une montre connectée d’une autre marque que les quatre précédemment citées peuvent, sous réserve de compatibilité, utiliser la solution Google Pay73.

40. Le 17 décembre 2020, la Commission européenne a autorisé, sous réserve d’engagements, l’acquisition de Fitbit par Google74. La situation décrite au paragraphe précédent ne prend donc pas en compte les évolutions qui pourraient se produire à la suite de ladite acquisition.

67 Autorité de régulation des communications électroniques, des postes et de la distribution de la presse [ci-après « ARCEP »], « Les terminaux, maillon faible de l’ouverture d’internet. Rapport sur leurs limites et sur les actions à envisager », février 2018, rapport, page 23 (lien). 68 Selon l’ARCEP, « Apple domine largement le marché des montres connectées, puisqu’il détient presque la moitié du marché, loin devant Android Wear [système d’exploitation développé par Google notamment pour les montres connectées, rebaptisé Wear OS en mars 2018] et Tizen [système d’exploitation développé par Samsung notamment pour les montres connectées] crédités chacun d’un peu plus de 15 % du marché ». Voir ARCEP, rapport de février 2018, précité, page 23. 69 Voir site internet d’Apple (lien). 70 Voir site internet de Garmin (lien). 71 Voir site internet de Fitbit (lien). 72 Voir site internet de Samsung (lien). 73 Voir site internet de Google (lien). 74 Voir site internet de la Commission européenne (lien). La situation décrite au paragraphe 39, quant à la compatibilité entre les différentes marques de montres connectées et les différentes solutions de paiement sans contact, correspond donc à celle qui prévalait avant l’opération. 24

41. Il convient de noter que la plupart des groupes bancaires français ont noué des partenariats avec une ou plusieurs BigTech (voir infra, paragraphes 177 à 183), y compris pour ce qui relève des solutions de paiement par montre connectée.

L’avenir du paiement sans contact : le paiement par reconnaissance faciale 42. Au cours des dernières années, la technologie de reconnaissance faciale s’est beaucoup développée pour une multitude d’usages tels que la gestion des accès dans les locaux ou le déverrouillage de smartphones ou de tablettes. 43. Pour ce qui relève plus particulièrement de l’application de cette technologie dans le secteur des paiements, aux États-Unis, la chaîne de restauration rapide CaliBurger a été, en février 2018, la première entreprise américaine ayant donné à ses clients la possibilité de régler leurs achats en utilisant des terminaux de paiement équipés d’une technologie de reconnaissance faciale. Le terminal de paiement prenait le client en photo afin de lui permettre d’ouvrir un compte de fidélité. Par la suite, le client passait sa commande et était pris en photo une seconde fois afin de procéder au règlement, après avoir saisi le code de sécurité à trois chiffres figurant au dos de sa carte bancaire75. 44. Quant à la Chine, le paiement par reconnaissance faciale est devenu une réalité en 2019. Divers établissements, tels que la chaîne chinoise de boulangeries Wedome ou les supermarchés IFuree76 et Carrefour77, se sont en effet équipés de terminaux de paiement adaptés. S’agissant des consommateurs effectuant des achats chez Wedome ou Carrefour, ils doivent d’abord, afin de pouvoir avoir recours au paiement par reconnaissance faciale, lier une photo de leur visage à leur solution de paiement mobile. Une fois dans le magasin et au moment de payer, leur visage est scanné par le terminal de paiement prévu à telle fin78 :

Source : Fung Business Intelligence79

75 Voir site internet de la CNBC (lien). 76 Le Huffingtonpost, « En Chine, la reconnaissance faciale permet désormais de payer ses achats », 4 septembre 2019, lien. 77 Le Monde, « En Chine, le visage comme porte-monnaie », 5 juillet 2019, lien. 78 Le Huffingtonpost, article du 4 septembre 2019, précité. 79 Fung Business Intelligence, «Carrefour Le Marché – The first smart store of Carrefour », juin 2018, New Retail in Action, issue 17 (lien). 25

45. Enfin, en Europe, et plus particulièrement en France, la reconnaissance faciale est d’ores et déjà utilisée par certains acteurs dans le secteur bancaire pour permettre notamment l’ouverture de comptes bancaires80. En 2018, Société Générale a été, à cet égard, le premier groupe bancaire français à avoir lancé une solution, reposant notamment sur la reconnaissance biométrique faciale par selfie dynamique et permettant l’ouverture d’un compte bancaire à distance81, dont le fonctionnement peut être décrit comme suit82. Après avoir renseigné dans l’application Société Générale ses informations personnelles indispensables et choisi son offre et son agence, le futur client transmet ses pièces justificatives (par photos/fichiers numérisés) et prend un selfie dynamique sur plusieurs angles (profil, face, yeux ouverts ou fermés). Une première reconnaissance biométrique est alors effectuée et confrontée avec une des deux pièces d’identité recueillies. Par la suite, le futur client échange par vidéo tchat avec un conseiller, soit immédiatement, soit en programmant un rendez-vous. À l’occasion de cet entretien vidéo, une deuxième reconnaissance faciale est réalisée83. Via la signature électronique, le contrat est signé et, dans les 24 heures, le nouveau client a un compte et accès à son RIB. 46. Si l’on tient compte des évolutions observables en dehors des frontières européennes, le paiement par reconnaissance faciale pourrait constituer à l’avenir l’une des principales innovations du paiement sans contact en Europe. c) L’irruption de méthodes de paiement alternatives 47. Les crises financières et économiques des dernières années ont eu un impact négatif sur l’image et la réputation des banques et, plus généralement, des systèmes dans lesquels une entité centrale joue le rôle de tiers de confiance en garantissant la sécurité technique et la valeur légale d’une transaction84. Depuis le début des années 201085, une nouvelle gamme d’actifs numériques, appelés crypto-actifs et ne reposant pas sur un tiers de confiance, a émergé. Elle est basée sur la protection de l’actif liée à la cryptographie. Bien que ne répondant pas à la définition de moyens de paiement au sens de l’article L. 311-3 du CMF86, les crypto-actifs sont considérés par la Banque de France comme étant une méthode de paiement alternative87. Depuis 2019, diverses initiatives visant à développer des pièces stables (« stable coins » ou « stablecoins ») ont également vu le jour.

80 Les Echos, « Comment la reconnaissance faciale s’installe en France », 15 octobre 2019, lien. 81 Voir site internet de Société Générale (lien). 82 Idem supra. 83 Aucune donnée biométrique n’étant conservée, seuls les résultats des contrôles effectués à chaque reconnaissance biométrique étaient stockés par Société Générale. 84 LANDAU, J-P., avec la collaboration de GENAIS, A., « Les crypto-monnaies », juillet 2018, rapport au ministre de l’économie et des finances, page 3 (lien). 85 Banque de France, « L’émergence du bitcoin et autres crypto-actifs : enjeux, risques et perspectives », Focus n° 16, 5 mars 2018, page 1 (lien). 86 Banque de France, rapport de janvier 2021, précité, page 24. 87 Idem supra. 26

Les moyens de paiement au sens de l’article L. 311-3 du code monétaire et financier 48. Aux termes de l’article L. 311-3 du CMF, « sont considérés comme moyens de paiement tous les instruments qui permettent à toute personne de transférer des fonds, quel que soit le support ou le procédé technique utilisé ». 49. Il existe deux grandes catégories de moyens de paiement : d’une part, la monnaie fiduciaire, c’est-à-dire les billets et les pièces émis par les autorités publiques et ayant cours légal et, d’autre part, les moyens de paiement scripturaux, qui recouvrent les cartes de paiement, les chèques, les virements, les prélèvements, les effets de commerce, c’est-à-dire « des titres négociables constatant au profit du porteur une créance de somme d’argent et servant à son paiement »88 et, enfin, la monnaie électronique89. Ce dernier moyen de paiement, qui est l’une des formes modernes que prend la monnaie fiduciaire90, peut être défini comme « une valeur monétaire qui est stockée sous une forme électronique, y compris magnétique, représentant une créance sur l’émetteur, qui est émise contre la remise de fonds aux fins d’opérations de paiement […] et qui est acceptée par une personne physique ou morale autre que l’émetteur de monnaie électronique »91. Tout détenteur de monnaie électronique doit préalablement créditer le compte tenu par l’établissement de monnaie électronique avant de pouvoir le débiter en payant par carte ou au moyen d’opérations en ligne. Il en résulte une impossibilité pour le détenteur de monnaie électronique de payer des achats pour un montant qui dépasserait la somme déposée92. 50. À la différence de la monnaie fiduciaire, qui permet un transfert direct d’unités monétaires entre le payeur et le bénéficiaire, les moyens de paiement scripturaux nécessitent l’intervention de tierces parties, les prestataires de services de paiement, qui sont chargés du transfert des unités monétaires93, comme l’illustrent les schémas ci-dessous :

88 Idem supra. 89 Idem supra. 90 LANDAU, J-P., rapport de juillet 2018, précité, page 7. 91 CMF, article L. 315-1 (lien). 92 Banque de France, rapport de janvier 2021, précité, page 24. 93 Banque de France, rapport de janvier 2021, précité, page 21. 27

Figure n° 8 – Monnaie fiduciaire et moyens de paiement scripturaux

Source : Banque de France, « Paiements et infrastructures de marché à l’ère digitale », rapport, janvier 2021, page 21. 51. En 2019, le nombre de transactions effectuées à l’aide de moyens de paiement scripturaux a augmenté de 7 %, essentiellement grâce à la croissance des paiements dits électroniques (carte, virement, prélèvement) et particulièrement de ceux effectués par le biais de la carte de paiement, qui constitue, en volume, le moyen de paiement préféré des Français depuis plusieurs années94 :

94 Banque de France, « Cartographie des moyens de paiement scripturaux, Bilan de la collecte 2020 (données 2019) », décembre 2020, publication statistique, page 3 (lien). 28

Tableau n° 3 – Nombre et montants des transactions via des moyens de paiement scripturaux en France

Source : Banque de France, « Cartographie des moyens de paiement scripturaux, Bilan de la collecte 2020 (données 2019) », page 3. L’émergence des crypto-actifs 52. Les crypto-actifs sont des actifs numériques, sans cours légal95 et créés par des acteurs privés96, qui ne sont pas associés à un compte bancaire97 et peuvent être conservés ou transférés afin d’acheter un bien ou un service98. Contrairement aux monnaies électroniques, les crypto-actifs ne sont pas émis contre remise de fonds99, ne représentent pas une créance sur une personne physique ou morale100 et sont des représentations numériques de valeur non monétaire101. Par ailleurs, comme le souligne la Banque de France dans ses travaux, les crypto-actifs « ne remplissent pas ou que très partiellement les trois fonctions dévolues à la monnaie »102. D’une part, leur valeur n’est pas suffisamment stable pour en faire des unités de compte. D’autre part, faute de s’appuyer sur des sous-jacents réels ou sur la confiance dans une banque centrale, à la différence par exemple des monnaies ayant cours légal, leur absence de valeur intrinsèque ne permet pas non plus d’en faire des réserves de valeur. Enfin, ils constituent un instrument d’échange moins efficace que la monnaie ayant cours légal, compte tenu notamment du fait qu’ils ne sont pas assortis d’une garantie de remboursement en cas de fraude103.

95 Banque de France, Focus n°16 du 5 mars 2018, précité, page 2. 96 Banque de France, « Crypto-actifs et Stable coins », 9 juin 2020, Mot de l’actu, page 1 (lien). 97 LANDAU, J-P., rapport de juillet 2018, précité, page 3. 98 Idem supra. 99 Banque de France, Focus n°16 du 5 mars 2018, précité, page 2. 100 LANDAU, J-P., rapport de juillet 2018, précité, page 7. 101 LANDAU, J-P., rapport de juillet 2018, précité, page 3. 102 Banque de France, Focus n°16 du 5 mars 2018, précité, page 2. 103 Idem supra. 29

53. Il existe aujourd’hui près de 1 600 crypto-actifs dans le monde104. Fin 2018, l’encours des crypto-actifs en circulation s’élevait à 220 milliards d’euros105. En outre, à la fin de l’année 2017, environ 300 000 transactions en moyenne quotidienne ont été réalisées en Bitcoin, contre 330 millions de transactions effectuées avec des moyens de paiement scripturaux au sein de l’Union européenne106. Bien que les crypto-actifs demeurent encore très peu acceptés107 et utilisés par rapport aux moyens de paiements scripturaux, cette méthode de paiement alternative connaît actuellement une forte croissance. 54. Initialement conçus comme des instruments d’échange et de paiement, les crypto-actifs ont progressivement donné lieu à l’apparition de services permettant leur achat ou vente contre de la monnaie ayant cours légal, ou encore, depuis 2016108, leur utilisation comme instrument de placement et de financement109 à travers des opérations de levées de fonds, les offres au public de jetons ou offres au public de cyberjetons (« Initial Coin Offerings » ou « ICO », littéralement « offre de pièce initiale » ou encore « token sales »), qui permettent aux internautes de participer au financement d’un projet par l’apport de fonds, notamment en crypto-actifs, en contrepartie de jetons (« tokens »)110. Comme expliqué par la Banque de France, « [e]n pratique, ces tokens représentent une forme d’intérêt économique dans le projet. Ils offrent à leurs détenteurs certains droits, comme celui d’utiliser en primeur la plate-forme ou l’application financée (comme dans le financement participatif classique), ou de recevoir une partie des bénéfices générés par l’entreprise ou d’exercer un droit de vote (comme des actions) »111. Selon Ernst & Young, le montant total des fonds levés, au travers des offres au public de jetons, par des entreprises établies en France s’élevait, en décembre 2017, à 12 millions de dollars112. 55. En France, la loi PACTE a permis l’adoption de dispositions encadrant les offres au public de jetons et les activités exercées par les prestataires de services sur crypto-actifs113. Cette loi cessera de s’appliquer le jour où le règlement européen relatif aux marchés de crypto-actifs (dit « règlement MiCA »), dont le projet, présenté en septembre 2020114, vise à établir un régime unique et harmonisé pour les émissions de jetons et les prestataires de services sur crypto-actifs115, entrera en vigueur.

104 LANDAU, J-P., rapport de juillet 2018, précité, page 3. 105 Banque de France, rapport de janvier 2021, précité, page 375. 106 Banque de France, rapport de janvier 2021, précité, page 25. 107 À titre d’exemple, « [e]n France, aucun grand groupe n’accepte à ce jour de transactions en Bitcoin, la plus grosse société française autorisant de telles transactions étant Showroomprivé.com » (voir LANDAU, J-P., rapport de juillet 2018, précité, page 11). 108 LANDAU, J-P., rapport de juillet 2018, précité, page 4. 109 Banque de France, Focus n°16 du 5 mars 2018, précité, pages 3 et 4. 110 Banque de France, Focus n°16 du 5 mars 2018, précité, page 4. 111 Idem supra. 112 Ernst & Young, « EY research: initial coin offerings (ICOs) », décembre 2017, étude, page 7 (lien). 113 Voir site internet de l’AMF (lien). 114 Voir site internet de la Commission européenne (lien). 115 Voir site internet de l’AMF (lien). 30

Le lancement d’initiatives visant à développer des stable coins, la deuxième génération de crypto-actifs 56. Depuis 2019, on assiste également au lancement de diverses initiatives visant à développer d’autres actifs numériques, les stable coins (ou « pièces stables »), qui, selon la Banque de France, « peuvent être vus comme une deuxième génération de crypto-actifs »116. À la différence des crypto-actifs de première génération, la valeur des stable coins est indexée sur un sous-jacent (une matière première, une monnaie ayant cours légal ou un panier de monnaies ayant cours légal, par exemple) afin de la rendre plus stable117. 57. Lors de la réunion des ministres des finances et des gouverneurs de banque centrale du G7, tenue les 17 et 18 juillet 2019 à Chantilly, deux de ces initiatives, ayant vocation à devenir « des solutions plus rapides et moins coûteuses que les systèmes actuels pour les transferts de fonds internationaux »118 et à pouvoir offrir « aux entreprises et/ou consommateurs une alternative aux solutions existantes de paiements numériques »119, ont particulièrement retenu l’attention. 58. D’une part, l’initiative de la banque JP Morgan, annoncée en février 2019, visant à développer, en vue de permettre la réalisation de transferts de fonds instantanés de montants élevés, notamment internationaux, entre grands comptes (acteurs institutionnels, intermédiaires financiers, banques, grandes entreprises), un stable coin, dénommé le JPM Coin, dont la valeur serait indexée sur le dollar (USD). 59. D’autre part, celle lancée le 18 juin 2019 par l’Association Libra, rassemblant initialement 29 membres dont Facebook, en vue d’émettre originairement un stable coin multidevises

connu sous le nom de « Libra », dont la valeur serait indexée sur un panier de plusieurs stable coins émis par l’entité chargée d’administrer le système de paiement développé par l’Association Libra et indexés chacun sur une monnaie ayant cours légal120, ainsi que les différents stable coins à devise unique. 60. Cette initiative visait, selon les termes employés par l’association elle-même, « à permettre à plusieurs milliards de personnes d’avoir accès à un système de paiement et à des infrastructures financières facilement accessibles et à moindre coût »121. 61. L’initiative de l’Association Libra reposait ainsi sur le développement d’un système de paiement fondé sur une chaîne de blocs non permissionnée122 (voir infra, paragraphe 102) et permettant de réaliser des transactions transfrontalières123 en Libra et en chacun des stable coins à devise unique composant le panier sur lequel serait indexée la valeur du Libra124. En

116 Banque de France, Mot de l’actu du 9 juin 2020, précité, page 1. 117 Banque de France, Mot de l’actu du 9 juin 2020, précité, page 2 ; G7, Réunion des ministres des finances et des gouverneurs de banque centrale des 17 et 18 juillet 2019 à Chantilly, dossier de presse, page 9 (lien). 118 Banque de France, Mot de l’actu du 9 juin 2020, précité, page 2. 119 Idem supra. 120 Cotes 4 126 et 4 127. 121 Cote 4 125. 122 Cotes 4 121 et 4 130. 123 Cote 4 126. 124 Cotes 4 121 et 4 126. 31

plus des transactions transfrontalières, les stable coins à devise unique pourraient être utilisés pour réaliser des transactions à l’échelle nationale125. 62. Le Libra, mais aussi les stable coins à devise unique émis par l’entité chargée d’administrer le système de paiement développé par l’Association Libra, pourraient être achetés ou vendus contre des devises étrangères126, à l’instar des crypto-actifs de première génération, et être stockés sur des portefeuilles numériques autres que Novi127, portefeuille développé par la filiale de Facebook du même nom et membre de l’Association Libra128. 63. Le 1^er décembre 2020, l’Association Libra a annoncé qu’elle changeait de nom pour devenir l’Association Diem129. Composée actuellement de 27 membres, comprenant notamment Novi, filiale de Facebook, et des plateformes comme Shopify, Spotify ou Lyft, ayant tous les mêmes droits130, l’Association Diem prévoit actuellement de lancer uniquement, dans un premier temps, un stable coin à devise unique, le « Diem Dollar », indexé sur le dollar américain131. D’autres stable coins à devise unique132 ainsi qu’un stable coin multidevises133 pourraient être lancés ultérieurement. 64. Les ministres des finances et les gouverneurs de banque centrale du G7 ont estimé, lors de la réunion précitée de juillet 2019, que les initiatives visant à développer ces crypto-actifs de deuxième génération, se présentant d’ailleurs comme destinées à être opérationnelles à brève échéance, « soulèvent de graves préoccupations, tant réglementaires que systémiques, ainsi que des enjeux de politiques publiques, qui doivent tous être traités avant que ces projets ne puissent être mis en œuvre »134. 65. En ce qu’elles pourraient comporter des risques pour la stabilité du système financier et la protection des consommateurs, ces initiatives devraient, selon les ministres et gouverneurs, répondre aux standards les plus exigeants en matière notamment de lutte contre le blanchiment et le financement du terrorisme135. Outre les préoccupations réglementaires qui viennent d’être mentionnées, les ministres et gouverneurs ont par ailleurs souligné, du point

125 Cote 4126. 126 Cote 4 128. 127 Cote 4 128. 128 Cote 4 122. 129 Voir site internet de l’Association Diem (lien). 130 Cotes 4 121, 4 122 et 4 124. Au 22 décembre 2020, les 27 membres de l’Association Diem sont les suivants : Anchorage, Andreessen Horowitz, Bison Trails, Blockchain Capital, Breakthrough Initiatives, Checkout.com, Coinbase, Creative Destruction Lab, Farfetch, Heifer International, Iliad SA, Kiva, Lyft, Mercy Corps, Novi (anciennement Calibra), Paradigm, PayU, Ribbit Capital, Shopify, Slow Ventures, Spotify, Temasek Holdings, Thrive Capital, Uber, Union Square Ventures, Women’s World Banking et Xapo (voir site internet de l’Association Diem (lien)). L’adhésion de Bison Trails à l’Association Diem pourrait prendre fin lors de la finalisation de son acquisition par Coinbase, membre également de l’Association Diem (cote 4 845). 131 Voir site internet de Bloomberg (lien). 132 Voir site internet de Bloomberg (lien). 133 Voir site internet Les numériques (lien). 134 G7, Réunion des ministres des finances et des gouverneurs de banque centrale des 17 et 18 juillet 2019 à Chantilly, résumé de la Présidence, page 3 (lien). 135 Idem supra. 32

de vue des préoccupations systémiques, que « des projets comme le Libra peuvent affecter la souveraineté monétaire et le fonctionnement du système monétaire international »136. Les réflexions autour de l’éventuelle émission d’une « monnaie numérique de banque centrale » au niveau de la zone euro 66. Au regard de l’annonce de l’initiative lancée en juin 2019 par l’Association Libra, des risques associés à l’émergence des stable coins, des déclarations des ministres des finances et des gouverneurs de banque centrale du G7, lors de la réunion précitée de juillet 2019, ainsi que du rapport publié en octobre 2019 par le groupe de travail du G7 sur les stable coins présidé par M. Benoît Cœuré137, les réflexions de nombreuses banques centrales, dont la Banque de France, quant à l’impact que l’émission d’une monnaie numérique de banque centrale pourrait avoir sur le secteur financier et, plus généralement, sur l’économie138 se sont accélérées. 67. Il ressort des réflexions en cours qu’une monnaie numérique de banque centrale, dont la création, au niveau de la zone euro, relèverait de la compétence exclusive de l’Eurosystème139, autorité monétaire qui regroupe la Banque centrale européenne (ci-après « BCE ») et les banques centrales nationales des États membres de l’Union européenne ayant adopté l’euro140, pourrait être considérée comme une alternative à la monnaie fiduciaire, l’une des deux formes sous lesquelles circule de nos jours la monnaie de banque centrale141. Émise et garantie également par la banque centrale142, la monnaie numérique de banque centrale serait « un élément de la base monétaire, échangeable au pair avec la monnaie fiduciaire et les réserves, (…) disponible en permanence et dans des transactions de pair-à- pair, et circulant sur des supports numériques au moins en partie différents de ceux existants (blockchain et autres technologies) »143. Elle constituerait ainsi un « instrument de paiement parfaitement liquide et sûr adapté à l’évolution technologique »144. 68. Il convient de noter que la Banque de France a lancé, au mois de mars 2020, un appel à candidatures visant à expérimenter l’utilisation d’une monnaie numérique de banque centrale dite « de gros ou wholesale », par opposition à celle dite de « détail ou retail» et utilisable par le grand public145, dans les règlements interbancaires146 et, plus précisément, dans les trois cas d’usage suivants : (i) le paiement en monnaie centrale contre livraison d’instruments financiers cotés ou non cotés, (ii) le paiement en monnaie centrale contre monnaie numérique d’une autre banque centrale et (iii) le paiement en monnaie centrale

136 Idem supra. 137 G7, « Investigating the impact of global stablecoins », octobre 2019, rapport (lien). 138 Banque de France, Mot de l’actu du 9 juin 2020, précité, page 2. 139 Cote 4 447. 140 Voir site internet de la Banque centrale européenne (lien). 141 Cote 4 446. L’autre forme étant « les sommes placées par les banques commerciales sur les comptes qu’elles détiennent auprès de la banque centrale », voir Banque de France, « Monnaie digitale de banque centrale », 5 juin 2020, Mot de l’actu, page 1 (lien). 142 Banque de France, Mot de l’actu du 5 juin 2020, précité, page 2. 143 Cote 4 446. 144 PFISTER. Ch., « La Monnaie digitale de banque centrale », janvier 2020, rapport, page 2 (lien). 145 Banque de France, Mot de l’actu du 5 juin 2020, précité, page 2. 146 Voir site internet de la Banque de France (lien). 33

contre actifs numériques tels que définis au 2° de l’article L. 54-10-1 du CMF147. Les résultats de l’analyse de la Banque de France quant aux effets de l’introduction d’une monnaie numérique de banque centrale de gros sur la stabilité financière, la politique monétaire et l’environnement réglementaire devraient permettre de nourrir une analyse plus large qui est actuellement menée par l’Eurosystème au niveau européen148, y compris sur la question des risques et des avantages liés à l’émission d’une monnaie numérique de banque centrale de détail149. 2. LE SECTEUR DES PAIEMENTS AU CŒUR DE L’EVOLUTION TECHNOLOGIQUE 69. L’innovation technologique a toujours été au cœur du secteur financier et des paiements. Les développements qui suivent décrivent les grandes évolutions technologiques qui ont marqué le secteur des paiements (a), avant d’aborder plus en détail deux technologies, le cloud computing (ou « informatique dans les nuages ») et la blockchain (ou « chaîne de blocs »), qui ont joué un rôle particulier dans les transformations récentes et en cours du secteur (b). a) Un secteur des paiements marqué par une constante évolution technologique Les évolutions technologiques fondatrices des systèmes de paiement de détail 70. Dans son rapport intitulé « Paiements et infrastructures de marché à l’ère digitale » précité, la Banque de France souligne le rôle central et historique de l’innovation technologique dans la constitution des infrastructures de marché et moyens de paiement scripturaux et dans leur adaptation aux différentes exigences du marché, notamment eu égard à la diversification des services offerts150. 71. Ainsi, les années 1960 à 1980 ont été marquées par le développement exponentiel de l’informatique, qui a permis notamment, dans le domaine des infrastructures de marché, qui assurent le traitement des flux financiers échangés entre les acteurs des systèmes financiers151, de remplacer la détention physique des titres en format papier par des enregistrements informatiques, puis le traitement des transactions en temps réel permettant « [d’] accélérer, amplifier et systématiser [les] services traditionnels de centralisation et y adjoindre de nouveaux services de traitement post-marché »152.

147 Selon le 2° de l’article L. 54-10-1 du CMF, les actifs numérique comprennent « toute représentation numérique d’une valeur qui n’est pas émise ou garantie par une banque centrale ou par une autorité publique, qui n’est pas nécessairement attachée à une monnaie ayant cours légal et qui ne possède pas le statut juridique d’une monnaie, mais qui est acceptée par des personnes physiques ou morales comme un moyen d’échange et qui peut être transférée, stockée ou échangée électroniquement ». 148 Cote 4 447. 149 Voir site internet de la Banque centrale européenne (lien). 150 La Banque de France indique, page 372, que « l’innovation technique est constitutive des infrastructures de marché et de la plupart des moyens de paiement scripturaux, qui sont la résultante d’innovations technologiques, pour répondre aux exigences du marché en matière de fiabilité des transactions, de rapidité de l’exécution et de diversification des services offerts ». 151 Voir site internet de la Banque de France (lien). 152 Banque de France, rapport de janvier 2021, précité, page 372. 34

72. C’est également durant cette période que les systèmes de compensation153 physique, qui prévalaient lorsque les moyens de paiement papier, comme le chèque, constituaient la norme, ont été progressivement remplacés par des systèmes automatisés154 de sorte qu’aujourd’hui les systèmes de paiement155 de détail fonctionnent grâce à des mécanismes de compensation multilatérale dans lesquels « le système calcule pour chaque participant le solde net à payer ou à recevoir au titre de l’ensemble de ses opérations traitées dans le système pour la période considérée (généralement la journée) »156. Figure n° 9 – Représentation simplifiée du système de paiement interbancaire

Schéma reproduit du rapport de la Banque de France intitulé « Paiements et infrastructures de marché à l’ère digitale », page 160.

153 Pour une définition, voir glossaire. 154 Banque de France, rapport de janvier 2021, précité, page, 163. 155 Pour une définition, voir glossaire. 156 Banque de France, rapport de janvier 2021, précité, page 160. 35

73. Les progrès technologiques ont également permis de développer le traitement en temps réel, dont les systèmes de paiement à règlement brut en temps réel157. Ces systèmes étaient initialement réservés au traitement des paiements de montants élevés et/ou urgents avant d’être étendus aux paiements dits « de masse » qui concernent un volume important d’opérations généralement non urgentes et de faibles montants. Ainsi, sous l’effet du développement technologique, le règlement en temps réel a également trouvé sa place dans la sphère du paiement de détail, sous la forme du virement instantané, notamment à travers le « schème »158 du Conseil européen des paiements (CEP), en service depuis novembre 2017, et la solution de paiement instantanée TIPS (Target Instant Payment Settlement), lancée par la BCE et en vigueur depuis novembre 2018159. 74. Le paiement instantané est une « solution de paiement électronique disponible 24/7/365, résultant d’une compensation inter-bancaire immédiate ou quasi immédiate de l’opération et du crédit du compte du bénéficiaire avec une demande de confirmation au payeur »160. Ainsi, alors que les paiements par voie ordinaire (par virement, carte ou prélèvement) ne donnent lieu à un règlement que le lendemain de la transmission de l’ordre, les paiements instantanés permettent au bénéficiaire de recevoir les fonds sur son compte bancaire

157 Par opposition aux systèmes de paiement à règlement net en temps différé. 158 De l’anglais, « scheme ». Il s’agit d’un « ensemble de règles et de standards d’utilisation » (voir Banque de France, rapport de janvier 2021, précité, page 167). 159 Banque de France, rapport de janvier 2021, précité, page 372. 160 Banque de France, rapport de janvier 2021, précité, page 167. 36

quelques secondes après que l’ordre de paiement a été donné161. Le paiement instantané est généralement proposé par les banques à titre onéreux. 75. Les principaux moyens de paiement ont également fait l’objet d’évolutions technologiques majeures permettant d’effectuer des paiements plus rapidement, plus facilement, de manière plus sécurisée et à un coût moindre. 76. Ainsi, par exemple, le développement de la carte à puce à code PIN et, parallèlement, celui des terminaux de paiement ont permis une généralisation progressive du paiement par carte bancaire, apparu en France à la fin des années 1960, qui repose sur des systèmes, le plus souvent quadripartites, faisant intervenir des réseaux interbancaires sur la base de normes et protocoles communs et qui permettent le traitement des opérations de paiement par carte162. Figure n° 10 – Représentation d’un système de paiement quadripartite

Système de paiement quatre coins163, illustration reprise et adaptée de la décision de l’Autorité de la concurrence n° 11-D-11 du 7 juillet 2011 relative à des pratiques mises en œuvre par le Groupement des Cartes Bancaires, pages 6 à 8. 77. La carte bancaire, qui demeure aujourd’hui le moyen de paiement le plus utilisé en France en nombre de transactions164, a connu des évolutions technologiques significatives, dont le paiement sans contact (voir paragraphes 24 et suivants). 78. L’innovation technologique dans le secteur des paiements concerne aussi les moyens de paiement fiduciaires, dont les billets de banque, qui ont fait l’objet d’améliorations

161 Banque de France, rapport de janvier 2021, précité, page 167. 162 Décision de l’Autorité de la concurrence n° 11-D-11 du 7 juillet 2011 relative à des pratiques mises en œuvre par le Groupement des Cartes Bancaires, pages 6 à 8. 163 Système de paiement impliquant, outre le système de paiement, quatre acteurs : le débiteur, sa banque (dite « banque émettrice »), le bénéficiaire et la banque de ce dernier (dite « banque acquéreur »). Dans un système « tripartite », qui ne nécessite aucune intervention d’établissements financiers, il n’existe que trois acteurs : le débiteur, le bénéficiaire et le système de paiement qui émet les cartes de paiements et gère directement les transactions. 164 Banque de France, publication statistique de décembre 2020, précitée, page 3. 37

continues, comme par exemple l’utilisation de filigranes et d’hologrammes, en vue de lutter contre la contrefaçon. Les évolutions technologiques fondatrices du paiement en ligne et du paiement mobile 79. L’internet et les technologies du numérique, dont le smartphone, qui ont pénétré le secteur des paiements à partir du début des années 2000, pour le premier, et 2010, pour les secondes, ont conduit à une profonde mutation du secteur des paiements en France et permis l’émergence des nouveaux services et supports décrits précédemment. 80. Ainsi, au début des années 2000, le modèle bancaire français, axé sur la relation avec le client, a été progressivement repensé et adapté pour exploiter les nouvelles possibilités offertes par les interfaces web, utilisées pour faciliter l’entrée en relation avec la clientèle et proposer des services bancaires à part entière, soit aux côtés des services proposés en dur, soit exclusivement en ligne165. Comme l’indique l’Autorité de contrôle prudentiel et de résolution (ci-après « ACPR ») dans son « Etude sur les modèles d’affaires des banques en ligne et des néobanques », se sont succédé, depuis l’avènement d’internet, plusieurs générations de banques en ligne, dont les premières se sont développées sur l’épargne et le courtage en bourse avant de proposer à leurs clients des services de gestion de compte bancaire et de paiement (voir infra, paragraphe 114). 81. Plus récemment, à partir des années 2015, les progrès techniques liés à l’internet sur mobile (évolution de la 3G à la 4G, et bientôt à la 5G) et au smartphone, conduisent certains acteurs à proposer des offres nativement mobiles. Celles-ci s’appuient sur les nouveaux modes de consommation liés à l’extension de l’usage du smartphone166 qui permettent de réaliser tous types d’opérations, en temps réel et depuis n’importe quel endroit. 82. Le smartphone offre à ses utilisateurs de multiples possibilités en matière bancaire et de paiements. Il permet, d’une part, d’effectuer des opérations bancaires et des paiements à distance via l’interface web ou des applications. Il offre ainsi aux utilisateurs la possibilité d’effectuer toutes les opérations bancaires et de paiement qu’il était déjà possible de réaliser à partir d’un poste d’ordinateur connecté à internet, comme par exemple consulter ses comptes bancaires en ligne et y effectuer des opérations telles que des virements ou des achats en ligne sur des sites de commerce électronique. Il permet, d’autre part, via certaines technologies embarquées, dont le système NFC, et certaines applications d’effectuer des opérations de paiement en magasin. La technologie NFC permet à deux terminaux, un smartphone et un terminal de paiement par exemple, situés à proximité et équipés de ce dispositif d’échanger des données de façon très rapide. Outre le paiement sans contact, qui s’appuie sur les informations stockées sur le téléphone, cette technologie connaît deux autres modalités d’application : le mode « lecteur d’étiquettes électroniques », qui permet à un mobile équipé de la puce NFC et situé dans son champ d’action de recevoir des informations

165 ACPR, « Analyses et synthèses, étude sur les modèles d’affaires des banques en ligne et des néobanques », octobre 2018, étude (lien). 166 À ce titre, selon le CREDOC, en 2019, pour la première fois, le taux d’équipement en smartphone a dépassé le taux d’équipement en ordinateur (77 % contre 76 %). En outre, 82 % de la population française indique l’utiliser quotidiennement. Pour 51 % des français, il est même l’équipement privilégié pour se connecter à internet (voir CREDOC, « Baromètre du numérique 2019 – Enquête sur la diffusion des technologies de l’information et de la communication dans la société française en 2019 », novembre 2019, étude réalisée pour Conseil Général de l’Économie, de l’Industrie, de l’Énergie et des Technologies, l’ARCEP et l’Agence du numérique (lien). 38

ou déclencher une action de façon automatique167 et le mode pair-à-pair, qui peut être utilisé pour échanger des informations, comme des cartes de visite électroniques par exemple ou des fichiers, entre deux appareils équipés de ce système. b) Un secteur marqué par l’avènement du cloud et de la blockchain

83. Outre ce qui précède, deux technologies, le cloud computing et la blockchain, apparaissent particulièrement importantes au regard de leur impact sur le secteur des paiements, bien qu’elles ne soient pas spécifiques à ce secteur. La place grandissante des services de « cloud (computing) » dans le secteur des paiements Caractéristiques générales des services de cloud 84. Les services de cloud sont ici entendus comme l’ensemble des solutions et services informatiques, opérés à distance, de stockage, de calcul et de gestion de données. Ils consistent essentiellement en l’externalisation de la gestion de tout ou partie des logiciels, applications et services informatiques existants. 85. Ces services peuvent être classés en trois grandes catégories, en fonction du degré d’externalisation du (des) service(s) rendu(s) (voir figure n° 11)168 :  des applications ou logiciels sous forme de service, communément dénommés « Software-as-a-Service » (« SaaS »). Elles permettent à l’utilisateur d’accéder à des applications en se connectant soit à un logiciel dédié préinstallé sur un support (par exemple un smartphone ou un ordinateur), soit au site internet créé par le développeur du logiciel. À titre d’exemple, les services Gmail de Google, Outlook ou encore Office 365 de Microsoft sont des services SaaS ;  des plateformes sous forme de service, i.e. « Platform-as-a-Service » (PaaS), qui fournissent un environnement permettant aux clients de bénéficier de logiciels et d’outils pour développer leurs applications telles que des langages de programmation, une automatisation des mises à jour ou encore des bases de données (ex : Azure SQL ou Azure Cosmos DB de Microsoft) ;  des infrastructures informatiques sous forme de service, i.e. « Infrastructure-as-a- Service » (IaaS), modèle dans lequel le prestataire de services de cloud met à disposition de l’utilisateur notamment des serveurs, des réseaux, du stockage et de l’espace de centre de données (ex : Amazon S3 (stockage) ou Amazon EC2 (calcul)).

167 Ce mode de fonctionnement est comparable à celui du QR code. Il permet ainsi de lire des informations en approchant son mobile d’un tag NFC (une étiquette électronique équipée de la technologie NFC) situé sur des affiches (services d’information voyageur dans les transports publics, accès à des informations sur une œuvre d’art dans un musée, etc.) ou sur des produits (pour obtenir une information sur la traçabilité d’un produit alimentaire, par exemple). 168 Voir le site internet d’IBM (lien), le site internet Futura-Sciences (lien) et le site internet de Gartner (lien). 39

Figure n° 11 – Schéma synthétique des différents services de cloud

Source : Direction générale des entreprises, « Guide sur le cloud computing et les datacenters à l’attention des collectivités locales », juillet 2015, page 29. 86. Les services de cloud peuvent être déployés via un cloud public, un cloud privé, un cloud communautaire ou encore un cloud hybride. Les services de cloud public sont fournis par un tiers, accessibles via internet et adaptables à la demande. Un cloud privé est une infrastructure dédiée à une organisation unique, qui peut être gérée en interne ou en externe (par un tiers) et qui est généralement hébergée localement. Un cloud communautaire est une infrastructure partagée par plusieurs organisations qui ont des intérêts communs, telles que des organisations gouvernementales. Enfin, un cloud hybride est un croisement entre des services de cloud privé et public. Il permet par exemple à une entreprise de stocker des données sensibles sur un cloud privé et de bénéficier par ailleurs des possibilités de partage et d’adaptation à la demande du cloud public169. 87. Il existe aujourd’hui un phénomène de concentration de l’offre de services de cloud autour d’un petit nombre de fournisseurs très puissants avec principalement les géants américains Amazon, Microsoft et Google, dont le poids cumulé représenterait, selon certaines sources publiques, environ 60 % de l’industrie concernée170. 88. Au-delà des préoccupations relatives à la cybersécurité et à la protection des consommateurs et, dans le cas des États membres de l’Union européenne, à leur souveraineté, la concentration du secteur est, aux yeux des régulateurs bancaires et financiers, un motif d’inquiétude. 89. En effet, au-delà des risques concurrentiels habituellement relevés lorsqu’un marché est caractérisé par un petit nombre d’acteurs, la concentration observable dans le secteur des services de cloud fait notamment peser, ainsi que le relève l’ACPR, des risques sur la stabilité financière171. La généralisation du recours aux services de cloud par les prestataires de services de paiement, couplée à la concentration du secteur, accroît en effet le risque

169 Voir le site internet Le Big Data (lien) et le site internet de Microsoft (lien). 170 Voir le site internet de Synergy Research Group (lien). 171 Cote 4 438. 40

systémique d’effondrement pesant sur les activités financières et bancaires en cas de défaillance de l’un ou plusieurs des prestataires de services de cloud, dont la base de clientèle est mondiale172. 90. Face aux risques susmentionnés, des initiatives voient le jour, qui concernent notamment l’établissement de certaines limites quant au recours aux services de cloud par les banques. L’ACPR indique en effet que « des réflexions sont en cours au niveau européen pour répondre à ces risques. Il est par exemple envisagé par les équipes de la BCE-SSM [Mécanisme de surveillance unique] d’introduire des limites pour les établissements bancaires au recours aux fournisseurs de « cloud » (stockage, logiciel et infrastructure) par entité (AWS, Azur, Alibaba…) et par juridiction (juridictions tierces où s’appliquent des normes non-équivalentes au Règlement Général sur la Protection des Données – comme par exemple le CLOUD Act américain), dans une logique de limitation de concentration des risques »173. Le recours aux services de cloud par les prestataires de services de paiement 91. Du côté de la demande de services de cloud, il ressort de l’instruction que la plupart des acteurs interrogés dans le présent avis ont recours à des prestataires de services de cloud. Ce constat corrobore celui de l’ACPR, qui résume ainsi la situation : « Aussi, l’utilisation du « cloud » va-t-elle de pair avec le développement des services de paiements innovants. Le recours à des solutions de « Cloud computing », longtemps cantonné à des services non- essentiels et des données non-sensibles, s’étend aujourd’hui à l’ensemble des acteurs, des données et des logiciels du secteur des services de paiement »174. 92. Cela concerne non seulement certains nouveaux entrants, pour qui la souplesse offerte par les prestataires de services de cloud, c’est-à-dire la possibilité de transformer certains coûts fixes en coûts variables (voir infra, paragraphe 305) et la mise à disposition d’un niveau de ressources adapté aux volumes demandés, apparaît essentielle pour déployer rapidement leurs solutions (voir infra), mais également les acteurs bancaires traditionnels. 93. Les stratégies des acteurs sont toutefois diverses, allant de la sous-traitance totale jusqu’au développement de solutions de cloud dédiées175. Certains des acteurs interrogés ont même indiqué avoir recours à plusieurs prestataires de services de cloud, afin d’atteindre la meilleure combinaison des services fournis par chaque prestataire (stockage, calcul, etc.)176. 94. Les raisons invoquées par les entreprises consultées ayant recours à des services de cloud tiennent généralement, d’une part, à la performance de ces services, tant en termes d’efficacité que de sécurité177 et, d’autre part, à la souplesse de ces solutions quant aux

172 Sur ces risques, voir notamment : Autorité Bancaire Européenne, « Rapport final sur les orientations relatives aux TIC et à la gestion des risques de sécurité – Orientations de l’ABE sur la gestion des risques liés aux TIC et à la sécurité », EBA/GL/2019/04, novembre 2019, rapport (lien) ; Autorité européenne des assurances et des pensions professionnelles, « Orientations relatives à la sous-traitance à des prestataires de services en nuage », EIOPA-BoS-20-002, février 2020, rapport (lien). 173 Cote 4 440. 174 Cote 4 338. 175 Voir par exemple BNP Paribas, « BNP Paribas signe un accord avec IBM Services pour poursuivre le déploiement de sa stratégie Cloud », 22 janvier 2019, communiqué de presse (lien). 176 Voir par exemple cotes 625, 680, 759-760, 1 268 et 1 037. 177 Voir par exemple cotes 392, 625 et 1 307. 41

volumes consommés178. L’un des acteurs interrogés illustre ce dernier point, en indiquant que « la souplesse de déploiement à la volée et le pilotage à distance permet une grande agilité et autonomie aux équipes internes en termes de déploiement d’infrastructure » et, en outre, que cela permet une « absorption de charge instantanée »179. 95. Toutefois, les contraintes qu’imposent la supervision et le contrôle du régulateur, impliquant notamment une forme d’accès aux données et aux serveurs informatiques des entités supervisées, pourraient constituer un frein, pour les acteurs bancaires traditionnels, à l’externalisation totale de leurs services informatiques. En effet, l’accès du superviseur bancaire aux données permettant de réaliser ses audits impliquerait notamment une contractualisation en ce sens entre l’entité supervisée et son prestataire de service de cloud. Le projet de règlement européen sur la résilience numérique du secteur financier a précisément pour but de traiter, entre autres, cette question180. La blockchain, une technologie au service notamment de la réalisation de transactions en crypto-actifs 96. La technologie blockchain (ou « chaîne de blocs ») a été historiquement développée pour permettre la réalisation de transactions en crypto-actifs181. En l’absence d’un organe central de contrôle jouant le rôle d’intermédiaire entre les parties participant à une transaction, les chaînes de blocs, sur lesquelles reposent des crypto-actifs tels que le Bitcoin et l’Ether, permettent de réduire les coûts de transaction des systèmes traditionnels centralisés dans lesquels une entité centrale joue le rôle de tiers de confiance182. Comme indiqué dans le rapport d’information déposé par la mission d’information commune de l’Assemblée nationale sur les chaînes de blocs, « [l]’exploit qu’est parvenu à accomplir l’écosystème des blockchains est celui de se substituer – à son échelle – au vaste système financier et à la confiance dans la monnaie qui a mis plus d’une centaine d’années à s’acquérir, en créant une « monnaie » purement virtuelle, sans cours contrôlé par une autorité publique, et dont la masse monétaire n’évolue que par l’exécution d’un protocole informatique. Il s’agit donc d’une grande opération de désintermédiation, qui pourrait tout à fait se répliquer dans d’autres secteurs que le secteur financier »183.

178 Cote 620. 179 Cote 625. 180 Voir proposition de Règlement du Parlement et du Conseil COM(2020) 595 final 2020/0266 (COD) du 24 septembre 2020 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014 et (UE) nº 909/2014, notamment les articles 1, 27-2 et 31 à 35. 181 DE LA RAUDIERE, L. et MIS, J-M., « Rapport d’information déposé par la mission d’information commune de l’Assemblée nationale sur les chaînes de blocs (blockchains) », décembre 2018, rapport, page 119 (lien). 182 DE LA RAUDIERE, L. et al, rapport d’information de décembre 2018, précité, page 18. 183 DE LA RAUDIERE, L. et al, rapport d’information de décembre 2018, précité, page 24. 42

Les principales caractéristiques de la technologie blockchain 97. Développée pour la première fois en 2008184, la blockchain peut être définie comme une technologie de stockage et de transmission d’informations185, enregistrées sur des blocs et relatives aux transactions effectuées par les utilisateurs du réseau, qui permet de constituer un registre dans lequel l’information est simultanément distribuée entre tous les utilisateurs186. Ceux-ci disposent individuellement, d’une part, d’un code alphanumérique appelé « clé privée », leur permettant d’initier et de signer cryptographiquement une transaction, et, d’autre part, d’une clé publique intrinsèquement liée à la clé privée, servant d’identifiant sur le réseau et connue de tous187. Comme précisé dans le rapport de la mission d’information commune de l’Assemblée nationale sur les chaînes de blocs, « [c]ette caractéristique fait d’une blockchain (…) un système où l’on évolue sous pseudonyme mais pas anonymement »188. Figure n° 12 – Schéma d’une chaîne de blocs

Source : Blockchain France. 98. Chaque bloc de la chaîne, qui regroupe plusieurs transactions189 et est horodaté190, possède un identifiant pouvant être exprimé en langage binaire (0 et 1), appelé « hash », qui permet de relier les blocs les uns aux autres191. Grâce à une technique de hachage cryptographique (i.e. conversion en langage binaire à l’aide de la cryptographie), faisant de la blockchain une technologie sécurisée192, les données contenues dans un nouveau bloc, c’est-à-dire le hash du bloc précédent, les informations relatives à un certain nombre de transactions effectuées par les utilisateurs du réseau dans un certain laps de temps et un horodatage donné, sont

184 FAURE-MUNTIAN, V., DE GANAY, C., et LE GLEUT, R., « Rapport au nom de l’Office parlementaire d’évaluation des choix scientifiques et technologiques sur les enjeux technologiques des blockchains (chaînes de blocs) », juin 2018, rapport, page 19 (lien). 185 FAURE-MUNTIAN, V. et al, rapport de juin 2018, précité, page 13. 186 LANDAU, J-P., rapport de juillet 2018, précité, page 4. 187 DE LA RAUDIERE, L. et al, rapport d’information de décembre 2018, précité, page 16. Voir également le site internet de Bitcoin (lien) et le site internet Blockchain in France (lien). 188 DE LA RAUDIERE, L. et al, rapport d’information de décembre 2018, précité, page 16. 189 LANDAU, J-P., rapport de juillet 2018, précité, page 80. 190 DE LA RAUDIERE, L. et al, rapport d’information de décembre 2018, précité, page 16. De plus, comme indiqué par Valéria Faure-Muntian, Claude de Ganay et Ronan Le Gleut dans leur rapport de juin 2018, précité, pages 26 et 27, « cet aspect (…) est essentiel car il permet la datation relative des blocs ainsi constitués, la blockchain formant à cet égard une sorte de chronologie dans laquelle les transactions sont classées les unes après les autres ». 191 FAURE-MUNTIAN, V. et al, rapport de juin 2018, précité, page 27. 192 DE LA RAUDIERE, L. et al, rapport d’information de décembre 2018, précité, page 11. 43

converties en un hash unique, qui lui est propre193. Ceci fait dire aux auteurs du rapport au nom de l’Office parlementaire d’évaluation des choix scientifiques et technologiques portant sur les enjeux technologiques des blockchains, précité, qu’« [a]lors qu’il est simple de produire un hash à partir d’un ensemble de données, il est impossible de remonter à un ensemble de données à partir d’un hash connu, du moins avec les puissances de calcul disponibles aujourd’hui »194. Figure n° 13 – Schéma du contenu d’un bloc de la chaîne dans lequel les hashs sont exprimés en base hexadécimale

Source : Les enjeux technologiques des blockchains (chaînes de blocs), Rapport au nom de l’Office parlementaire d’évaluation des choix scientifiques et technologiques, juin 2018, précité, page 31. 99. Avant qu’un bloc puisse être ajouté à la chaîne, celui-ci doit être validé, généralement à l’aide d’un protocole de consensus (appelé aussi « algorithme de consensus »), par les nœuds du réseau195, ensemble d’ordinateurs, détenus par les utilisateurs du réseau196, qui stockent chacun une copie de la chaîne de blocs et la mettent à jour au fur et à mesure197. 100. Les protocoles de consensus les plus souvent employés reposent sur la preuve de travail (ou « proof of Work »), la preuve d’enjeu (ou « proof of Stake ») ou encore la preuve d’autorité (« proof of Authority »). Dans le cadre des systèmes de preuve de travail, des utilisateurs du réseau, organisés parfois sous forme de groupements ou « pools » et appelés mineurs (ou « miners »), se font concurrence pour créer un bloc, réunissant les transactions ayant lieu dans un certain laps de temps, et résoudre, sur la base de leurs puissances de calcul informatique respectives et en contrepartie d’une rémunération198, le calcul informatique permettant d’associer un hash au nouveau bloc créé199. Le mineur ayant trouvé la solution

193 FAURE-MUNTIAN, V. et al, rapport de juin 2018, précité, pages 27 et 30. 194 FAURE-MUNTIAN, V. et al, rapport de juin 2018, précité, page 28. 195 DE LA RAUDIERE, L. et al, rapport d’information de décembre 2018, précité, page 16. 196 LANDAU, J-P., rapport de juillet 2018, précité, page 81. 197 Idem supra. 198 En plus de percevoir une rémunération en cas de réussite, les mineurs prélèvent des frais sur les transactions qu’ils incluent dans chaque nouveau bloc qu’ils créent (voir FAURE-MUNTIAN, V. et al, rapport de juin 2018, précité, page 37). 199LANDAU, J-P., rapport de juillet 2018, précité, page 81 ; NASCIMENTO, S. (ed), POLVORA, A. (ed), ANDERBERG, A., ANDONOVA, E., BELLIA, M., CALES, L., INAMORATO DOS SANTOS, A., KOUNELIS, I., NAI FOVINO, I., PETRACCO GIUDICI, M., PAPANAGIOTOU, E., SOBOLEWSKI, M., ROSSETTI, F., SPIRITO, L., « Blockchain Now And Tomorrow: Assessing Multidimensional Impacts of Distributed Ledger Technologies », EUR 29813 EN, Publications Office of the European Union, Luxembourg, 2019, ISBN 978-92-76-08977-3, doi:10.2760/901029, JRC117255, page 24 (lien). 44

audit problème transmettra ensuite le bloc aux nœuds du réseau qui vérifieront l’exactitude de la solution afin de pouvoir procéder à la validation du bloc200 et l’ajouter à leurs propres copies de la chaîne de blocs201. Quant aux systèmes de preuve d’enjeu, ceux-ci se caractérisent par le fait que le mineur, qui procédera à la création du prochain bloc, sera sélectionné aléatoirement parmi ceux disposant d’une certaine quantité de crypto-actifs202. Enfin, dans les systèmes de preuve d’autorité, les nouveaux blocs sont validés à tour de rôle par des nœuds dont la liste est connue au départ203. Figure n° 14 – Schéma du fonctionnement d’une chaîne de blocs

Source : Rapport d’information sur les chaînes de blocs (blockchains), décembre 2018, page 17. 101. Une fois qu’un bloc est validé, son contenu, ainsi que celui des blocs précédents, ne peut que très difficilement être altéré et falsifié204. Les différents types de blockchain 102. En fonction de la manière dont les droits de réalisation et de validation d’une transaction sont définis, les chaînes de blocs peuvent être classées selon deux catégories : les chaînes de blocs dites « non permissionnées » (ou « permissionless ») et celles dites « permissionnées »

200 NASCIMENTO, S. et al, rapport de 2019, précité, page 24; DE LA RAUDIERE, L., et al, rapport d’information de décembre 2018, précité, page 16. 201 DE LA RAUDIERE, L. et al, rapport d’information de décembre 2018, précité, page 17. 202 DE LA RAUDIERE, L. et al, rapport d’information de décembre 2018, précité, page 39 ; LANDAU, J-P., rapport de juillet 2018, précité, page 82. 203 Deloitte, « La Blockchain – Panorama des technologies existantes », 2017, étude, page 5 (lien). 204 Comme indiqué par Laure de la Raudière et Jean-Michel Mis dans leur rapport d’information sur les chaînes de blocs, « [i]l faut, en réalité, un très rare consensus des acteurs de la blockchain pour ef ectuer un « retour en arrière » sur des blocs validés, et toujours pour ces cas de force majeure » (voir Assemblée nationale, rapport d’information de décembre 2018, précité, page 16). 45

(ou « permissioned »)205. Pour ce qui relève des chaînes de blocs appartenant à la première catégorie, tous les utilisateurs du réseau peuvent réaliser et valider des transactions206. Dans le cadre des chaînes de blocs relevant de la deuxième catégorie, seuls certains utilisateurs peuvent réaliser des transactions, les valider ou effectuer ces deux types d’opérations207. 103. En outre, et indépendamment de la manière dont les droits de réalisation et de validation des transactions auront été définis, il est possible de faire la distinction entre les chaînes de blocs dites « publiques », dans lesquelles (i) n’importe quel utilisateur peut accéder au réseau et (ii) le contenu des différents blocs de la chaîne est visible par tous les utilisateurs208, et celles dites « privées », dont (i) l’accès au réseau doit faire l’objet d’une autorisation et (ii) le droit de lecture, qui a une incidence sur la visibilité du contenu des blocs de la chaîne, peut être soit public, soit restreint209. 104. Les chaînes de blocs privées peuvent, à leur tour, être sous-divisées en deux catégories : les chaînes de blocs purement privatives, d’une part, et les chaînes de blocs dites « de consortium », d’autre part. Dans les chaînes de blocs purement privatives, un seul acteur, propriétaire de la chaîne de blocs et gérant son développement en fonction de l’usage qui en est attendu, contrôle l’accès au réseau et définit notamment le droit de lecture210. Comme indiqué dans le rapport d’information déposé par la mission d’information commune de l’Assemblée nationale sur les chaînes de blocs, « les blockchains purement privatives s’apparentent davantage à une application intranet qui permet d’apporter du service ou des gains de productivité au sein d’une même organisation »211. Quant aux chaînes de blocs de consortium, elles permettent de « réunir plusieurs acteurs en nombre limité et de faciliter la gouvernance de leurs intérêts mutuels (…). L’exemple le plus connu d’une telle forme de blockchain est Corda, développée par le consortium R3, qui réunit des établissements financiers (plus de 80), [dont certains français], pour accélérer l’enregistrement de leurs flux de transactions »212. L’impact de la blockchain dans le secteur des paiements 105. La technologie blockchain ne semble pas avoir encore atteint un degré de maturité suffisant lui permettant d’avoir aujourd’hui un impact significatif sur le secteur des paiements. Certains contributeurs à la consultation publique213 ont indiqué en effet que l’impact réel de

205 NASCIMENTO, S. et al, rapport de 2019, précité, page 14. 206 Idem supra. 207 Idem supra. 208 NASCIMENTO, S. et al, rapport de 2019, précité, page 14 ; LANDAU, J-P., rapport de juillet 2018, précité, page 80 ; CONG, L.W., et HE, Z., « Blockchain disruption and smart contracts », National Bureau of Economic Research, Working paper n° 24399, avril 2018, page 10 (lien), et DE LA RAUDIERE, L. et al, rapport d’information de décembre 2018, précité, page 16. 209 NASCIMENTO, S. et al, rapport de 2019, précité, page 14 ; LANDAU, J-P., rapport de juillet 2018, précité, page 80. 210 LANDAU, J-P., rapport de juillet 2018, précité, page 80 ; DE LA RAUDIERE, L. et al, rapport d’information de décembre 2018, précité, page 21. 211 DE LA RAUDIERE, L. et al, rapport d’information de décembre 2018, précité, page 21. 212 Idem supra. 213 Voir site internet de l’Autorité de la concurrence (lien). 46

cette technologie sur les services de paiement s’avérait, à date, négligeable214. Par ailleurs, l’ACPR a souligné que les limites que présente cette technologie, parmi lesquelles la lenteur de traitement des transactions215, le nombre limité de transactions traitées216 et une très forte consommation énergétique217, ont jusqu’à présent freiné son développement. Comparativement aux services de cloud, le recours à la blockchain par les acteurs des services de paiement demeure nettement moins répandu218. 106. Néanmoins, d’autres acteurs ayant contribué à la consultation publique, tels que l’Association pour le développement des actifs numériques et Coinhouse, ont insisté sur le caractère prometteur de l’avenir de la technologie blockchain dans le secteur des paiements219. Tout en permettant et en favorisant l’apparition de nouveaux services innovants220, cette technologie devrait selon eux contribuer à améliorer la sécurité221 et le coût222 des opérations de paiement et à accroître leur transparence223. En outre, elle pourrait permettre d’accélérer les transactions transfrontalières effectuées en monnaies ayant cours légal et de rendre plus efficaces l’identification et le contrôle des participants à une transaction dans le cadre de la lutte contre le blanchiment et le financement du terrorisme224. B. UNE NOUVELLE DYNAMIQUE DE MARCHE : L’ARRIVEE DE NOUVEAUX ACTEURS ET L’ADAPTATION DES GROUPES BANCAIRES TRADITIONNELS 107. Les progrès technologiques et changements réglementaires récents décrits précédemment ont conduit à une nouvelle dynamique de marché, caractérisée de deux manières : d’une part, par l’arrivée de nouveaux opérateurs, dans un secteur relevant traditionnellement du « monopole bancaire » et dominé par six grands groupes français225, dont certains de taille mondiale et parmi les plus importants de l’Union européenne226, et par les réseaux de cartes

214 Cotes 3 920, 3 952 et 3 981. 215 LE MOIGN, C., « ICO françaises : un nouveau mode de financement », novembre 2018, AMF, page 3 (lien). 216 Banque de France, « Le bitcoin », juillet 2018, L’éco en bref, page 3 (lien). 217 DE LA RAUDIERE, L. et al, rapport d’information de décembre 2018, précité, page 33. 218 Cote 4 438. 219 Cotes 3 952, 4 001, 4 011 et 4 033. 220 Cotes 3 952, 4 023 et 4 057. 221 Cotes 4 043 et 4 057. 222 Cotes 3 952 et 4 057. 223 Cotes 4 012 et 4 057. 224 LANDAU, J-P., rapport de juillet 2018, précité, pages 27 et 28. 225 « Fin 2019, les actifs détenus par l’ensemble du secteur bancaire français, en France et à l’étranger, s’établissaient à 8 671 milliards d’euros. 81 % de ces actifs étaient concentrés sur les six plus grands groupes bancaires français ». Voir ACPR, « Les chiffres du marché français de la banque et de l’assurance 2019 », octobre 2020, publication statistique, page 9 (lien). 226 « […] au niveau mondial, 4 groupes bancaires français sont inscrits sur la liste des établissements d’importance systémique mondiale (EISm) publiée par le Conseil de stabilité financière, qui en compte une 47

bancaires (1), d’autre part, par l’adaptation des groupes bancaires traditionnels à cette nouvelle donne et leur participation directe à l’évolution du secteur des paiements (2). 1. L’ARRIVEE DE NOUVEAUX ACTEURS 108. Jusqu’alors dominé par les acteurs traditionnels, banques et réseaux de cartes bancaires, le secteur des paiements est marqué tout d’abord par l’arrivée des FinTech (a), puis par l’entrée et le développement significatif des BigTech (b). a) L’émergence de FinTech proposant des services de paiement 109. Comme précisé au paragraphe 5 supra, dans le cadre du présent avis, la notion de « FinTech » est entendue comme regroupant les acteurs non-bancaires présents dans le secteur des paiements, à l’exception des BigTech, et dont les profils et modèles varient parfois significativement. 110. La Banque de France distingue quant à elle, sous ce terme, 3 catégories d’acteurs227. 111. La première catégorie est présente essentiellement dans le domaine de la relation client. Elle est composée d’acteurs qui utilisent largement les possibilités offertes par les smartphones pour proposer des services, notamment sous forme d’applications mobiles, à des utilisateurs de services bancaires. Il s’agit par exemple des services d’information sur les comptes, consacrés par la DSP2 et proposés par des acteurs comme Bankin’ ou Linxo, qui permettent, selon les cas, non seulement d’agréger les informations de comptes détenus dans différentes banques, mais aussi de gérer certaines opérations de manière automatisée et d’analyser les données bancaires de l’utilisateur en vue de lui apporter un conseil sur la gestion de ses comptes et de lui proposer des services adaptés. 112. La deuxième catégorie « se focalise sur le développement, en appui au système bancaire et sans le remettre en cause, de solutions visant à faciliter les échanges en apportant des services complémentaires ». Elle rassemble ainsi des acteurs proposant de nouvelles solutions visant à faciliter certaines fonctions du système bancaire existant. Elle comprend, d’une part, les services d’initiation de paiement228 et, d’autre part, les services techniques fournis aux prestataires de services de paiement. 113. Il peut s’agir, par exemple, des systèmes facilitant le traitement des paiements, tels que ceux offerts par Voxpay qui propose une « solution de paiement à distance omnicanal (vocal, sms, chat, email…) » permettant l’encaissement à distance de transactions de manière sécurisée et confidentielle, sans que les consommateurs aient à révéler leurs coordonnées bancaires aux professionnels229, Dejamobile ou Antelop, qui fournissent des solutions de paiement en marque blanche (notamment aux établissements bancaires) et qui s’appuient sur des technologies comme la NFC, le token ou le QR code230.

trentaine dont huit au sein de la zone euro, ce qui reflète le poids important du secteur bancaire français ». Voir ACPR, publication statistique d’octobre 2020, précitée, page 9. 227 Banque de France, rapport de janvier 2021, précité, pages 373 et suivantes. 228 Ces services s’appuient sur la technologie récente pour proposer aux utilisateurs de nouvelles manières d’initier des paiements. 229 Cotes 1 360 et suivantes. 230 Cotes 642, 1 687 et 1 688. 48

114. La troisième catégorie regroupe les néobanques, qui proposent des services de tenue de compte et autres services classiquement offerts par les banques traditionnelles, mais sous une version différenciée. Sous les termes « banque en ligne » ou « néobanque », utilisés de manière interchangeable par l’ACPR231, cohabitent plusieurs générations d’acteurs : • les acteurs issus de l’avènement d’internet à la fin des années 90 et au début des années 2000, comme Fortuneo ou Boursorama, dont la plupart ont été rachetés par les banques traditionnelles ; • les acteurs créés ex-nihilo par les banques traditionnelles autour des années 2010 comme BforBank, par le groupe Crédit Agricole, ou HelloBank, par BNP Paribas ; • les acteurs dont les offres s’appuient essentiellement sur les outils de communication à distance et misant sur un réseau d’agences physiques préexistant pour réduire les coûts de distribution et les coûts d’acquisition de la clientèle ; dans cette catégorie, on peut citer Compte Nickel (devenu Nickel) qui a développé son modèle en offrant un accès facilité à des services de cartes de paiement en s’appuyant sur une distribution par le réseau des buralistes, Carrefour Banque, qui s’appuie sur les magasins Carrefour232, Orange Bank, qui utilise notamment le réseau des boutiques Orange, et Ma French Bank, qui permet l’ouverture d’un compte en bureau de poste233 ; et • les acteurs proposant, depuis les années 2015, des offres nativement mobiles, dont Revolut et N26 par exemple, qui lancent leurs services à l’échelle européenne plutôt que dans une logique de marché domestique. 115. En 2018, les établissements de la catégorie des néobanques comptaient environ 4,4 millions de clients, soit 6,5 % de la population française de cette même année234. En 2019, le nombre de clients conquis par ces établissements a connu une hausse de 75 %, représentant environ deux millions de clients supplémentaires235. 116. Les FinTech recouvrent une gamme d’opérateurs dont les profils et modèles économiques varient significativement : on y trouve aussi bien des petites entreprises innovantes de type « start-up », sans activité préexistante, que des acteurs bien établis, issus d’autres secteurs d’activités, comme Orange ou Carrefour. Les modèles économiques des nouveaux acteurs varient entre la commission prélevée sur les paiements (par exemple LemonWay ou Kantox), le freemium236 (par exemple Linxo, Bankin’ ou N26), l’abonnement (Nickel, Bankin’ ou

231 Voir ACPR, « Étude sur les modèles d’affaires des banques en ligne et des néobanques », octobre 2018, Analyses et synthèses n° 96 (lien). 232 Voir site internet de Carrefour (lien). 233 Voir site internet de Ma French Bank (lien). 234 ACPR, étude portant sur les modèles d’affaires d’octobre 2018, précitée, page 13. 235 ACPR, « Des néobanques en quête de rentabilité », juin 2020, Analyses et synthèses n° 113-2020, page 7 (lien). 236 Le « freemium » est un modèle économique par lequel on propose un produit ou un service qui est gratuit et destiné à attirer un grand nombre d’utilisateurs. On cherche ensuite à convertir ces utilisateurs en clients pour une version du service plus évoluée qui elle est payante ou pour des services complémentaires également payants (lien). 49

N26)237, ou la vente de services aux banques en marque blanche (par exemple Linxo ou Budget Insight)238. 117. Le principal point commun de l’ensemble de ces acteurs est qu’ils se sont développés sur des segments d’activité de niche, en s’appuyant sur les nouvelles technologies, notamment le smartphone. Ce positionnement vise à répondre à une demande qu’ils estiment non couverte par les services bancaires traditionnels239, afin d’améliorer des services existants240 ou de créer de nouveaux services. Il s’agit par exemple des services de paiement de particulier à particulier, des nouveaux services d’agrégation et de gestion automatisée des comptes et de l’épargne, comme ceux proposés par Bankin’ ou Linxo précités, des services de transfert d’argent à l’étranger proposés par des acteurs comme PayTop ou TransferWise à des coûts inférieurs aux services des acteurs bancaires traditionnels du secteur241, ou des services bancaires à des personnes non-bancarisées comme Nickel, qui se distinguent des offres bancaires classiques en offrant un service de gestion de compte ouvert à toute personne, sans condition de revenus, de dépôt ou de patrimoine mais, en contrepartie, sans possibilité de découvert ou de crédit242. 118. Il convient de relever que ces entités non-bancaires ont joué, et continuent de jouer, un rôle clé dans l’innovation au sein du secteur de la banque de détail243 et que leur apport peut être considérable dans les zones du monde où les services bancaires traditionnels sont moins accessibles244. Comme l’a indiqué le professeur X… à l’occasion du comité de concurrence de l’OCDE des 5-7 juin 2019, « des entités non bancaires telles que PayPal, Apple et Google, ainsi que de nouveaux entrants tels que Revolut, N26 ou Transferwise sont souvent à l’origine des innovations en matière de paiement. Par exemple, les dispositifs de paiement sur mobile ont un effet considérable dans les juridictions où seule une faible proportion de la population détient un compte courant. C’est souvent le cas en Afrique, où un quart seulement de la population possède un compte en banque, mais où une part beaucoup plus grande des habitants ont accès à un téléphone portable. C’est souvent dans ce type de région que l’on met à l’essai de nouveaux systèmes de paiement ainsi que des prêts destinés à des consommateurs n’ayant guère d’antécédents de crédit. Il convient de noter le bond technologique extraordinaire que représente, pour une personne dépourvue de compte bancaire, le fait de se voir proposer des services bancaires sur son téléphone portable ». 119. Certaines FinTech, qui sont entrées sur un segment de niche du secteur, atteignent un niveau de développement leur permettant de diversifier leur offre jusqu’à proposer, dans certains

237 À titre illustratif, Nickel perçoit une cotisation annuelle de 30 euros correspondant à la mise à disposition, auprès de ses abonnés, de la carte de paiement Nickel Chrome. S’agissant de Bankin’, l’utilisateur peut souscrire à un abonnement premium (Bankin’ Plus ou Bankin’ Pro) qui offre des fonctionnalités complémentaires aux services basiques proposés gratuitement. 238 Voir Xerfi, « Les FinTech et nouveaux entrants dans la banque et l’assurance », février 2017, étude, pages 81 et suivantes. 239 Qonto par exemple propose un service de comptabilité et de gestion des dépenses aux PME qui n’était pas proposé par les acteurs bancaires traditionnels. 240 Voir par exemple la cote 4 058. 241 Voir notamment les cotes 3 993 et 3 994. 242 Voir le site internet du groupe BNP Paribas (lien). 243 Voir ACPR, étude portant sur les modèles d’affaires d’octobre 2018, précitée. 244 VIVES, X., « Disruption numérique sur les marchés financiers », 27 juin 2019, note établie à l’occasion de la 131ème réunion du Comité de la concurrence de l’OCDE, pages 5 et 6 (lien). 50

cas, des services comparables à ceux proposés par les acteurs bancaires, parfois en dehors de la sphère des paiements (en matière d’épargne ou de crédit par exemple). C’est le cas par exemple de la FinTech Qonto qui offre des services de comptabilité et de gestion des dépenses aux PME et des cartes de paiement pour leurs salariés. Qonto a commencé son activité en tant qu’agent prestataire de services de monnaie électronique en France, avant de proposer des services de paiement non seulement en France mais aussi à l’étranger. Elle pourrait en outre proposer à l’avenir d’autres services bancaires comme le crédit245. 120. D’autres connaissent un essor européen, voire international. C’est le cas par exemple de l’entreprise allemande N26, fondée en 2013 et présente en France depuis 2017, dont les services de paiement sont disponibles dans 21 pays européens et aux États-Unis246. Son chiffre d’affaires mondial dépassait 100 millions d’euros en 2019247 et elle comptait plus d’1 million de clients en France et plus de 5 millions de clients dans le monde cette même année248. 121. À ce jour, bien que ces nouveaux acteurs connaissent une augmentation rapide de leur base de clientèle et financent leur croissance par des levées de fonds dans une stratégie de long terme, ils peinent encore, comme la plupart des néobanques, à établir un modèle d’affaires rentable sur le court terme249. 122. À l’échelle européenne, le développement des nouveaux services de paiement connaît certaines tendances communes, mais également des différences notables présentées dans l’encadré ci-dessous.

245 Cote 4 670. 246 Cote 3 638. 247 Il était d’environ 11 millions d’euros en 2017 et 48 millions en 2018. 248 Cotes 3 638 et 3 639. Voir le site internet de N26 (lien). 249 Voir ACPR, étude portant sur les modèles d’affaires d’octobre 2018, précitée, page 13 et suivantes, et ACPR, étude portant sur la rentabilité des néobanques de juin 2020, précitée. 51

Le développement des services de paiement en Europe

Partout en Europe, le développement des nouvelles technologies et leur entrée dans le secteur a conduit à de nouveaux usages et à la dématérialisation des paiements. Ce processus a été favorisé par certaines évolutions de dimension paneuropéenne, comme l’adoption de règles communes permettant l’émergence du système de paiement SEPA à l’échelle de l’UE. Par ailleurs, le paiement par carte bancaire et les paiements mobiles sont en augmentation partout en Europe. Toutefois, le niveau de développement des nouveaux services n’est pas uniforme dans l’ensemble de l’Europe. En 2019, le paiement sans contact en magasin, qu’il soit réalisé par carte ou par une application mobile, représentait en France 38 % de l’ensemble des paiements par carte en nombre de transactions, soit la même part qu’au niveau de la zone euro. En valeur, ce chiffre était de 18 %, nettement inférieur à la moyenne de la zone euro qui était de 27 %. En raison des mesures favorisant le paiement sans contact en réponse à la crise sanitaire liée à la Covid-19 prises dans tous les États de la zone euro, ces proportions sont appelées à augmenter significativement. En France, malgré le lancement de Paylib en 2013, le paiement mobile repose principalement sur des solutions proposées par les acteurs internationaux, comme Apple Pay ou Google Pay250, alors que dans d’autres pays de l’UE, comme les Pays-Bas ou la Suède, ces services, dénommés IDEAL et Swish respectivement, ont été développés par des acteurs nationaux. L’implantation territoriale des FinTech en Europe varie également considérablement : en effet, selon l’étude du Parlement européen sur les problématiques concurrentielles dans le secteur de la technologie financière, en 2018, plus de la moitié des FinTech, tous services financiers confondus, implantées en Union européenne l’étaient au Royaume-Uni251. 123. Alors que la plupart des start-ups proposant de nouveaux services dans le secteur des paiements doivent constituer une base de clientèle ex-nihilo, certains nouveaux entrants, utilisant les nouvelles technologies, s’appuient sur une clientèle et un réseau de distribution préexistants, comme Orange Bank par exemple, dont les services sont proposés aux clients existants ou potentiels via le réseau préconstitué de boutiques Orange, dont l’activité principale est la vente de produits et services télécoms. Cette caractéristique est également présente chez les BigTech, qui s’appuient sur leur base de clientèle déjà constituée dans le cadre de leurs activités de cœur de métier pour proposer de nouveaux services, y compris dans le secteur des paiements. 124. Le schéma ci-dessous vise à représenter, par catégories d’acteurs proposant des solutions de paiement, ce secteur.

250 Voir la figure n° 5 au paragraphe 35 ci-dessus. 251 Parlement européen, « Problèmes de concurrence dans le domaine des technologies financières (FinTech), juillet 2018, étude, page 33. Version complète de l’étude (en anglais) et résumé (en français). 52

Figure n° 15 – Représentation illustrative du secteur par catégories d’acteurs proposant des solutions de paiement (liste non-exhaustive d’opérateurs)

Source : Élaboration par l’Autorité de la concurrence à partir des éléments versés au dossier.

b) L’entrée des BigTech 125. Depuis plusieurs années, certaines BigTech, qui regroupent au sens du présent avis, comme indiqué au paragraphe 6 supra, les GAFAM et les BATX, utilisent leur plateforme pour faciliter la fourniture de services financiers, dont l’offre peut compléter et renforcer leurs activités commerciales252. 126. Au cours des dix dernières années, les GAFAM et, dans une moindre mesure, les BATX ont progressivement fait leur entrée dans le secteur des paiements en France. Les services de paiement sont historiquement parmi les premiers services financiers proposés par les BigTech253. 127. On peut distinguer, comme le fait la Banque des règlements internationaux (ci-après « BRI »), deux types de plateformes de paiement des BigTech. Le premier type concerne les systèmes dans lesquels les opérateurs s’appuient sur les infrastructures tierces existantes, comme les systèmes de carte de paiement ou de paiement de détail, pour traiter et régler les paiements. C’est le cas par exemple d’Apple Pay ou de Google Pay, qui sont adossés aux

252 Banque des règlements internationaux (BRI), « Rapport économique annuel », juin 2019, rapport (lien). 253 Financial Stability Board, « BigTech in finance : market developments and potential financial stability implications », décembre 2019, rapport, page 5 (lien) ; BRI, rapport de juin 2019, précité, page 57. 53

systèmes de paiement par carte bancaire. Le second type concerne des systèmes dans lesquels les utilisateurs peuvent effectuer des paiements en utilisant des infrastructures de traitement et de règlement des paiements dont les BigTech sont propriétaires, comme c’est le cas notamment pour Alibaba et Tencent en Chine254. 128. Les services appartenant à la seconde catégorie sont plus répandus dans les pays où la pénétration des moyens de paiement scripturaux, y compris les cartes de paiement, est faible255, comme en Chine où, en outre, la réglementation semble plus favorable à leur développement256. Services proposés en France par les GAFA257 Google 129. Dès 2006, Google lançait un service dénommé « Google Checkout » qui permettait aux utilisateurs de régler des achats en ligne, sur le site des commerçants partenaires, sans utiliser leur carte bancaire et à l’aide d’un processus sécurisé258. Ce service a ensuite été fermé et intégré à Google Wallet en 2011, lui-même intégré à Android Pay en 2015, devenu Google Pay en 2018, et disponible en France cette même année. Selon Google, il s’agit d’une « marque ombrelle qui réunit les différents modes de paiement ou d’acceptation de paiements de Google »259. 130. Aujourd’hui Google fournit deux catégories de solutions de paiement en France : la première catégorie relève, selon Google, de l’article L. 314-1 du CMF. Il s’agit d’un service d’acquisition, au sens de cet article, d’opérations de paiement auquel peuvent accéder les marchands sur certaines places de marché de Google. En vertu de ce service, Google réceptionne, pour le compte du marchand bénéficiaire du paiement, les fonds issus de l’opération de paiement et s’engage à les mettre à disposition du marchand. 131. La seconde catégorie rassemble un ensemble de services rattachés à la marque Google Pay qui, selon Google, ne relèvent pas de l’article L. 314-1 du CMF. 132. Les solutions proposées sous la marque Google Pay permettent aux utilisateurs particuliers d’effectuer des achats en ligne et au sein d’applications260 ainsi que des paiements sans contact depuis un appareil mobile. Dans tous les cas, l’utilisateur aura préalablement enregistré une carte de paiement liée à un compte virtuel d’une banque ou un portefeuille électronique détenu auprès d’une entreprise tierce. S’agissant des paiements sans contact plus particulièrement, Google Pay fonctionne grâce à la technologie NFC (voir supra, paragraphes 81 et suivants). Les transactions effectuées sont protégées par des technologies de cryptage et de décryptage associées à un processus de « tokenisation », i.e. transformation

254 BRI, rapport de juin 2019, précité. 255 Idem supra. 256 The Economist, « BigTech takes aim at the low-profit retail-banking industry », 21 novembre 2019 (lien). 257 Bien que Microsoft puisse possiblement être associé à certains projets dans le secteur des paiements, l’Autorité ne dispose pas d’informations spécifiques à ce sujet. Par conséquent, ne sont abordés dans cette partie que les services proposés par Google, Apple, Amazon et Facebook. 258 Journal du Net, « Google lance Google Checkout pour concurrencer Paypal », 30 juin 2006 (lien). 259 Cotes 3 787 et 3 788. 260 Il est possible d’acheter des contenus ou des services supplémentaires au sein de certaines applications, comme par exemple une épée, une clé ou encore des devises (voir site internet de Google (lien)). 54

des informations sensibles de l’utilisateur en un jeton correspondant à un numéro d’identification unique261. 133. Ces solutions permettent également aux utilisateurs professionnels (les marchands tiers) de proposer, aux utilisateurs ayant enregistré une carte de paiement dans leur compte Google, de régler leurs achats de manière simplifiée262. Il est ainsi possible, via le service Google Pay, de régler un achat via son smartphone par exemple, sans sortir sa carte bancaire de son portefeuille. 134. Par ailleurs, Google propose d’autres fonctionnalités à l’international, comme « une fonctionnalité d’envoi/de demande de fonds en ligne rapidement, gratuitement, et en toute sécurité aux Etats-Unis et en Inde »263. Apple 135. Apple est entrée plus tardivement dans le secteur des paiements avec sa solution de paiement mobile Apple Pay, lancée aux États-Unis en 2014 et en France en 2016. Ce service, qui s’appuie sur la technologie NFC, permet aux utilisateurs d’iPhone, clients des banques ayant conclu un partenariat avec Apple, de régler des achats en ligne ou en magasin en utilisant leur appareil Apple, par exemple leur téléphone, comme support physique de paiement, en lieu et place de leur carte bancaire264. Il faut préciser toutefois qu’un paiement effectué via

Apple Pay est effectivement opéré par la carte bancaire préenregistrée par l’utilisateur. Pour chaque transaction, Apple perçoit une commission qui vient s’ajouter à celles payées par les commerçants sur les transactions par carte bancaire265. 136. À ce jour, ce service ne semble être utilisé que par un nombre relativement limité de personnes en France. En effet, selon une étude du CREDOC, en 2019, 77 % des détenteurs de smartphones utilisaient le système Android et 22 % le système iOS d’Apple266. Parmi ces derniers, seuls ont accès à Apple Pay les détenteurs d’une version compatible de l’iPhone (voir supra, paragraphe 35). Cela correspond néanmoins au niveau mondial à 500 millions d’utilisateurs. 137. Apple considère qu’elle ne fournit pas de services de paiement en France et n’opère pas d’activités couvertes par l’article L. 314-1 du CMF. Son activité serait limitée à la fourniture de solutions technologiques aux acteurs du secteur bancaire267. Apple indique ainsi qu’elle a « développé des technologies pour permettre aux banques et aux organismes de monnaie électronique d’étendre leurs propositions existantes afin d’y inclure la NFC et les paiements de commerce électronique sécurisés »268. 138. Toutefois, s’il n’appartient pas à l’Autorité d’apprécier si les services d’Apple relèvent de l’article L. 314-1 du CMF, elle constate néanmoins que ces services sont étroitement liés aux services de paiement actuellement disponibles. Par ailleurs, Apple pourrait à l’avenir

261 Cote 3 794. 262 Cote 3 788. 263 Idem supra. 264 Les Echos, « Apple Pay achève de tisser sa toile en France », 28 janvier 2020 (lien). 265 Les Echos, « Comment Apple Pay s’est imposée auprès des banques françaises », 6 décembre 2019 (lien). 266 CREDOC, étude de novembre 2019, précitée. 267 Cote 1 314. 268 Cote 1 314. 55

jouer un rôle plus direct dans le secteur des paiements, à l’instar de son positionnement aux États-Unis, où elle a lancé en 2019 une carte de paiement dénommée « Apple Card » en partenariat avec Goldman Sachs et Mastercard269. Amazon 139. Amazon propose principalement deux catégories de services dans le secteur des paiements. Via sa filiale Amazon Payments Europe (« APE »), établissement de monnaie électronique, elle propose des services de traitement d’opérations de paiement aux commerçants tiers qui utilisent les services de place de marché d’Amazon pour vendre leurs produits aux consommateurs sur le site Amazon.fr. Ainsi, lorsqu’un consommateur achète un article auprès d’un vendeur tiers sur le site Amazon.fr, APE reçoit les fonds pour le compte du vendeur, avant de les transférer sur le compte bancaire de son choix. 140. Amazon propose également un service dénommé Amazon Pay, dont elle considère qu’il ne relève pas de l’article L. 314-1 du CMF. Ce service offre aux utilisateurs la possibilité de régler leurs achats en ligne auprès des commerçants tiers présents sur la plateforme, sans que ces derniers aient accès à leurs informations de carte bancaire270. Lors de la création de son compte, l’utilisateur renseigne ses informations bancaires et de livraison auprès d’Amazon, qui lui délivre un identifiant et un mot de passe. Seuls ces derniers sont nécessaires pour payer les commerçants de la plateforme. En outre, le service Amazon Pay peut être fourni à des commerçants qui ne vendraient pas leurs produits sur la plateforme et qui choisiraient d’ajouter une option Amazon Pay à la page de paiement de leur site internet ou application, permettant ainsi à leurs clients d’utiliser les méthodes de paiement déjà associées à leur compte Amazon pour effectuer des achats auprès d’eux271. Facebook 141. Les activités de Facebook conduisant l’entreprise à intervenir directement dans le secteur des paiements sont à l’heure actuelle relativement limitées. Jusqu’en juin 2019, Facebook fournissait un service de transfert d’argent de personne à personne qui fonctionnait via Messenger, son service de messagerie électronique272. Au moment d’annoncer l’arrêt de ce service, Facebook aurait indiqué vouloir se concentrer sur les expériences que les utilisateurs jugent les plus utiles273. 142. Toutefois, cette situation pourrait être amenée à évoluer rapidement puisque Facebook a également indiqué qu’il étudiait les possibilités d’introduire de nouveaux services de paiement dans l’Union européenne, y compris en France274, démontrant ainsi son intérêt pour ce secteur. 143. D’une part, Facebook a annoncé une refonte de ses services de paiement sous une seule marque, dénommée « Facebook Pay », déjà disponible aux États-Unis. Facebook Pay intégrera notamment deux services de paiement déjà proposés en France : un service de dons

269 Journal du Net, « Apple Card : fonctionnalités, prix, lancement en France… », 31 juillet 2020, (lien). 270 Amazon, « Amazon présente Amazon Pay en France », 18 avril 2017, communiqué de presse (lien). 271 Cote 884. 272 Cote 1 411. 273 L’usine digitale, « Pourquoi Facebook arrête le paiement P2P via Messenger en Europe », 19 avril 2019 (lien). 274 Cote 1 412. 56

caritatifs et de collectes de fonds en monnaie électronique pour les organisations caritatives275 et un service d’achat d’articles numériques dans le cadre de jeux276. 144. D’autre part, Facebook a annoncé son intention de lancer, via sa filiale Novi, anciennement dénommée Calibra, un portefeuille numérique destiné non seulement au Diem Dollar mais également aux autres stable coins, multidevises ou à devise unique, que l’Association Diem pourrait lancer dans l’avenir277.

145. Les utilisateurs du portefeuille Novi devraient notamment pouvoir envoyer (et recevoir) le Diem Dollar, ainsi que les autres stable coins, multidevises ou à devise unique, que l’Association Diem pourrait lancer dans l’avenir, à d’autres utilisateurs du portefeuille Novi ainsi qu’aux personnes utilisant des portefeuilles tiers278 sur lesquels pourraient être stockés, sous réserve de l’approbation par l’Association Diem ou ses filiales, tous les stable coins émis par l’entité chargée d’administrer le système de paiement développé par l’Association Diem279. Enfin, l’utilisation du portefeuille Novi ne devrait pas être conditionnée à la détention d’un compte Facebook, Messenger ou WhatsApp280, et les utilisateurs de ces trois applications ne se verraient pas attribuer automatiquement un compte leur permettant d’utiliser le portefeuille Novi281.

275 Un utilisateur peut via ce service verser des fonds à la filiale de Facebook via un moyen de paiement tiers qui émet le montant en monnaie électronique vers un compte e-monnaie de l’utilisateur. C’est à partir de ce compte que le versement du montant choisi est effectué sur le compte de monnaie électronique du bénéficiaire. 276 Cotes 1 409 et 1 410. 277 Cote 4 836. 278 Cote 4 838. 279 Cote 4 128. 280 Cote 4 838. 281 Cote 4 838. 57

Fiche d’information portant sur les stable coins qui pourraient être émis par l’entité chargée d’administrer le système de paiement développé par l’Association Diem et sur le portefeuille numérique développé par Novi, filiale de Facebook

1. Quels sont les stable coins qui pourraient être émis par l’entité chargée d’administrer le système de paiement développé par l’Association Diem ?

• Diem Dollar, stable coin à devise unique indexé sur le dollar américain ; • D’autres stable coins à devise unique, indexés chacun sur une monnaie ayant cours légal ; • Un stable coin multidevises, dont la valeur serait indexée sur un panier de plusieurs stable coins à devise unique. 2. Où ces différents stable coins pourraient-ils être stockés ? • Sur le portefeuille numérique Novi, développé par une filiale de Facebook du même nom et membre de l’Association Diem ; et • Sur des portefeuilles numériques autres que Novi, sous réserve de l’approbation par l’Association Diem ou ses filiales. 3. Quelles seraient les possibilités offertes par le portefeuil e numérique Novi à ses utilisateurs ? • Achat, conservation et vente des stable coins mentionnés ci-dessus. • Envoi des stable coins mentionnés ci-dessus à d’autres utilisateurs du portefeuille numérique Novi et à des utilisateurs de portefeuilles tiers. • Réception des stable coins mentionnés ci-dessus de la part d’autres utilisateurs du portefeuille numérique Novi et d’utilisateurs de portefeuilles tiers. 4. Quelles seraient les conditions d’utilisation du portefeuille numérique Novi ? • L’utilisation du portefeuille numérique Novi ne devrait pas être conditionnée à la détention d’un compte Facebook, Messenger ou WhatsApp. Source : Élaboration par l’Autorité de la concurrence à partir des éléments versés au dossier. Services proposés en France par les BATX 146. Bien que déjà très implantés en Chine, « grâce à l’écosystème de connectivité fondé sur les appareils mobiles, à la rareté des services bancaires ciblés sur le consommateur et au cadre réglementaire favorable à l’innovation »282, les BATX sont aujourd’hui assez peu présents en France. Ainsi, en Chine, deux acteurs, Alibaba et Tencent, se partagent 94 % du marché des paiements sur mobile283 avec leur plateforme de paiement respectives Alipay et WeChat Pay qui fonctionnent avec leurs propres infrastructures de paiement et permettent aux utilisateurs de payer à l’aide d’un code PIN ou de leur empreinte digitale, après avoir scanné le code-barres ou le QR code du produit désiré284. Leur présence limitée en France provient

282 VIVES, X., note du 27 juin 2019, précitée. 283 VIVES, X., note du 27 juin 2019, précitée. 284 Voir par exemple à ce sujet le site internet d’Adyen (s’agissant d’Alipay : lien et s’agissant de WeChat Pay : lien). 58

notamment de la nécessité, pour utiliser ces applications, de détenir un numéro de téléphone chinois et/ou un compte bancaire chinois285. Elles ont toutefois conclu des partenariats avec certaines grandes banques, dont La Banque Postale, BPCE, BNP Paribas, et certaines grandes enseignes afin de permettre aux touristes chinois voyageant en France d’effectuer des achats en magasins, principalement dans le secteur du luxe286. Toutefois, la présence limitée de ces acteurs en France pourrait évoluer, certains d’entre eux étant récemment entrés au capital de FinTech françaises, comme Tencent qui est entré, en janvier 2020, au capital de Lydia, dans le cadre d’une levée de fonds de 40 millions d’euros, et de Qonto287. Des modèles d’affaires et des stratégies d’entrée variées 147. Les BigTech, et en particulier les GAFAM qui sont présents mondialement et ont une puissance financière considérable288 (voir infra, paragraphe 361), utilisent les technologies de l’information et les données qu’elles détiennent sur leurs utilisateurs pour développer leurs activités. De manière générale, peu importe la forme que prend leur activité – plateforme de commerce en ligne pour Amazon et Alibaba, réseau social pour Facebook et Tencent ou magasins d’applications pour Google, Apple et Xiaomi – leurs modèles reposent, de façon plus ou moins centrale selon les opérateurs, sur la mise en relation directe d’un nombre important d’utilisateurs289. Tel est le cas, par exemple, du moteur de recherche Google qui crée une interface, via l’affichage sur les services Google290, entre les individus utilisant le moteur de recherche et les annonceurs publicitaires. Les données d’interaction générées sont récupérées et utilisées afin de proposer aux utilisateurs de nouveaux services ciblés dont l’utilisation génère à son tour plus de données291. 148. Ces caractéristiques communes n’en font pas nécessairement un groupe homogène d’acteurs. Ils présentent en réalité d’importantes différences, tant dans leur modèle que dans leur stratégie. Ainsi, s’agissant de leur modèle économique, le moteur de recherche de Google et le réseau social de Facebook, qui occupent une place centrale dans leurs marchés respectifs, reposent tous deux sur un modèle caractérisé par la gratuité de leurs services pour les consommateurs et tirent l’essentiel de leurs revenus de la publicité associée à ces services292. Apple et Microsoft se rémunèrent quant à eux essentiellement de la vente de matériel informatique et de logiciels. Amazon tire quant à lui ses recettes non seulement de ses propres ventes de produits (activité de distribution) et d’abonnements (Amazon Prime), mais

285 Les Echos, « Paiements mobiles : comment les chinois Alipay et WeChat Pay se sont imposés à Paris », 23 décembre 2019 (lien). 286 Les Echos, article du 23 décembre 2019, précité ; L’Usine Digitale, « Alipay se lance à la conquête des petits commerçants européens », 14 novembre 2019 (lien). 287 Les Echos, « Le chinois Tencent entre au capital de la pépite française du paiement mobile Lydia », 16 janvier 2020 (lien) ; Les Echos, « Le chinois Tencent poursuit son incursion dans la fintech française », 21 janvier 2020 (lien). 288 La capitalisation de certaines BigTech se chiffre à plus du double de l’institution financière JP Morgan (voir VIVES, X., note du 27 juin 2019, précitée, page 4). 289 BRI, rapport de juin 2019, précité, page 55. 290 CREMER, J., DE MONTJOYE, Y-A., et SCHWEITZER, H., « Competition policy for the digital era – Final report », 2019, rapport pour la Commission européenne, page 30 (lien). 291 BRI, rapport de juin 2019, précité. 292 Voir la cote 1 408 et l’avis de l’Autorité de la concurrence n° 18-A-03 du 6 mars 2018 portant sur l’exploitation des données dans le secteur de la publicité sur internet. 59

aussi de la fourniture de services aux professionnels utilisant sa plateforme d’e-commerce et de ses services de cloud ainsi que de la publicité293. Tableau n° 4 – Principales sources de revenus des GAFAM (non-exhaustif) Commerce en

Vente de Abonnement294 matériel (dont freemium) Commission Publicité ligne (distribution) Google

  

Apple   

Facebook

 

Amazon

    Microsoft  

Source : Élaboration par l’Autorité de la concurrence à partir du dossier d’instruction. Dans ce tableau, le signe  désigne le modèle économique principal et le signe  désigne une source de revenu complémentaire connue. 149. De même, l’entrée des BigTech dans le secteur financier et des paiements n’est pas nécessairement motivée par les mêmes raisons selon les acteurs. L’ACPR souligne à ce titre que « les grands acteurs du numérique, dits les « Big Techs », ne constituent pas un ensemble homogène, malgré certaines similarités ponctuelles, comme par exemple entre Amazon et Alibaba. Leurs stratégies d’entrée dans le secteur financier diffèrent parfois

radicalement […] »295. 150. Un objectif principal des BigTech consiste, à travers le développement de leur présence dans les services de paiement, à renforcer leur écosystème. Mais d’autres objectifs sont susceptibles d’expliquer l’entrée des BigTech dans le secteur des services financiers : • une volonté de diversifier leurs sources de revenus, ce qui est particulièrement vrai s’agissant des activités de commerce électronique ; • une volonté d’accéder à de nouvelles sources de données, traditionnellement réservées aux banques et particulièrement intéressantes, sur les habitudes de consommation et la situation financière de leurs clients ; et • une volonté de compléter et renforcer leurs activités principales, d’accroître leur base de clientèle et la fidélité de leurs clients296. 151. L’entrée des BigTech dans le secteur peut être motivée par l’une de ces raisons ou plusieurs d’entre elles. Toutefois, si les stratégies d’entrée et les objectifs des uns et des autres peuvent varier, la plupart présentent les services qu’ils proposent au sein de leur écosystème comme

293 Voir notamment FAURE-MUNTIAN, V. et FASQUELLE, D., « Rapport d’information de l’Assemblée Nationale déposé par la Commission des affaires économiques sur les plateformes numériques », juin 2020, rapport (lien). 294 La catégorie « abonnement » comprend notamment les services de cloud. 295 Cote 4 436. 296 Financial Stability Board, rapport de décembre 2019, précité, page 11. 60

des solutions accessoires à leurs activités principales et dont l’objectif est de faciliter, améliorer ou enrichir « l’expérience client »297. 152. Pour les grands acteurs du numérique, l’acquisition et l’exploitation de données sont un enjeu essentiel dans leur modèle d’affaires. En pénétrant le secteur des paiements, ils peuvent accéder et valoriser de nouvelles sources de données qui étaient traditionnellement réservées aux banques et réseaux de cartes bancaires. Ces données sont, par nature, des données particulièrement intéressantes car elles permettent de cerner en temps réel les comportements et habitudes de consommation des particuliers. En outre, les grands acteurs du numérique disposent potentiellement (et sous réserve du respect des règles applicables à la protection des données) de la possibilité, qui n’est pas accessible aux autres acteurs, de combiner ces données de paiement avec leurs propres données obtenues via les recherches en ligne, les réseaux sociaux ou le commerce en ligne. Avec ce type d’atouts, les BigTech sont susceptibles, le cas échéant, de mettre en œuvre une stratégie d’« enveloppement »298. Les données clients recueillies à l’occasion des paiements peuvent également être utiles dans leur métier d’origine, par exemple pour améliorer leurs recettes publicitaires. En effet, les services financiers proposés par les BigTech génèrent des données, notamment sur les habitudes de dépenses des consommateurs, leur permettant d’améliorer leur activité d’origine, par exemple en ciblant mieux la publicité qu’elles adressent aux utilisateurs de leur plateforme299. 2. L’ADAPTATION DES ACTEURS BANCAIRES TRADITIONNELS 153. Tout en s’appuyant sur leur réseau physique d’agences, qui demeure important encore aujourd’hui300, les groupes bancaires français participent à l’évolution du secteur des paiements, en investissant directement, via des prises de participation, dans les FinTech (a), en concluant des accords de coopération ou de partenariat notamment avec les nouveaux acteurs non-bancaires (b) et, enfin, en investissant dans la recherche et le développement (c). a) Prises de participation dans le capital des FinTech 154. Qu’il s’agisse de développer leur offre, de renforcer leurs procédés ou encore de développer de nouveaux produits, les groupes bancaires traditionnels entrent au capital de certaines FinTech soit de façon minoritaire, soit pour en exercer le contrôle. Ce mouvement de prises de participation se caractérise par la diversité à la fois des FinTech concernées et des stratégies des grands groupes bancaires.

297 Cotes 1 407 et 1 412. 298 « Les BigTechs peuvent appliquer une stratégie d’«enveloppement» pour exclure d’autres intermédiaires en exploitant leur propre supériorité en termes de données (puisque leurs autres métiers leur procurent des sources complémentaires de données sur les clients) », voir VIVES, X., note du 27 juin 2019, précitée, page 14. 299 « In some markets, the motivations may be mutually reinforcing. BigTech firms’ offering of financial services generates data – for example on the spending and saving habits of customers using BigTechs’ banking and lending services. These data can then be used to improve BigTech firms’ core business lines – for example by allowing them to better target advertising on their social media platforms », voir Financial Stability Board, rapport de décembre 2019, précité, page 12. 300 En France, le nombre d’agences bancaires pour 100 000 habitants est passé de 59,5 en 2009 à 53,5 en 2019 (source : calculs de la Fédération Bancaire Française à partir de données de la BCE et d’Eurostat, cote 4 706), soit une baisse d’environ 10 % en 10 ans (calcul de l’Autorité de la concurrence). 61

Panorama des prises de participation 155. Comme d’autres secteurs de l’économie, le secteur des services de paiement est caractérisé par la prise de participation dans le capital d’acteurs innovants par des grands groupes. Le tableau n° 5 ci-dessous donne un aperçu des principales prises de participation des principaux groupes bancaires français dans des FinTech spécialisées dans les services de paiement. 156. L’on constate notamment que tous les grands groupes bancaires français participent à ce mouvement. Tableau n° 5 – Exemples de participation des groupes bancaires français dans le capital des FinTech (pourcentage de détention ; exemples de services proposés) Banque Fédérative La Banque du Crédit Mutuel301 BPCE302 BNP Paribas303 Crédit Agricole304 Crédit Mutuel Arkéa305 Postale306 Société Générale307 Paysurf (51 % ; S-Money (71 % ; Nickel (>89 % ; Linxo (>85 % ; Monext (100 % ; eZyness (100 % ; Boursorama Solutions de gestion Paiement et Gestion de compte) Gestion de budget) Solutions de paiement) Encaissement et (100 % ; de flux de paiement) encaissement)

gestion) Banque en ligne)

Cashforce ([0-10] % ; Max (100 %,

Lyf SA (43,75 % ; Dalenys (71 % ; Gestion de Gestion de compte et Treezor (100 %; Paiement mobile, de Plateforme de trésorerie) paiements) Plateforme bancaire) pair à pair) paiement)

Token ([0-10] % ; Mangopay (98 %, Prisméa (100 % ; Mojovida (34 %, PayPlug (71 % ; Plateforme d’open Paiement et finance Néobanque pour Informatique pour Encaissement en banking) participative) professionnels)

point de vente) ligne et magasin)

Tink ([0-10] % ; Pumpkin (100 % ; TagPay (19,23 % ;

Développement Paiement de pair à pair, Informatique d’API) gestion de comptes) systèmes bancaires)

Budget Insight Shine (n.d. ; Lyf SA (43,8 %) (80 % ; Gestion de comptes

Développement professionnels)

d’API) Source : Élaboration par l’Autorité de la concurrence à partir du dossier d’instruction.

301 Cote 3 711. 302 S-Money, Dalenys et Payplug sont détenues à 100% par Natixis, elle-même détenue à 71% par BPCE. Voir Natixis, « Document d’enregistrement universel et rapport financier annuel 2019 », 2020, p. 380 (lien), et BPCE « Document d’enregistrement universel et rapport financier annuel 2019 », 2020, p. 355 (lien). 303 Nickel : BNP Paribas, « BNP Paribas annonce le rachat de Compte-Nickel », 12 juillet 2017, communiqué de presse (lien); Lyf : BNP Paribas, « Document d’enregistrement universel et rapport financier annuel 2019 », 2020, page 251 (lien) ; Cashforce : BNP Paribas, « BNP Paribas et Cashforce concluent un partenariat pour proposer aux Trésoriers d’entreprise une solution de gestion de fonds de roulement et de prévision des flux de trésorerie », 26 septembre 2018, communiqué de presse (lien) ; Token : Token, « Token secures 16,5 billions from Opera Tech Ventures [fonds de capital-risque de BNP Paribas] and additional strategic investors », 18 juin 2019, communiqué de presse (lien) ; Tink : BNP Paribas, « BNP Paribas et la plateforme d’Open Banking Tink annoncent un partenariat stratégique en Europe », 23 janvier 2020, communiqué de presse (lien). 304 Linxo : Crédit Agricole, « Le groupe Crédit Agricole prend une participation majoritaire dans Linxo Group », 28 janvier 2020, communiqué de presse (lien).

305 Cote 901. 306 Cote 3 611. 307 Boursorama et Treezor : Société Générale, « Document d’enregistrement universel et rapport financier annuel 2019 », 2020, pages 441 et 479 (lien) ; Prisméa : Prismea, « La startup du Groupe Crédit du Nord [détenue à 100 % par Société Générale, voir document d’enregistrement universel précité, page 441] révolutionne la gestion financière des professionnels », 11 décembre 2019, communiqué de presse (lien) ; 62

La diversité des FinTech concernées 157. Les informations consignées dans le tableau ci-dessus montrent également que le mouvement de prise de participation concerne, de façons diverses, de nombreuses FinTech. 158. Premièrement, parmi les FinTech concernées par les prises de participation figurent aussi bien des entreprises qui proposent des services au consommateur final, que des entreprises qui proposent des services aux entreprises. À titre illustratif, Pumpkin propose notamment un service qui permet de « [r]embourse[r] tes potes, fai[re] les comptes, dépense[r] ton solde partout, sans frais à l’étranger et récup[érer] du cashback toute l’année ! »308, à destination d’un public jeune, tandis que PayPlug propose des solutions d’encaissement en ligne et en magasin. 159. Deuxièmement, les FinTech concernées se distinguent par la largeur de la gamme de services qu’elles proposent. Dans certains cas, il s’agit d’entreprises actives sur un marché de niche. C’est le cas par exemple de la société LePotCommun, rachetée par le groupe BPCE309, qui propose un service de cagnotte. Dans d’autres cas, il s’agit d’acteurs proposant une offre bancaire complète, comme par exemple la banque en ligne Prisméa, « [l]a néobanque des Professionnels ré-inventée par des Banquiers »310. 160. Enfin, les FinTech se distinguent par le degré de prise de participation des acteurs bancaires traditionnels dans leur capital (voir ci-après). La diversité des stratégies des groupes bancaires 161. Si l’ensemble des grands acteurs bancaires traditionnels français est concerné par ce mouvement de prise de participation dans le capital des FinTech, la diversité des FinTech concernées reflète celle des stratégies de ces acteurs. La prise de participation dans le capital des FinTech par les groupes bancaires peut ainsi relever de plusieurs stratégies, comme l’a constaté l’ACPR, qui les a classées comme suit:

« -Stratégie défensive d’internalisation des fonctions proposées par les fintech afin de ne pas proposer d’expérience utilisateur de qualité inférieure à celles-ci ou aux nouveaux acteurs bancaires (néo-banques, banque numériques) ;

-Stratégie de diffusion, l’acquisition ayant pour objectif la création de synergies pour la distribution des produits proposés par l’établissement bancaire (proposition de produits d’épargne, assurance…) ;

-Stratégie de diversification par la conquête de nouveaux marchés (secteurs auparavant délaissés par les banques, etc…) »311. 162. Le tableau n° 5 présenté ci-avant illustre ces différentes stratégies. Cette hétérogénéité se matérialise notamment quant au poids dans le capital des FinTech concernées, ou aux services que ces dernières proposent.

Tagpay : Société Générale et Tagpay, « TagPay, premier fournisseur de Digital Banking SystemTM, annonce une nouvelle levée de fonds de 2,5 millions d’euros, dont 2 millions auprès du groupe Société Générale », 19 juillet 2018, communiqué de presse (lien) ; Shine : Société Générale et Shine, « Société Générale annonce l’acquisition de Shine, la néobanque des entrepreneur.e.s. », 30 juin 2020, communiqué de presse (lien). 308 Voir site internet de Pumpkin (lien). 309 Voir BPCE, « S-money acquiert la Fintech LePotCommun.fr pour devenir le leader du paiement communautaire en France et en Europe », 21 octobre 2015, communiqué de presse (lien). 310 Voir site internet de Prisméa (lien). 311 Cote 4 437. 63

163. Premièrement, s’agissant de l’ampleur de la prise de participation, certains groupes bancaires, comme les groupes BPCE, Crédit Mutuel Arkéa, La Banque Postale ou encore, dans une moindre mesure, Société Générale, ont opté plutôt pour la détention de la totalité du capital des FinTech concernées. À l’inverse, d’autres groupes bancaires se sont orienté vers une stratégie de prise de participation limitée, comme par exemple les groupes Banque Fédérative du Crédit Mutuel et BNP Paribas. À titre d’exemple, Cashforce et Token sont détenues à moins de 10 % par le groupe BNP Paribas, alors qu’eZyness et Monext sont détenues à 100 % respectivement par La Banque Postale et Crédit Mutuel Arkéa. 164. Deuxièmement, les FinTech, dont le capital est détenu en totalité ou en partie par un groupe bancaire, sont très hétérogènes quant aux services qu’elles proposent. 165. Certains groupes bancaires semblent avoir privilégié la prise de participation dans le capital de FinTech fournissant une gamme élargie de services, leur but étant de consolider, via l’innovation, leur offre globale. 166. C’est le cas par exemple du groupe Société Générale, qui a acquis la FinTech Treezor – une plateforme BaaS (Banking-as-a-Service) qui fournit des services bancaires et qui est présente dans le domaine des API (pour une définition, voir infra, paragraphe 322) – dans l’objectif de permettre « aux métiers du groupe de développer plus rapidement des services toujours plus innovants pour ses clients »312. Ce groupe a par ailleurs acquis la société Boursorama, qui propose, entre autres, des services en ligne de gestion financière personnelle. 167. C’est également le cas de La Banque Postale, qui a acquis 100 % du capital de la société eZyness, établissement de monnaie électronique agréé, qui fournit notamment des services d’encaissement pour le compte de tiers et de gestion de monnaie électronique afin, outre compléter son offre de services, de « [l]’accompagner dans sa transformation digitale »313. 168. De même, Crédit Mutuel Arkéa a acquis, en 2019, 80 % du capital de la FinTech Budget Insight, en précisant dans son communiqué de presse que l’expertise de cette petite entreprise spécialisée dans les services d’agrégation de comptes et d’initiation de paiement en marque blanche permettra à la banque de « proposer aux clients une expérience simple et fluide en intégrant les services financiers et extra-financiers dans les usages de consommation »314. 169. Par ailleurs, certains acteurs bancaires étoffent leur portefeuille par la prise de participation dans des FinTech offrant, en amont, des prestations techniques informatiques dédiées aux besoins du secteur des paiements. 170. C’est par exemple le cas du groupe BNP Paribas, qui a pris des participations dans les sociétés Tink et Token fournissant des services de développement d’API, ou du groupe Société Générale, qui a pris des participations dans le capital de la société TagPay qui fournit également des services de développement d’API. b) De nombreux accords de coopération et partenariats 171. Les éléments recueillis dans le cadre du présent avis conduisent à constater l’existence de nombreux accords de coopération et de partenariats entre les différents acteurs du secteur

312 Société Générale, « Société Générale annonce l’acquisition de Treezor et l’accélère sa stratégie d’open innovation », 27 septembre 2018, communiqué de presse (lien). 313 Cotes 3 611 et 3 612. 314 Crédit Mutuel Arkéa et Budget Insight, « Crédit Mutuel Arkéa annonce l’acquisition de la fintech Budget Insight », 11 juillet 2019, communiqué de presse (lien). 64

des paiements. Ces accords, dont les finalités sont hétérogènes, notamment compléter l’offre en aval ou renforcer les procédés informatiques en amont, sont conclus entre groupes bancaires et FinTech, mais également entre groupes bancaires et BigTech et, enfin, entre les groupes bancaires eux-mêmes. Accords entre les groupes bancaires et les FinTech 172. L’évolution des technologies et des usages dans le secteur des paiements a conduit les banques à nouer, dans certains cas, des partenariats spécifiques avec des FinTech. Comme l’a montré l’instruction de l’avis, grâce à ces partenariats, les banques souhaitent tirer profit de l’agilité et des innovations des FinTech, tandis que ces dernières bénéficient de la notoriété des banques, de leurs canaux de distribution315, de leur base de clientèle ou encore de leurs connaissances de la réglementation. On peut citer à cet égard, à titre illustratif, les exemples suivants. 173. La Banque Postale, via sa filiale eZyness, qui propose notamment des solutions d’encaissement, et la société française TagPay, développeur d’API, se sont récemment associées. Le communiqué de presse annonçant l’opération indique que « le partenariat avec la FinTech française TagPay couplé à l’expertise de La Banque Postale permettra à eZyness de déployer une offre de services de paiement à l’état de l’art avec des interfaces de programmation complètes (API) »316. D’un côté, La Banque Postale précise que ce partenariat lui permet de répondre aux attentes de sa clientèle entreprise, particulièrement concernée « par la digitalisation croissante des paiements » et, de l’autre, TagPay se félicite de ce partenariat qui constitue « une étape très importante dans [son] développement ». 174. Par ailleurs, à propos d’un partenariat conclu avec Paytweak en 2018, le groupe BNP Paribas a déclaré « renforcer son offre digitale auprès des commerçants » en mettant à leur disposition une solution permettant aux commerçants d’envoyer des demandes de paiement par e-mails et SMS, d’encaisser ces paiements à distance à l’aide d’un lien sécurisé, de dématérialiser leurs factures et de mettre en place un système de relances automatiques. Le Président de Paytweak a indiqué quant à lui tirer avantage de ce partenariat en déclarant que « l’enjeu pour les FinTechs est de se réconcilier avec les banques car ces dernières resteront l’acteur majeur du secteur. On a tout à gagner à travailler ensemble »317. 175. De même, le groupe BPCE a intégré la solution de la FinTech TransferWise à ses applications de banque mobile, pour permettre « aux 15,1 millions de clients particuliers actifs des Banques Populaires et des Caisses d’Epargne d’effectuer des transferts d’argent vers plus de 60 pays au meilleur taux de change ». 176. Au-delà des exemples ci-dessus présentés, le tableau n° 6 ci-dessous donne un aperçu des partenariats conclus entre des FinTech spécialisées dans les services de paiement et les groupes bancaires interrogés lors de l’instruction du présent avis.

315 OCDE, « Digital disruption in banking and its impact on competition », 2020 (lien). 316 La Banque Postale et eZyness, « eZyness, l’établissement de paiement et de monnaie électronique de La Banque Postale, choisit TagPay pour moderniser son offre de services bancaires », 17 janvier 2019, communiqué de presse (lien). 317 Voir site internet de Paytweak (lien) ; BNP Paribas, « BNP Paribas et la finTech Paytweak signent un partenariat pour accompagner la digitalisation des commerçants en France », 14 février 2018, communiqué de presse (lien). 65

Tableau n° 6 – Exemples de partenariats entre FinTech et groupes bancaires FinTech Banque Entité Services proposés (exemples) Budget Insight Agrégation de comptes BNP Paylead Services de gestion des programmes de fidélité de Paribas318 clientèle Paytweak Services de paiement par SMS, courriel et chat (voir supra, paragraphe 174) BPCE Transferwise Gestion de devises (voir supra, paragraphe 175) Antelop Solutions de paiements sécurisées Crédit Bankable Gestion automatisée des transactions Mutuel Qonto Gestion de comptes professionnels Arkéa319 Adyen Plateforme de paiement Stripe Infrastructure de paiement pour le commerce en ligne La Banque Postale Tagpay Développement d’API (voir supra, paragraphe 173) Exploitation des données transactionnelles pour CDLK développer de nouvelles solutions logicielles (de Société paiement) Générale320 L’Addition Solutions d’encaissement Cash Sentinel Solutions de contractualisation et de paiement Dejamobile Transfert d’argent entre particuliers Crédit Agricole321 Paygreen Solution de paiement en ligne solidaire Paytop Transferts d’argent et de devises Source : Élaboration par l’Autorité de la concurrence à partir du dossier d’instruction Accords entre les groupes bancaires et les BigTech 177. L’une des évolutions majeures observées ces dernières années dans le secteur des paiements est l’émergence d’accords entre les groupes bancaires et les BigTech, notamment aux

318 Sites internet de Budget Insight (lien), Paylead (lien), Paytweak (lien) et Lemonway (lien). 319 Site internet d’Antelop (lien) ; Bankable : Crédit Mutuel Arkéa et Bankable, « Bankable signe un partenariat avec Arkea Banking Services pour élargir son offre de solutions bancaires », 17 mai 2017, communiqué de presse (lien) ; Qonto, Adyen et Stripe : cote 914, et sites internet respectifs Qonto (lien), Ayden (lien) et Stripe (lien). 320 Site internet de CDLK Services (lien) ; L’Addition : L’Addition et Vérifone, « L’Addition et Verifone s’associent à la Société Générale pour lancer une offre dédiée aux restaurateurs », 23 mai 2018, communiqué de presse (lien) ; Site internet de Cashsentinel (lien) ; Mooncard, Trustpair et iZettle : cote 1 600, et sites internet respectifs Mooncard (lien), Trustpair (lien) et iZettle (lien). 321 Site internet de Dejamobile (lien) ; Paygreen : cote 618, et site internet (lien) ; Paytop : site internet (lien), et Paytop, « PayTop, partenaire du Crédit Agricole Payment Services », 26 juillet 2017, communiqué de presse (lien). 66

États-Unis. On peut citer par exemple l’association datée de 2019 entre Apple, Goldman Sachs et MasterCard pour lancer une carte de crédit virtuelle ou physique, intégrée à l’Apple Wallet, qui permet à ses détenteurs de gérer leurs dépenses (l’Apple Card)322. On peut citer aussi le partenariat conclu en 2017 entre Amazon et JP Morgan Chase pour offrir une carte de crédit aux abonnés Amazon Prime323. Enfin, un accord a été conclu en 2019 entre Google et Citigroup pour le lancement d’un compte courant fonctionnant avec Google Pay324. 178. S’agissant de la France, selon les éléments versés au dossier, il n’existe pas encore à ce jour d’initiative de ce type entre les groupes bancaires et les BigTech visant à lancer un nouveau service ou un nouveau mode de paiement. 179. Toutefois, il faut relever que plusieurs contrats ont été conclus entre ces différents acteurs et ont permis aux groupes bancaires de proposer à leurs clients certains services existants développés par les BigTech. 180. Par exemple, Apple et les six plus grands groupes bancaires français ont signé des accords dans le cadre desquels ces groupes bancaires peuvent proposer le service Apple Pay à leurs clients détenteurs d’un iPhone et désireux d’utiliser ce dernier pour régler leurs achats325. L’instruction de l’avis a permis de noter que l’accès au service Apple Pay était souvent souhaité, voire réclamé par les clients des banques par ailleurs titulaires d’un iPhone, ce qui a conduit différents établissements bancaires à avoir une forte incitation à conclure un contrat de partenariat avec Apple, qui les conduit, en contrepartie de différentes obligations contractuelles et financières, à satisfaire une clientèle iPhone généralement à haut revenu. 181. C’est également le cas de services développés par d’autres grands acteurs du numérique, tels que Google Pay ou Samsung Pay, que plusieurs groupes bancaires proposent aujourd’hui à leurs clients326. 182. Dernier exemple, plusieurs grandes banques, comme BNP Paribas ou Natixis (filiale du groupe BPCE), proposent les services Alipay et WeChat Pay développés respectivement par les géants chinois Alibaba et Tencent afin, principalement, de permettre aux commerçants français d’accepter les paiements mobiles de la clientèle chinoise327. 183. Outre les contrats ci-dessus évoqués, il convient de relever l’existence d’accords entre groupes bancaires et BigTech relatifs à certaines prestations informatiques (services de cloud), qui ne sont certes pas des services de paiement, mais qui permettent de stocker et gérer les flux de données relatives aux paiements. C’est par exemple le cas de l’accord conclu entre IBM et BNP Paribas, dont l’objectif est de développer un cloud privé dédié aux seules activités bancaires (voir supra, paragraphe 93).

322 Apple, « Introducing Apple Card, a new kind of credit card created by Apple », 25 mars 2019, communiqué de presse (lien). 323 CNN, « Amazon launches Chase card for Prime members », 11 janvier 2017 (lien). 324 Financial Times, « Google-Citi deal could be future of banking », 16 novembre 2019 (lien). 325 Les Echos, article du 28 janvier 2020, précité. 326 Cotes 914, 915, 1 600, 1 667 et 3 734. 327 Les Echos, article du 23 décembre 2019, précité. 67

Accords entre groupes bancaires Accords entre groupes bancaires français 184. Créée en 2013, à l’initiative des groupes bancaires BNP Paribas, La Banque Postale et Société Générale, rejoints ensuite par Crédit Mutuel Arkea et Crédit Agricole en 2015328, le groupe BPCE en 2017329, la Banque Fédérative du Crédit Mutuel en 2018330 et, enfin, certaines de leurs filiales, portant à quinze le nombre d’enseignes bancaires parties prenantes, la société Paylib propose des services de paiement mobile sans contact, de paiement à distance, et enfin de paiement entre particuliers331. 185. Paylib offre ainsi à ses utilisateurs la possibilité de régler leurs achats en ligne, entre amis ou en magasin grâce à la technologie NFC, pour les détenteurs de smartphones équipés du système d’exploitation Android, particuliers ou professionnels332. 186. Par ailleurs, les groupes bancaires Banque Fédérative du Crédit Mutuel et BNP Paribas se sont associés pour développer une application de paiement mobile innovante et sécurisée, Lyf Pay. Cette application est née de la fusion de deux solutions de paiement en ligne, Fivory, soutenue par Banque Fédérative du Crédit Mutuel, Auchan, MasterCard, Oney et Total, d’une part, et Wa, déployée par Carrefour et BNP Paribas, d’autre part. 187. À la différence de Paylib, Lyf Pay est un portefeuille dématérialisé qui fonctionne avec tout type de smartphone. Il permet à l’utilisateur de réaliser des transferts d’argent entre particuliers, de payer en magasin avec son smartphone, grâce à la technologie QR code, ou en ligne, tout en bénéficiant des avantages personnalisés offerts par les commerçants partenaires333. Un accord entre groupes bancaires européens : l’European Payments Initiative (EPI) 188. Seize grandes banques européennes ont annoncé en 2020 le lancement de « l’Initiative européenne pour les paiements », dont le but est de créer un système paneuropéen de paiement334.

328 Crédit Mutuel Arkea et Paylib, « Le Crédit Mutuel Arkéa rejoint Paylib, le nouveau service de paiement en ligne simple et sécurisé, sur ordinateur, smartphone ou tablette », 7 juillet 2014, communiqué de presse (lien) ; Crédit Agricole, « Le groupe Crédit Agricole rejoint Paylib qui s’ouvre désormais à l’international grâce à un accord avec MasterCard », 25 novembre 2014, communiqué de presse (lien). 329 BPCE, « L’application Banque Populaire s’enrichit avec le paiement mobile », 11 mai 2017, actualités (lien). 330 Crédit Mutuel, « Le Crédit Mutuel [Banque Fédérative du Crédit Mutuel] rejoint la communauté Paylib », 25 septembre 2018, communiqué de presse (lien). 331 Voir site internet de Paylib (lien). 332 Voir site internet de Paylib (lien). 333 Site internet de Lyf Pay (lien). 334 À titre d’exemple, voir Crédit Agricole, « EPI : The European Payments Initiative – L’initiative européenne des paiements », 2 juillet 2020, communiqué de presse (lien). 68

189. L’objectif de ce projet, qui devrait être opérationnel en 2022335, est de concevoir une infrastructure de paiement qui permettrait de connecter directement les banques entre elles, quel que soit le support ou le moyen de paiement utilisé336. Ces dernières n’auraient ainsi plus à passer par les réseaux MasterCard et Visa comme c’est le cas actuellement. Cela constituerait, selon le Gouverneur de la Banque de France, « une avancée majeure pour aider les banques européennes à relever les défis posés par les BigTechs »337. 190. Concrètement, cette initiative – soutenue par la BCE et la Commission européenne – vise à créer une solution de paiement paneuropéenne unifiée qui pourrait être utilisée à la place des systèmes nationaux, comprendrait un système de virement instantané et une carte de paiement associée à un portefeuille numérique et couvrirait les paiements en magasin, en ligne, sur mobile, de personne à personne ainsi que les retraits d’espèces338. 191. Outre qu’il s’inscrit dans une volonté de préservation de l’indépendance des banques européennes, ce projet, qui vise à faciliter la réalisation de toutes les opérations de paiement au niveau européen, pourrait s’avérer d’importance majeure pour le secteur des paiements et, partant, participer aux évolutions décrites ci-avant. c) Investissements dans la recherche et le développement 192. Parallèlement à la prise de participation dans le capital d’acteurs non-bancaires, autres que les BigTech, et à la conclusion d’accords et de partenariats, les groupes bancaires investissent dans la recherche et le développement pour favoriser l’intégration d’innovations à leur offre de services. 193. Ainsi, certains groupes bancaires créent des incubateurs, réunissant des start-ups du secteur des paiements, afin d’accélérer leur transition numérique et élargir leur clientèle339. 194. C’est par exemple le cas du groupe BNP Paribas qui, via son accélérateur FinTech Boost, « accompagne des start-up qui apportent des solutions innovantes à des besoins exprimés par les métiers de BNP Paribas ». Les solutions développées par les acteurs non-bancaires membres du programme, autres que les BigTech, sont ensuite testées avant d’être éventuellement intégrées à l’offre du groupe bancaire. Le groupe BNP Paribas est également associé à la société Plug and Play au sein de l’incubateur Station F, qui accompagne ce même type d’acteurs dans le cadre, selon les termes du directeur général adjoint de BNP Paribas,

335 Commission européenne, « The European Commission welcomes the initiative by a group of 16 banks to launch a European payments initiative (EPI) », 2 juillet 2020, déclaration (lien) ; Crédit Agricole, communiqué de presse du 2 juillet 2020, précité. 336 Le Monde, « La recette des banques européennes contre Visa ou Facebook », 19 décembre 2019 (lien) ; Les Echos, « Seize banques européennes s’unissent pour s’affranchir de Visa et Mastercard », 2 juillet 2020 (lien). 337 VILLEROY DE GALHAU, F., Gouverneur de la Banque de France et Président de l’Autorité de contrôle prudentiel et de résolution, « Monnaie digitale de banque centrale et paiements innovants », 4 décembre 2019, discours (lien). 338 BCE, « ECB welcomes initiative to launch new European payment solution », 2 juillet 2020, communiqué de presse (lien) ; Commission européenne, déclaration du 2 juillet 2020, précitée ; Les Echos, article du 2 juillet 2020, précité ; Crédit Agricole, communiqué de presse du 2 juillet 2020, précité. 339 Option Finance, « Les banques misent sur les start-up », 10 juillet 2017 (lien). 69

de leur stratégie d’« open innovation », visant à « accélérer [leur] transformation digitale et de faire évoluer l’expérience client »340. 195. C’est également le cas des principaux autres groupes bancaires : Société Générale a fondé l’incubateur de FinTech Swave et est à ce jour son unique partenaire bancaire341 ; Crédit Agricole a fondé le Village by CA, « un espace de coopération dédié aux jeunes entreprises innovantes »342 ; La Banque Postale a lancé son incubateur FinTech platform58 « pour accompagner et héberger des start-up en phase d’amorçage développant des solutions dans le domaine de la banque, de l’assurance, des technologies […] »343 ; trois établissements du groupe BPCE sont partenaires de l’incubateur Euratechnologies344 ; enfin, Crédit Mutuel du Sud-Est, appartenant au groupe Banque Fédérative du Crédit Mutuel, a participé à la création de H7, un incubateur de start-ups inauguré à Lyon le 1^er avril 2019345. 196. Outre cette liste non exhaustive d’incubateurs externes, il existe des incubateurs internes comme la BIG Factory, l’incubateur d’innovation de Natixis, filiale du groupe BPCE, dont le programme Spark repose sur « une démarche de coconstruction de [ses] produits et services en associant le client à chaque étape de conception ». Les trois fondamentaux du programme sont : « un dispositif centré sur le client, la priorité donnée à l’efficacité opérationnelle, la diffusion de la culture digitale »346. 197. Bien que ces démarches ne soient pas spécifiques aux services de paiement, elles traduisent la volonté des groupes bancaires français de participer directement à la création et au développement de nouveaux services dans le secteur des paiements et, selon certaines FinTech, ont pu contribuer à leur émergence en France347.

340 BNP Paribas, « Collaboration FinTech/ Banque, BNP Paribas parmi les plus actives d’Europe », 31 juillet 2018, actualités (lien). 341 Voir site internet de Société Générale (lien). 342 Crédit Agricole, « Le Village by CA, premier espace de coopération dédié aux jeunes entreprises innovantes », 15 octobre 2014, communiqué de presse (lien). 343 La Banque Postale, « Le groupe La Banque Postale lance platform58, son incubateur FinTech et AssurTech », 24 janvier 2019, communiqué de presse (lien). 344 BPCE, « Trois établissements du Groupe BPCE partenaires du nouvel incubateur d’Euratechnologies », 15 mars 2019, actualités (lien). 345 Crédit Mutuel, « Crédit Mutuel du Sud-Est est partenaire de H7, nouvel incubateur de startups », 1^er avril 2019, communiqué de presse (lien). 346 Natixis, « La BIG Factory, l’incubateur d’innovation de Natixis », 30 janvier 2017, actualités (lien). 347 Voir par exemple l’appréciation d’un des acteurs interrogés qui « pens[e] que la mise en place de structures spécialisées pour accueillir ses Fintechs, comme le village By CA ou encore le SWAVE, ont permi[s] l’émergence des Fintechs en France », cote 689. 70

II. Analyse concurrentielle à la lumière des évolutions constatées 198. Dans la présente section, sauf mention contraire, la notion de service de paiement ne fait pas référence à celle visée par l’article L. 314-1 du CMF mais à l’ensemble des services et canaux d’initiation de paiement dont l’objet est de permettre, ou de faciliter, la réalisation de transactions entre personnes physiques et/ou morales. 199. À la lumière des évolutions constatées dans la partie I., l’Autorité analyse ci-après les produits et services concernés par ces évolutions (A), les barrières à l’entrée et à l’expansion existant dans le secteur des paiements (B) et les avantages concurrentiels détenus par les grandes catégories d’acteurs du secteur (C). Elle relève enfin certains points d’attention pour l’avenir (D). A. LES PRODUITS ET SERVICES CONCERNES 200. La définition de marché constitue la première étape de l’analyse concurrentielle de pratiques commerciales passées ou de projets d’opérations de concentration. Il s’agit, dans un premier temps, « d’identifier et de définir le périmètre à l’intérieur duquel s’exerce la concurrence entre les entreprises »348 afin d’apprécier, dans un second temps, d’une part, l’éventuelle détention, par une ou plusieurs entreprises, d’un pouvoir de marché349 et, d’autre part, l’existence de possibles effets indésirables sur la concurrence qui résulteraient d’un comportement donné ou d’un changement structurel sur le marché concerné. 201. L’objet d’une enquête sectorielle n’est ni de qualifier les comportements sur un marché au regard des articles 101 et 102 du TFUE et des articles L. 420-1 et L. 420-2 du code du commerce, ni d’autoriser ou d’interdire des opérations de concentration notifiées, mais plutôt d’étudier le fonctionnement d’un secteur sous l’angle du droit de la concurrence, en prêtant une attention particulière à l’impact que peuvent avoir les évolutions récentes ou en cours sur l’équilibre concurrentiel global du secteur. 202. L’analyse conduite dans le présent avis n’a donc pas vocation à tracer de façon fine les contours des marchés du secteur des paiements, ni à établir les liens qui peuvent exister entre ces marchés. En effet, les marchés pertinents ne sont définis que pour les besoins de l’analyse concurrentielle de chaque cas d’espèce (examen de pratiques anticoncurrentielles ou contrôle des concentrations). 203. Comme exposé dans la partie I., le secteur des paiements est marqué par l’apparition rapide d’une myriade de nouveaux services fondés sur des technologies récentes, proposés par des acteurs non-bancaires. Ces tendances, ainsi que la diversité, le nombre et la rapidité d’apparition et d’évolution de ces services, ont un impact significatif sur l’équilibre concurrentiel du secteur des paiements. 204. Les développements qui suivent visent, d’une part, à aborder les implications que peuvent avoir, pour l’analyse des marchés pertinents susceptible d’être conduite par l’Autorité dans des cas futurs, certaines caractéristiques du secteur des paiements, dont plus particulièrement

348 Communication de la Commission sur la définition du marché en cause aux fins du droit communautaire de la concurrence, 97/C 372/03, JO n° C 372/5 du 9.12.1997, point 2. 349 Lignes directrices de l’Autorité de la concurrence relatives au contrôle des concentrations, paragraphe 511. 71

la nature biface et/ou multi-face de certaines activités ainsi que le caractère dynamique de ce secteur (1), et, d’autre part, à étudier, de manière globale, la nature des rapports qui peuvent exister entre les services des nouveaux entrants et ceux des acteurs bancaires traditionnels (2). 1. CARACTERISTIQUES SPECIFIQUES DES MARCHES DU SECTEUR DES PAIEMENTS a) Marchés bifaces et plateformes multi-faces 205. Le secteur des paiements est traditionnellement caractérisé par des activités bifaces ou multi-faces. C’est en particulier le cas du paiement par carte, qui constitue le principal moyen de paiement en nombre de transactions350 et sur lequel une partie des nouveaux entrants s’appuie pour offrir leurs services. 206. Dans sa décision n° 11-D-11 du 07 juillet 2011 relative à des pratiques mises en œuvre par le Groupement des Cartes Bancaires, l’Autorité a ainsi relevé que les marchés de l’émission et de l’acquisition, « bien que distincts, fonctionnent de façon interdépendante. Le marché de la carte bancaire est, en effet, un marché biface, avec d’un côté les consommateurs porteurs d’une carte de paiement et de l’autre les commerçants ou autres accepteurs qui acceptent ce mode de paiement »351.

Extrait de la décision n° 11-D-11 du 07 juillet 2011 relative à des pratiques mises en œuvre par le Groupement des Cartes Bancaire « 90. S’agissant de la fonction de paiement de la carte, trois marchés peuvent être définis : • un marché « amont » sur lequel les systèmes de paiement cartes se font concurrence pour affilier les établissements de crédit ou de paiement et leur fournir des services, comme les services de réseau permettant les transactions par carte ; • deux marchés « aval » : o un marché de l’émission sur lequel les établissements de crédit ou de paiement se font concurrence pour distribuer des cartes de paiement et fournir certains services qui leur sont associés ; o un marché de l’acquisition sur lesquels les établissements de crédit ou de paiement se font concurrence pour affilier des commerçants et leur fournir des services, en particulier des services d’encaissement. 91. Ces deux marchés, bien que distincts, fonctionnent de façon interdépendante. Le marché de la carte bancaire est, en effet, un marché biface, avec d’un côté les consommateurs porteurs d’une carte de paiement et de l’autre les commerçants ou autres accepteurs qui acceptent ce mode de paiement. » 207. De manière générale, le caractère biface d’une activité économique pose la question de savoir si, et le cas échéant comment, cette caractéristique doit être prise en compte dans la délimitation des marchés. L’examen d’un marché biface peut ainsi être mené en définissant un marché unique avec deux faces indissociables ou en analysant les deux faces distinctes comme deux marchés connexes.

350 Voir Banque de France, décembre 2020, publication statistique précitée, page 3. 351 Décision de l’Autorité de la concurrence n° 11-D-11, précitée, paragraphe 90. 72

208. Dans sa décision Groupement des cartes bancaires « CB » du 17 octobre 2007, la Commission européenne a indiqué que la circonstance que les activités d’émission et d’acquisition soient interdépendantes et que l’activité ou le système de paiement par carte présente un caractère biface « n’implique en aucune façon que ce système constitue un seul marché »352. 209. Plus récemment, dans l’affaire AT.40049 – Mastercard II, la Commission a estimé que Mastercard agissait comme une plateforme biface353 à travers laquelle les banques émettrices et les banques acquéreuses interagissent, mais a retenu que, pour les besoins de l’affaire en question, le marché pertinent était celui de l’acquisition de paiements par carte354. 210. Le caractère biface des marchés peut contribuer à rendre plus complexe l’analyse concurrentielle conduite par les autorités de concurrence au stade de la définition des marchés pertinents, notamment en raison des externalités de réseau générées dans ce type de marché. Pour rappel, les externalités de réseau résultant du caractère biface des marchés sont principalement de deux types355. Lorsque l’utilité – c’est-à-dire la satisfaction – du consommateur d’un service en réseau croît avec le nombre de consommateurs dudit service, l’externalité de réseau est dite directe. En revanche, on parle d’externalité de réseau croisée lorsque l’utilité du consommateur d’un service en réseau croît non plus directement via la hausse du nombre de consommateurs dudit service, mais indirectement via l’effet de cette hausse sur l’offre de services complémentaires. 211. Dans le secteur des paiements, l’Autorité a ainsi relevé que le paiement par carte était caractérisé par des externalités de réseau croisées. En effet, « posséder une carte bancaire a d’autant plus de valeur pour son porteur que le nombre de commerçants qui l’accepte est élevé. Inversement, plus le nombre de clients détenteurs de carte bancaire est élevé, plus il apparaît important pour les commerçants d’accepter les paiements par carte »356.

212. S’agissant de la prise en compte des interactions entre les deux faces du marché des systèmes de paiement, le Tribunal de l’UE a précisé que « […] dans le cadre d’un système biface, un des volets de ce système peut constituer le marché pertinent aux fins de l’analyse des effets anticoncurrentiels (en l’espèce, le marché de l’émission) et […] l’autre volet de ce système peut être considéré comme un marché connexe distinct (en l’espèce, le marché de l’acquisition). L’existence d’interactions entre le marché pertinent et un marché connexe distinct est un élément de contexte à prendre en compte dans l’analyse des effets anticoncurrentiels sur le marché pertinent, à savoir, en l’espèce, celui de l’émission »357.

352 Décision de la Commission européenne du 17 octobre 2007, Groupement des cartes bancaires « CB », COMP/D1/38606, paragraphe 180. Cette analyse a été confirmée par les juridictions de contrôle (voir l’arrêt de la Cour de Justice du 11 septembre 2014, Groupement des cartes bancaires (CB) contre Commission européenne, C-67/13 P et l’arrêt sur renvoi du Tribunal du 30 juin 2016, Groupement des cartes bancaires « CB » contre Commission européenne, T-491/07 RENV). 353 Comme le souligne l’OCDE, l’utilisation de la notion de « plateforme multi-face » par rapport à celle, plus classique, de « marché biface » permet notamment de distinguer le produit de l’entreprise (la plateforme) et le (ou les) marché(s) pertinent(s) dans lequel (lesquels) la plateforme opère (voir OCDE, « Rethinking Antitrust Tools for Multi-Sided Platforms », 2018, page 10 (lien)). 354 Décision de la Commission européenne du 29 avril 2019, Mastercard II, AT.40049, paragraphe 21. 355 Voir MOTTA, M., Competition Policy: Theory and Practice, Cambridge University Press, 2004, page 82. 356 Voir la décision de l’Autorité de la concurrence n° 11-D-11, précitée, paragraphe 91. 357 Arrêt du Tribunal du 30 juin 2016, précité, paragraphe 82. 73

213. Aux côtés des systèmes de paiement par carte, des plateformes multi-faces d’origine extra bancaire, telles que celles opérées par Facebook ou Google, sont depuis quelques années présentes dans le secteur des paiements (voir paragraphes 125 et suivants). 214. La Commission européenne a indiqué que les services de réseaux sociaux, qui sont utilisés pour mettre en relation des personnes partageant des intérêts personnels ou professionnels communs, peuvent être considérés comme étant multi-faces. Les réseaux sociaux fournissent ainsi différents services aux consommateurs d’une part (souvent gratuitement) et aux entreprises d’autre part (publicité en ligne et services de recrutement par exemple)358. La Commission a également relevé le caractère biface des moteurs de recherche généraux qui mettent en relation des demandes distinctes mais interconnectées émanant de plusieurs groupes d’utilisateurs359. 215. S’agissant des externalités de réseau émanant des plateformes multi-faces, elle a notamment précisé, au sujet des moteurs de recherche, que, pour l’un des groupes d’utilisateurs au moins, la valeur obtenue de la plateforme dépend du nombre d’utilisateurs de l’autre groupe. Ainsi, elle a considéré que les services de recherche généraux et les services de recherche publicitaire en ligne constituent deux faces d’une plateforme de recherche générale. Dans ce système, le niveau des recettes publicitaires qu’un moteur de recherche général peut générer est lié au nombre d’utilisateurs de ce moteur de recherche : plus le nombre d’utilisateurs du service de recherche général est élevé, plus la face de recherche publicitaire de cette plateforme est attractive pour les annonceurs360. 216. Les évolutions constatées dans le secteur des paiements conduisent à mettre en présence des plateformes dont la nature est intrinsèquement biface ou multi-face (réseaux sociaux, moteurs de recherche, sites de vente en ligne), auxquelles sont liées de multiples activités interconnectées, et d’autres marchés bifaces ou multi-faces propres au secteur des paiements (réseaux de cartes de paiement notamment). b) Caractère dynamique du secteur 217. Comme exposé dans la partie I., le secteur des paiements connaît à l’heure actuelle des

transformations significatives qui se traduisent par l’apparition d’une multitude de services innovants, souvent intégrés entre eux ou combinés à des produits ou services préexistants. 218. Le dynamisme qui en résulte contribue à rendre l’exercice de définition des marchés complexe, particulièrement dans le cadre de l’analyse prospective propre au contrôle des concentrations, en raison notamment de difficultés liées à l’identification durable et précise du périmètre des services, qui sont offerts sur le marché, qui conditionne en partie leur substituabilité ou leur complémentarité à un autre service. La définition de marchés dans un secteur dynamique comme celui des paiements peut ainsi présenter certaines difficultés, du

358 Voir notamment la décision de la Commission européenne du 6 décembre 2016, Microsoft / LinkedIn, M.8124, paragraphe 87 et la note de bas de page 76. 359 Voir notamment les décisions de la Commission européenne des 18 février 2010, Microsoft / Yahoo! Search Business, COMP/M.5727, paragraphes 47 et 100 ; 27 juin 2017, Google Search (Shopping), AT.39740, paragraphe 159 ; 18 juillet 2018, Google Android, AT.40099, paragraphe 328. Voir également l’avis de l’Autorité de la concurrence n° 18-A-03, précité, et la décision de l’Autorité de la concurrence n° 19-D-26 du 19 décembre 2019 relative à des pratiques mises en œuvre dans le secteur de la publicité en ligne liée aux recherches, paragraphes 26 et 58. 360 Voir les décisions de la Commission européenne des 10 février 2010, 27 juin 2017 et 18 juillet 2018, ainsi que l’avis de l’Autorité de la concurrence n° 18-A-03, précités. 74

fait des « relations fluides et rapidement changeantes de substituabilité » entre produits et services361. 219. Par contraste, une définition de marchés permettant de faire une photographie d’un marché à un instant t, compatible avec une analyse rétrospective des marchés et adaptée aux marchés suffisamment murs et stables, peut ne pas être totalement adaptée aux secteurs dynamiques, dans la mesure où le caractère changeant des services peut rendre toute conclusion rapidement obsolète362. 220. La numérisation de l’économie et la nature changeante des marchés de produits et services posent ainsi de nouveaux défis pour la définition des marchés, notamment s’agissant de la détermination des produits et services que les consommateurs considèrent comme interchangeables363. Les outils traditionnellement utilisés, comme le test SSNIP364 (« small but significant and non-transitory increase in price test » ou « test du monopoleur hypothétique ») qui permet de déterminer, sur la base d’une hypothétique augmentation du prix d’un produit, si les consommateurs se reporteraient sur un autre produit, peuvent apparaître inadaptés aux nouveaux modèles commerciaux, comme par exemple la fourniture de services à titre gratuit, pour lesquels d’autres critères entrent en compte tels que, par exemple, la qualité ou le caractère innovant du service proposé, ou encore la taille du réseau auquel ce service donne accès365. 221. C’est pour tenir compte de ces évolutions propres à l’économie numérique, au développement des plateformes et à la vitesse à laquelle ces évolutions s’opèrent, que la Commission européenne a lancé une consultation publique afin d’évaluer si sa communication de 1997 sur la définition du marché en cause devait être modifiée366. 222. Les difficultés évoquées précédemment ont plus spécifiquement été soulignées au sujet du secteur des paiements. Ainsi, dans son étude intitulée « Problèmes de concurrence dans le domaine des technologies financières (FinTech) », le Parlement européen a souligné que

« […] La première étape pour commencer l’analyse des comportements anticoncurrentiels, la définition des marchés de produits, est une tâche très complexe en raison du paysage continuellement changeant dans lequel les frontières entre les services deviennent floues »367.

361 CREMER, J., et al, rapport de 2019, précité, pages 46-47. 362 Selon les auteurs du rapport CREMER précité, « les frontières du marché ne sont pas aussi claires dans le monde digital que dans la vieille économie. Elles peuvent évoluer très vite. », voir CREMER, J., et al, rapport de 2019, précité, page 3. 363 VESTAGER, M., « Définir les marchés dans une nouvelle ère » (traduction de convenance), 9 décembre 2019, discours (lien). 364 « Small but Significant Non –transitory Increase in Price » : augmentation faible mais significative et non transitoire des prix. 365 Voir par exemple à ce sujet les articles suivants : CLAIRE, J., DHONDT, N., « Rapidly Changing Online Markets: Can Competition Enforcers Keep up », Competition Law & Policy Debate, 2016, vol. 2, no. 2, pages 17 et 18-20 ; OCELLO, E., SJÖDIN, C., and SUBOČS, A, « What’s Up with Merger Control in the Digital Sector? Lessons from the Facebook/WhatsApp EU merger case », European Commission, Competition merger brief, 2015, Issue 1/2015, page 3; PODSZUN, R., « The Arbitrariness of Market Definition and an Evolutionary Concept of Markets », The Antitrust Bulletin, 2016, Vol. 61(1), pages 121-132; KERBER, W., « Competition, Innovation, and Competition Law: Dissecting the Interplay », MAGKS Joint Discussion Paper Series in Economics, 2017, 42-2017, pages 4-6 et 12-14. 366 Voir site internet de la Commission européenne (lien). 367 Parlement européen, étude de juillet 2018, précitée, page 59. 75

223. La pratique décisionnelle récente de la Commission européenne dans le secteur des paiements reflète également ce constat. Ainsi, en matière de contrôle des concentrations, la Commission européenne a notamment laissé ouverte la question de la définition des marchés pertinents en matière de paiement mobile368. 224. Les développements qui suivent visent à analyser, de manière globale, et sur la base notamment des réponses des acteurs interrogés dans le cadre de l’instruction du présent avis, la nature de la relation entre les services de paiement proposés par les acteurs bancaires traditionnels et ceux proposés par les nouveaux entrants. 2. LE RAPPORT CONCURRENTIEL ENTRE SERVICES DES ACTEURS BANCAIRES TRADITIONNELS ET SERVICES DES NOUVEAUX ENTRANTS 225. Si le présent avis permet d’identifier les grandes catégories de services offerts par les banques et les acteurs non-bancaires, il n’a pas pour objet d’évaluer le degré de substituabilité pouvant exister entre eux, ni par conséquent de définir les marchés pertinents. 226. De manière générale, l’Autorité relève, d’une part, qu’indépendamment du rapport concurrentiel pouvant exister entre les services traditionnels et les nouveaux services de paiement, ces derniers viennent s’insérer dans le système bancaire existant et s’appuient sur des infrastructures bancaires historiques (a) ; d’autre part, que le caractère innovant des services et celui, très dynamique, du secteur des paiements (voir supra) remettent en question, de manière continue, la nature des rapports concurrentiels pouvant exister entre services traditionnels et nouveaux services (b). a) De nouveaux services dépendants des infrastructures bancaires en place 227. D’une manière générale, il ressort de l’instruction de l’avis qu’il existe une dépendance des nouveaux services proposés vis-à-vis du système historique d’infrastructures bancaires dans lequel ces services s’insèrent, que ce soit pour compléter l’offre bancaire traditionnelle ou pour la concurrencer. 228. La BRI a notamment souligné que les plateformes de paiement des BigTech, GAFA et BATX, ainsi que leurs utilisateurs dépendent largement des infrastructures bancaires. Les GAFA s’appuient en effet, pour proposer leurs services, sur des infrastructures tierces, telles que les systèmes de paiement par carte. S’agissant des plateformes ayant développé leurs propres infrastructures, comme Alipay par exemple, les utilisateurs demeurent dépendants des banques, dans la mesure où ils ont besoin d’un compte bancaire ou d’une carte de paiement pour faire entrer et sortir de l’argent du réseau. Elles doivent en outre faire appel aux banques pour effectuer des règlements entre banques, car elles ne peuvent participer aux systèmes de paiement interbancaires pour le règlement en monnaie de banque centrale369. À ce constat factuel on peut ajouter que les grandes plateformes insistent, dans la présentation de leur activité, sur le fait qu’elles ne sont pas prestataires de services de paiement au sens

368 Voir notamment les décisions de la Commission européenne suivantes : décision du 4 décembre 2012, Telefónica UK/ Vodafone UK/ Everything Everywhere/ JV, COMP/M.6314; décision du 14 août 2013, Telefonica/ Caixabank/ Banco Santander / JV, COMP/M.6956 ; décision du 11 octobre 2013, BNP Paribas Fortis/ Belgacom/ Belgian Mobile Wallet, COMP/M.6967 final ; décision du 19 juillet 2017, Bite / Tele2 / Telia Lietuva / JV, M.8251 ; et Décision du 21 novembre 2017, CVC / Blackstone / Paysafe, M.8640. 369 BRI, rapport de juin 2019, précité, page 58. 76

du CMF, se présentant comme de simples intermédiaires. À ce jour, aucune grande plateforme n’a fait le choix de s’intégrer verticalement avec un établissement bancaire ou n’a développé, en son sein, une activité la plaçant sous le régime des établissements bancaires. 229. Il n’y a aujourd’hui pas ou peu d’acteurs réellement autonomes disposant de leur propre infrastructure : la quasi-totalité des services proposés par les FinTech dépendent, à des degrés variables, du système bancaire existant, notamment des systèmes de paiement de détail, comme les plateformes de compensation multilatérales CORE et SEPA, qui assurent l’exécution des ordres de paiement de masse effectués par différents moyens (prélèvements, virements, chèques, cartes…)370. De manière générale, l’accès des FinTech à ces plateformes passe par la conclusion de partenariats avec tout ou partie des banques371. 230. Par ailleurs, certains acteurs indiquent que cette dépendance proviendrait également des exigences réglementaires liées à la lutte contre le blanchiment d’argent, qui obligent les FinTech à vérifier que leurs clients disposent d’un compte bancaire. Ainsi, un acteur des FinTech interrogé indique être « de manière générale dépendant des banques puisqu’une relation ne peut pas être établie avec le client par un service de paiement sans que celui-ci n’ait une relation préexistante avec une banque »372. 231. Les FinTech sont également dépendantes des banques s’agissant de l’émission d’IBAN373, du cantonnement des fonds qui transitent par leur plateforme (comptes de cantonnement gérés par les banques)374 et des transactions par carte bancaire dans lesquelles les banques assurent le rôle d’acquéreur, en lien avec les systèmes de paiement par carte tels que Visa, MasterCard ou CB375. Selon certains acteurs, l’accès des FinTech au réseau du GIE Cartes Bancaires CB, le principal système de paiement par carte en France, ne peut être qu’indirect, en tant que membre affilié d’un membre principal, à savoir l’une des principales banques françaises376. 232. Il en résulte, comme le souligne un répondant, que « les banques […] demeurent des acteurs incontournables du secteur »377. 233. On constate actuellement un mouvement de fragmentation ou de séquençage qui conduit à « découper » le paiement en une multitude d’opérations successives, dont certaines restent l’apanage des banques, tandis que d’autres sont réalisées par les BigTech ou les FinTech. On peut ainsi constater différents positionnements au sein du système existant, selon leur apport fonctionnel aux différents stades du circuit du système de paiement actuel (voir schéma ci-dessous issu d’une étude de la BRI)378 : le stade de la pré-transaction, qui inclut notamment les activités d’acquisition et la fourniture d’instruments de paiement, le stade de

370 Voir par exemple les cotes 914, 1305, 1333 et 1334. Sur les systèmes de paiement de détail, voir le site internet de la Banque de France (lien). 371 Cote 3 694. 372 Cote 1 305. 373 Cote 1 305. L’IBAN ou « International Bank Account Number » est l’identifiant du compte bancaire (voir le site internet d’Assurance Banque Epargne Info Service (lien)). 374 Cotes 1 333, 1 334 et 1 457. 375 Cote 1 305. 376 Cote 3 692. 377 Cote 625. 378 Système de paiement par carte, modèle 4 coins, qui est le plus répandu. 77

l’autorisation, qui incorpore des services techniques liés par exemple à la sécurité des transactions, les stades de la compensation et du règlement des transactions (voir les paragraphes 70 et suivants ci-dessus) et le stade post-transaction, qui concerne notamment la production de reçus de paiement379. Figure n° 16 – Représentation simplifiée du circuit de paiement

Source : Schéma repris et adapté du rapport de la Banque des règlements internationaux, page 10. 234. Selon cette étude, les fournisseurs de services de paiement peuvent être répartis en quatre grandes catégories380: • les fournisseurs de services « de premier plan » (ou « front-end ») qui, de manière générale, sont positionnés entre les utilisateurs finals (payeur et/ou bénéficiaire) et le processus de compensation et de règlement. Sont notamment inclus dans cette catégorie les fournisseurs proposant des services de portefeuilles mobiles, de paiement électronique en ligne et les prestataires de services de paiement, etc.; • les fournisseurs de services « d’arrière-plan » (ou « back-end »), qui concernent les services spécialisés offerts aux banques et ne fournissant pas de services directement aux utilisateurs finals. Il s’agit par exemple de fournisseurs de services informatiques, de sécurité ou de stockage et des services de conformité et d’audit fournis dans le cadre de la lutte contre le blanchiment des capitaux ; • les fournisseurs d’infrastructures de paiement de détail, spécialisés dans le règlement et la compensation ; et • les services « de bout-en-bout » (ou « end-to-end ») qui offrent une combinaison de services appartenant aux différentes catégories susmentionnées.

379 Voir notamment BRI, « Non-banks in retail payments », septembre 2014, rapport (lien). 380 À noter que cette classification technique ne correspond pas exactement à celle proposée par la Banque de France exposée aux paragraphes 110 et suivants, mais la recoupe en partie. 78

235. Les FinTech proposent des services à différents stades du système de paiement : Figure n° 17 – Positionnement des FinTech dans le circuit de paiement

Source : Schéma, repris et adapté du rapport de la Banque des règlements internationaux (page 10 et suivantes) illustratif des différents positionnements de FinTech dans un système 4 coins (voir paragraphe 76)381. Dans cette illustration, qui est à comparer avec celle de la figure n° 16, la banque du bénéficiaire est substituée par une FinTech proposant des services bancaires étendus (il peut s’agir par exemple d’une banque en ligne ou d’une néobanque). b) La nature du rapport entre nouveaux services et services traditionnels Analyse des liens de substituabilité et/ou de complémentarité 236. Les réponses aux questionnaires des services d’instruction et les résultats de la consultation publique lancée par l’Autorité en mai 2020 montrent que les services traditionnels et les nouveaux services peuvent présenter des rapports de substituabilité ou de complémentarité. L’absence de concordance totale dans les positions des acteurs interrogés à ce sujet au cours de l’instruction témoigne des difficultés, décrites dans la partie précédente (voir supra, paragraphes 217 et suivants), pour délimiter les marchés dans le secteur des paiements. 237. Cette complexité est également soulignée par la BRI qui indique que « certains acteurs non-bancaires fournissent des services aux banques dans le cadre de contrats d’externalisation ou autres types d’accords de coopération. Dans d’autres cas, les acteurs bancaires et non-bancaires peuvent être en concurrence ou alors un acteur non-bancaire peut coopérer avec d’autres entités à certains niveaux de la chaîne de paiement (par exemple pour la compensation et le règlement des transactions) et concurrencer d’autres acteurs bancaires ou non-bancaires à d’autres niveaux (par exemple dans la fourniture de services

381 À noter que ce schéma vise à illustrer de manière non exhaustive les différents stades du système de paiement dans lesquels les FinTech peuvent être impliquées. Les fournisseurs de services de bout-en-bout peuvent selon les systèmes, accéder soit directement au réseau de compensation et de règlement (comme c’est le cas dans la présente illustration) ou indirectement, via une banque membre du réseau. 79

de paiement aux utilisateurs finals). La concurrence peut être plus évidente lorsque l’acteur non-bancaire fournit des services semblables à ceux offerts par les banques, ou moins manifeste lorsque le service de paiement fourni par l’acteur non-bancaire ne connaît pas d’équivalent au sein de la gamme de services offerts par les banques. Même dans ce cas, les nouveaux services sont généralement des substituts étroits des services plus traditionnels, ce qui conduit à une certaine concurrence entre nouveaux services et services traditionnels, dans la mesure où ils ont pour objet commun de transférer de l’argent »382. 238. La plupart des acteurs interrogés, toutes catégories confondues, estiment qu’il existe des services proposés par les FinTech comparables, voire même substituables, à ceux proposés par les acteurs bancaires traditionnels, principalement au sein de deux grandes catégories de services relevant de l’article L. 314-1 du CMF : (i) l’exécution d’opérations associées à un compte de paiement et une ouverture de crédit (prélèvement, opérations avec carte de paiement et virement) ; et (ii) l’émission d’instruments de paiement et l’acquisition d’opérations de paiement. 239. Ainsi, par exemple, parmi les FinTech interrogées, Spendesk estime que ses services, permettant à ses clients de réaliser certaines opérations de paiement par carte bancaire et d’effectuer des remboursements de notes de frais et de paiement de factures par virement, peuvent se substituer aux services proposés par les banques383. C’est le cas également d’IbanFirst, qui fournit des services d’exécution de prélèvements et virements aux PME384, de Libeo, qui propose, aux TPE et PME, une solution permettant de centraliser les factures de leurs fournisseurs et de les régler via une plateforme dédiée385 ou d’Afone Paiement, qui fournit des services d’encaissements de cartes bancaires en point de vente et en ligne et de réception et émission de virements et avis de prélèvements386. Lydia estime quant à elle que plusieurs des services qu’elle propose sont substituables à ceux des banques (par exemple la gestion de comptes de paiement ou l’initiation d’opérations de paiement comme le virement instantané)387. 240. Par ailleurs, certaines FinTech, telles que Lydia, Qonto ou Mooncard388, proposent des services d’émission de cartes de paiements, qui sont des services traditionnellement proposés par les groupes bancaires. 241. Les services de dépôt et retrait d’espèces et de chèques, au guichet des banques ou via les distributeurs automatiques de billets (ci-après « DAB »), demeurent principalement des activités des banques traditionnelles. Toutefois, les services de certains acteurs non-bancaires, comme Nickel, qui permet de retirer des espèces dans les DAB mais aussi de déposer des espèces auprès des buralistes, ou Veracash, qui offre la possibilité de retirer des espèces en DAB, semblent être, au moins partiellement, substituables aux services bancaires389.

382 BRI, rapport de septembre 2014 précité, page 8 (traduction propre). 383 Cotes 1 332 et 1 334. Voir également la cote 1 490. 384 Cote 754. 385 Cote 1 394. 386 Voir notamment les cotes 3 690 et 3 692. 387 Cote 1 305. Voir aussi la cote 1 350. 388 Cotes 902 et 1 305. 389 Cote 767. 80

242. Dans une moindre mesure, les services de transmission de fonds à l’international de certaines FinTech apparaissent substituables, dans leur fonction, à ceux de certaines banques, mais les services proposés par les FinTech et ceux proposés par les banques pourraient présenter d’importantes différences s’agissant des modalités des services proposés390 et des prix pratiqués par les uns et par les autres391, autant de facteurs qui sont ordinairement déterminants dans l’analyse, de la substituabilité de produits ou services, que pourrait conduire une autorité de concurrence en utilisant divers outils, dont le test SSNIP par exemple. 243. Parmi les nouveaux services créés par la DSP2, les services d’information sur les comptes, qui offrent à l’utilisateur une vision consolidée des comptes qu’il détient dans différentes banques ainsi que des outils d’analyse et de conseil associés, sont perçus comme étant plutôt complémentaires des services bancaires traditionnels car ils permettent « aux particuliers de rassembler l’ensemble de ses comptes bancaires sur un seul outil »392, service que les banques ne proposaient pas initialement393. Toutefois, pour certains, la partie conseil/analyse du service pourrait être substituable aux services de gestion des finances personnelles proposés par les banques394. 244. Les services d’initiation de paiement sont quant à eux perçus par certains comme complémentaires des services bancaires, dans la mesure où il est nécessaire, pour bénéficier de ces services, de détenir au moins un compte bancaire395. Au contraire, d’autres estiment qu’ils pourraient à terme constituer une alternative à certains services traditionnels comme le paiement par carte396. 245. S’agissant plus particulièrement des services proposés par les banques en ligne, la quasi-totalité des répondants considère, de manière générale, que les banques en ligne, qui sont pour la plupart une version dématérialisée des banques en dur et donc des acteurs proches des banques tant dans leur modèle que dans les services qu’elles offrent, sont des concurrents directs des banques traditionnelles pour la plupart des activités de paiement397. 246. Certains éléments semblent indiquer toutefois que les banques en ligne ne sont pas perçues par les consommateurs comme étant parfaitement substituables aux banques traditionnelles398. En effet, certains services proposés par les banques traditionnelles, comme la possibilité de se rendre dans une agence ou de rencontrer un conseiller, ne sont pas offerts par les banques en ligne et peuvent constituer pour les consommateurs des facteurs

390 Voir la cote 1705 : « les groupes bancaires ne proposent pas de transferts de fonds à l’international avec retrait d’espèces pour le bénéficiaire. Ces transferts ont le plus souvent lieu vers des pays peu voir pas bancarisés, ce qui rend ce service non concurrent des services de virements bancaires classiques ». 391 Les offres tarifaires des FinTech seraient plus avantageuses que celles des banques traditionnelles. Voir Xerfi, étude de février 2017, précitée, page 53. 392 Cote 1 305. Voir également par exemple la cote 4 024. 393 Il semble toutefois que cette situation ait évolué, certaines banques dont Société Générale proposant désormais ce type de service. Voir le site internet de Société Générale (lien). 394 Voir par exemple la cote 1 382. 395 Cote 754. 396 Cote 4 024. 397 Voir par exemple les cotes 3 715, 3 734 et 3 642. 398 Voir à cet égard MAUDE, J., représentant de la Starling Bank, intervention à l’occasion de la journée de la concurrence à l’OCDE du 26 février 2020 (lien) (à partir de la soixante-et-une-ième minute). 81

différenciants. Les banques en ligne doivent par ailleurs s’appuyer sur les réseaux bancaires traditionnels afin de pouvoir offrir certains services, dont les activités de dépôt et retrait de chèques et d’espèces399. 247. Ainsi, au cours des dernières années, malgré la proximité des services proposés par les banques traditionnelles et ceux proposés par les banques en ligne, ces derniers ont davantage été utilisés par des consommateurs disposant déjà d’une banque400, pour compléter les services bancaires traditionnels plutôt que s’y substituer. 248. S’agissant enfin des services proposés par les BigTech, leurs services reposent sur les infrastructures bancaires énumérées plus haut. Il en est ainsi des services de paiement mobile tels qu’Apple Pay, Google Pay ou Samsung Pay qui sont adossés à des cartes de paiement et qui dépendent, pour être proposés aux utilisateurs, de la conclusion de partenariats avec les acteurs bancaires (voir supra, paragraphes 180 et suivants). Parallèlement à ces partenariats, le paiement mobile sans contact est également proposé grâce à des solutions développées par les acteurs bancaires eux-mêmes401. 249. Comme indiqué précédemment, la plupart des BigTech ont insisté, dans le cadre de l’instruction de cet avis, qu’en dépit de l’intitulé des services qu’ils proposent (Apple Pay, Google Pay, Amazon Pay), elles n’offrent pas de services de paiement à proprement parler. Ne se considérant pas comme acteur du secteur des paiements, Apple se décrit ainsi comme fournisseur de technologies aux acteurs du secteur. Tous considèrent que les services qu’ils proposent à leurs utilisateurs font partie de leur « écosystème » respectif. 250. Il est intéressant de relever que ces entreprises offrent des nouveaux services, en lien avec les paiements, à une clientèle familière de leur écosystème, et donc, à ce titre encline à adopter lesdits nouveaux services. Par exemple, l’utilisateur d’iPhone pour les produits Apple, les clients et vendeurs de la Market Place pour Amazon, l’utilisateur du système d’exploitation Android pour Google. Selon l’ACPR, leur approche consiste à « compléter l’offre de cœur de métier par des solutions financières qui n’ont pas besoin d’être innovantes pour « apporter de la valeur » »402. 251. On constate ainsi des stratégies en partie différentes de la part des FinTech et des BigTech. Les FinTech ont notamment développé des nouveaux services qui n’existaient pas chez les acteurs traditionnels (par exemple les agrégateurs de comptes ou les outils d’optimisation de la gestion financière). En revanche, à ce jour, les BigTech se sont concentré sur la création d’une « interface de paiement » proposée aux usagers de leur écosystème, en s’appuyant sur des établissements bancaires pour réaliser le paiement lui-même et son traitement en back-office. Cette approche leur apporte plusieurs avantages significatifs : • cela leur permet d’élargir la palette des services offerts aux clients de leur écosystème, renforçant ainsi l’intérêt de le rejoindre ; • la création d’une telle interface leur permet d’acquérir une position importante sur certains segments en fort développement, le paiement sans contact via smartphone pour Apple Pay par exemple, comme Alipay a réussi à le faire en Asie ;

399 Voir ACPR, étude portant sur les modèles d’affaires d’octobre 2018 précitée, page 9. 400 Voir à ce titre ACPR, étude portant sur les modèles d’affaires d’octobre 2018 précitée, page 4. 401 Notamment via Paylib (technologie NFC) mais aussi des acteurs comme Lyf Pay, filiale du groupe Banque Fédérative du Crédit Mutuel (technologie QR code), cote 3 714. 402 Cote 4 438. 82

• de nouvelles sources de revenus avec les commissions perçues sur les paiements et les autres avantages consentis par les établissements bancaires pour pouvoir proposer leurs services « …pay » à leurs clients ; • l’accès aux données liées au paiement, et la possibilité, le cas échéant, d’exploiter ces données individuellement ou en lien avec d’autres données dont disposent par ailleurs les plateformes. 252. Cette stratégie permet donc aux BigTech d’obtenir un effet de levier considérable et des revenus potentiellement conséquents, sans pour autant assumer le poids juridique et financier associé à la réalisation de services de paiement ou d’opérations de compensation interbancaire. Elle soulève un risque pour les banques, celui d’être reléguées au rang de simple « prestataire technique », l’utilisateur ayant la perception que c’est la plateforme qui « opère » ou réalise le paiement, dès lors que c’est la plateforme qui est le front office et que c’est à travers elle que le paiement est initié. Des liens en évolution rapide 253. Les éléments au dossier, et en particulier les réponses des différents acteurs aux questionnaires des services d’instruction, illustrent le caractère relativement instable du rapport concurrentiel entre services traditionnels et nouveaux services. 254. Comme indiqué ci-dessus, la plupart des FinTech sont entrées sur des segments de niche du secteur403 en utilisant l’innovation pour compléter ou améliorer l’offre bancaire existante par des services qui n’existaient pas ou pour lesquels il existait une demande insatisfaite. Ainsi, la plus grande partie des services innovants proposés par les FinTech ne sont généralement pas proposés par les banques au moment de leur lancement. Si, de ce point de vue, les nouveaux services semblent plutôt complémentaires des services traditionnels lorsqu’ils sont introduits sur le marché, la nature de leur lien peut rapidement changer, compte tenu de leur évolution extrêmement rapide dans ce secteur. 255. Ainsi, d’une part, les groupes bancaires, sous la pression exercée par l’apparition d’un nouveau service innovant, peuvent développer ou acquérir un service équivalent en vue de l’intégrer dans leur offre, notamment « pour ne pas être mis à risque auprès de leur clientèle la plus sensible à l’innovation »404 qui pourrait se tourner vers des groupes bancaires proposant déjà le service en question. Les banques nouent aussi des partenariats avec les FinTech ou les BigTech leur permettant d’offrir à leurs clients des services enrichis de nouvelles fonctionnalités405. Dans ce schéma, les services innovants des FinTech viennent donc instiller de la concurrence entre groupes bancaires en les incitant à améliorer leur offre, pour ne pas perdre leur clientèle406.

403 Un acteur interrogé indique par exemple : « Nous avons remarqué que les groupes bancaires sont efficients à traiter les opérations de change de leurs clients privés et leurs clients « corporate » mais qu’ils le sont beaucoup moins pour leurs clients « moins importants ». Nos services visent donc ces clients « moins importants » afin qu’ils puissent eux-aussi avoir accès facilement à des tarifs avantageux ainsi qu’à un conseiller ayant une véritable expertise dans le change » (cote 754). 404 Cote 3 993. 405 Un acteur interrogé indique par exemple : « [une] Fintech nous fournit un SDK [software development kit] permettant de réaliser du paiement sans contact avec l’application de paiement proposant le service Paylib en magasin sur Smartphone Android » (cote 914). 406 Cote 4 024. 83

256. D’autre part, dans certains cas, les FinTech entrées dans le secteur en répondant à une demande non-couverte par les banques peuvent, si elles atteignent un niveau de développement suffisant, diversifier leur activité d’origine et proposer des offres plus complètes, parfois comparables aux services proposés par les banques traditionnelles à la condition d’obtenir les agréments nécessaires et pour devenir elles-mêmes des banques. 257. Un acteur indique à ce titre que « Les fintechs proposent généralement des offres verticales spécialisées qui viennent prendre une petite part dans la valeur captée par les acteurs bancaires historiques. Dans un premier temps elles viennent compléter les offres (comme le paiement sur mobile) mais très vite elles vont concurrencer les acteurs bancaires en remontant dans la chaine de valeur et en mobilisant plus de fonds jusqu’à offrir du crédit qu’elles peuvent proposer à un large volume de clients : c’est l’effet de la stratégie commerciale « freemium » (gratuit puis payant) qui bouscule les habitudes établies en Europe »407. 258. Dans les deux cas, les services proposés originellement peuvent être intégrés à d’autres services et ainsi disparaître du marché en tant que services autonomes. Ils peuvent également venir se greffer à un service bancaire préexistant pour en devenir l’accessoire. Par exemple, l’offre proposée par la FinTech Spendesk aux entreprises est un service de tenue de compte de paiement et d’émission de moyen de paiement par carte comparable aux services de cartes bancaires proposées par les banques. Spendesk estime toutefois que ce service va au-delà de l’offre des banques car il est proposé avec une plateforme de gestion des dépenses, service qui n’existait pas dans l’offre bancaire traditionnelle408. 259. On note ainsi une forte porosité et des connexions entre les services offerts par les banques d’une part, les FinTech et BigTech d’autre part, qu’ils soient traditionnels ou nouveaux. L’évolution rapide du secteur rend plus complexe l’identification du périmètre précis des services offerts et donc l’analyse du rapport de substituabilité ou de complémentarité pouvant exister entre eux. B. LES BARRIERES A L’ENTREE ET À L’EXPANSION 260. Les informations recueillies dans le cadre du présent avis conduisent à constater l’existence de barrières à l’entrée et à l’expansion dans le secteur des paiements d’origine réglementaire (1), d’origine économique (2) et, enfin, liées à l’accès à certaines infrastructures et à certaines données (3). 1. BARRIERES D’ORIGINE REGLEMENTAIRE a) Un secteur très réglementé 261. Le secteur bancaire est marqué par une réglementation abondante qui poursuit plusieurs objectifs d’intérêt général : d’une part, des objectifs en lien avec le bon fonctionnement du système financier (i.e. sécurité des transactions et stabilité du système monétaire et financier), et, d’autre part, des objectifs répondant à d’autres considérations d’intérêt général,

407 Cote 4 044. 408 Cote 1 333. Voir également la cote 625. 84

comme la lutte contre la criminalité organisée et les menaces à la sécurité nationale (i.e. lutte contre le blanchiment et le financement du terrorisme, ci-après « LCB-FT »). 262. La plupart des acteurs interrogés soulignent ainsi l’importance considérable des coûts associés au respect de cette réglementation (complexité, délai, exigences financières) liés notamment à l’obtention d’agréments permettant l’exercice d’une activité dans le secteur des paiements409. 263. En outre, comme le font valoir les acteurs du secteur, cette réglementation s’accompagne d’une supervision et d’un contrôle exigeant, qui entraîne des coûts importants. 264. De façon générale, le respect continu des exigences réglementaires et prudentielles entraîne des coûts importants d’immobilisation de fonds propres (pour les établissements de crédit), auxquels s’ajoutent ceux liés à la mobilisation de ressources importantes, notamment en matière informatique (investissements technologiques, en matériels, en ressources humaines, etc.)410. 265. Sur le premier point, l’un des principaux acteurs bancaires français résume ainsi la situation : « [p]our les Etablissements de Crédit, les exigences règlementaires constituent des investissements importants, souvent sans contrepartie, qui conduisent à des arbitrages dans les projets commerciaux. En cela, les contraintes réglementaires de tous ordres qui apportent une certaine sécurisation du monde bancaire, constituent un frein à la recherche, au développement et à l’innovation. Par exemple, les exigences de Bale II ou de Bale III[411]

et le respect de certains ratios, ainsi que les règles en matière de blanchiment et de lutte contre le terrorisme, ou bien encore les nombreux reporting centraux en tous genres sont particulièrement impactants sur la souplesse des banques et les capitaux à engager »412. 266. Sur le second point, un autre acteur bancaire français majeur déclare : « [A]u-delà de toutes celles qui peuvent être identifiées à l’entrée, les barrières à l’expansion des services de paiement pour les Fintech résident principalement dans leur capacité de maintenir leur niveau opérationnel avec l’exigence notamment du respect continu de la conformité réglementaire (audits réguliers) ainsi que la faculté de pouvoir retenir leurs ressources humaines et d’en accueillir de nouvelles, expertes dans les nouvelles technologies »413. 267. Il est intéressant de relever que si les coûts évoqués peuvent représenter une barrière à l’entrée ou à l’expansion pour de potentiels nouveaux entrants souhaitant exercer en tant qu’établissement de crédit, sur lesquels pèsent les contraintes les plus fortes, ils peuvent également constituer, aux yeux des acteurs bancaires traditionnels, « un frein à la recherche, au développement et à l’innovation » et donc une barrière à l’expansion, voire même, lorsque qu’il s’agit de services nouveaux, une barrière à l’entrée.

409 Cotes 1 367, 1 398 et 2 945. 410 Voir par exemple cotes 625 et 2 945. 411 Accords internationaux pour renforcer la solidité du secteur bancaire, conclus en 2010. Voir Banque de France, « L’accord de Bâle III », 2 octobre 2020, Mot de l’Actu (lien). 412 Cote 1 569. 413 Cote 1 658. 85

b) Une réglementation différenciée selon les services proposés voire inapplicables à certains acteurs présents dans le secteur 268. À ce jour414, on compte 11 types d’agréments différents en fonction de l’activité exercée415, délivrés par l’ACPR : « Les banques et autres établissements de crédit Les sociétés de financement, qui ne peuvent pas recevoir de fonds remboursables du public Les entreprises d’investissement (remarque : les sociétés de gestion de portefeuille sont agréées par l’Autorité des marchés financiers, cliquer ici)

Les établissements de paiement Les établissements prestataires de services d’informations sur les comptes Les établissements de monnaie électronique Les changeurs manuels (bureaux de change) Les sociétés qui bénéficient d’une exemption d’agrément Les instituts de microfinance Les compagnies financières, qui ont pour filiale une ou plusieurs entreprises financières, sans toutefois exercer d’activités financières elles-mêmes Les agents mandatés pour exercer des services de paiement pour le compte, et sous la responsabilité, d’établissements de crédit ou d’établissements de paiement »416. 269. La réglementation applicable permet ainsi aux acteurs d’exercer leur activité via l’obtention, le cas échéant, d’un agrément dont les contraintes sont précisément dimensionnées en fonction des risques liées à l’activité exercée (ex : prestataires de services d’information sur les comptes vs établissements de crédit). Ces exigences ont été redéfinies depuis l’entrée en vigueur des directives dites DSP1 de 2007 et DSP2 de 2015 (voir supra, paragraphes 8 à 14). À titre illustratif, les exigences les plus contraignantes portant sur les fonds propres ne sont applicables qu’aux seuls établissements de crédit. En cela, l’entrée de nouveaux acteurs sur les autres catégories de services financiers est facilitée. 270. Ce constat, partagé par la plupart des acteurs interrogés, qu’il s’agisse de grands groupes bancaires ou de FinTech, est ainsi résumé par l’une d’entre elles : « les directives européennes successives en faveur de la création d’établissements de paiement et de monnaie électroniques, respectivement DSP (et DSP2) et DME, ont permis l’émergence de Fintech innovantes. En permettant de pouvoir opérer des services financiers simples et peu risqués de manière plus légère qu’auparavant, ces réglementations ont ouvert d’immenses possibilités d’innovation. De même, la DSP2, en adoptant une logique d’open banking [système bancaire ouvert], est en train d’ouvrir de grandes opportunités de développement de services innovants sur la base de données bancaires (crédit instantané, coach financier personnalisée…) »417.

414 Le 12 novembre 2020. 415 Voir le registre des agents financiers (REGAFI), qui recense toutes les sociétés établies en France dont l’activité nécessite l’autorisation de l’ACPR (lien). 416 Voir site internet Regafi (lien). 417 Cote 1 335. 86

271. Ainsi, certaines FinTech font le choix de sous-traiter à des prestataires agréés la réalisation de certaines opérations nécessitant un agrément, plutôt que les réaliser elles-mêmes, à cause de la nécessité d’obtenir un agrément, ce qui témoigne du caractère dissuasif de celui-ci. Ce point a d’ailleurs été souligné par l’ACPR dans sa dernière étude sur les néobanques418. 272. À titre illustratif, une des FinTech interrogée résume ainsi le choix stratégique auquel elle a été confrontée : « En nous appuyant sur des acteurs réglementés (établissements de monnaie électronique), il nous a été possible de lancer une activité de plateforme SaaS tout en distribuant des services de paiement sans rencontrer de barrières à l’entrée trop importante. L’alternative aurait été d’obtenir un agrément d’établissement de paiement [qui] aurait été très longue et capitalistiquement intensive, ce qui aurait pu constituer une barrière à l’entrée, raison pour laquelle nous avons préféré ne pas prendre ce risque »419. 273. Le cas suivant illustre une stratégie alternative, celle d’un agent prestataire de services de paiement, enregistré à l’ACPR, mandaté, par deux sociétés agréées, pour réaliser certaines opérations ne nécessitant pas d’agrément : « [p]our la gestion de compte de paiement : (…) [un] émetteur de monnaie électronique (…). Pour la fourniture de services d’initiation de paiement et d’information sur les comptes :(…) [un] établissement de paiement agréé par l’ACPR »420.

274. Par ailleurs, on constate que certaines activités sont tout simplement hors du champ défini par le CMF, et échappent ainsi à la supervision qui y est attachée. 275. Cela peut par exemple être le cas de prestations purement techniques. L’un des répondants a ainsi déclaré que « [n]ous sommes une brique technique et ne gérons pas l’encaissement pour le compte de tiers. Donc nous n’avons pas eu d’obstacle réglementaire ou financier. Nous nous connectons aux PSP de nos marchands qui eux opèrent les transactions en banque »421. 276. Cela peut aussi être le cas de prestations qui s’apparentent à des services de paiement. Par exemple, le service Apple Pay, qui permet aux détenteurs d’iPhone de réaliser avec ce dernier des paiements sans contact et des paiements à distance, ne nécessite pas d’agrément. En pratique, c’est son smartphone, et non plus sa carte, que le détenteur d’iPhone et utilisateur du service Apple Pay utilise comme support physique pour régler ses transactions chez les commerçants qui acceptent cette solution. 277. En l’état des indications rassemblées pour l’avis, il semble que les acteurs considèrent que le type de service offert par Apple Pay ne constitue pas à proprement parler un service de paiement. Le développement de ce type de service interroge toutefois puisque l’utilisateur peut avoir l’impression qu’Apple est l’opérateur du paiement, et le recours à ce service conduit la plateforme à intervenir dans le déroulement de l’opération de paiement.

418 ACPR, étude portant sur la rentabilité des néobanques de juin 2020, précitée, pages 12-13. 419 Cote 1 335. 420 Cote 1 305. 421 Cote 1 367. 87

c) Une réglementation européenne qui favorise le « forum shopping » en fonction des moyens et pratiques de supervision des régulateurs des États membres 278. Institué en 1993 par la directive n° 89/646/CEE422, le passeport européen permet à toute entreprise agréée, par un État membre, d’exercer son activité, moyennant quelques formalités423, dans l’ensemble du territoire de l’Union européenne. Cela allège la charge administrative des entreprises concernées et, selon l’ACPR, « est un moyen de développer la concurrence entre les établissements [de paiement et de monnaie électronique] »424. 279. Toutefois, les États membres disposent d’une marge de manœuvre quant à la transposition des directives concernées et leur application, ce qui peut créer des distorsions entre eux. De nombreux acteurs font valoir le caractère relativement contraignant, par rapport à certains autres États membres, de la réglementation française telle qu’elle a été appliquée en France425. 280. Si lesdits acteurs comprennent généralement l’intérêt général d’une réglementation exigeante, ils expriment l’inquiétude cependant que des exigences plus strictes en matière prudentielle426 ou encore en matière de vérification d’identité (par exemple à l’ouverture d’un compte) liées à la LCB-FT427 puissent avoir pour effet de pénaliser les entreprises établies en France. 281. Enfin, au-delà des éventuelles différences de transposition de la directive concernée entre les États membres, l’ACPR indique que « l’application d’une réglementation européenne harmonisée est d’autant plus nécessaire car elle peut poser [peser] in fine sur les conditions de concurrence entre acteurs »428. 282. Sur ce point, plusieurs pistes d’amélioration sont à l’étude. Parmi ces pistes donnant lieu à de nombreux travaux au sein de l’Autorité bancaire européenne, l’ACPR cite : « une amélioration de la tenue des registres UE et nationaux du passeport permettant aux consommateurs d’identifier les acteurs effectivement autorisés à agir sur le territoire national » d’une part, et, d’autre part, « [l]a nécessité de faire converger certaines pratiques de supervision afin d’assurer une égalité de concurrence »429. 2. BARRIERES D’ORIGINE ECONOMIQUE 283. Les principales barrières à l’entrée ou à l’expansion d’origine économique identifiées dans le secteur des paiements sont, au vu des éléments versés au dossier, les deux suivantes :

422 Directive 89/646/CEE du Conseil du 15 décembre 1989 visant à la coordination des dispositions législatives, réglementaires et administratives concernant l’accès à l’activité des établissements de crédit et son exercice, et modifiant la directive 77/780/CEE, JO n° L 386 du 30.12.1989, pages 1 à 13. 423 Voir le site internet de l’ACPR (lien). 424 Cote 4 445. 425 Cote 625, 1 458 et 2 945. 426 Cotes 616, 625, 689, 690, 713, 769, 1 351-1352 et 2 959. 427 ACPR, étude portant sur la rentabilité des néobanques de juin 2020, précitée, pages 14-15. 428 Cote 4 445. 429 Cote 4 445. 88

l’existence d’externalités de réseau (a) et l’existence d’économies d’expérience et d’économies d’échelle (b)430. a) L’existence d’externalités de réseau, particulièrement puissantes sur certains marchés bifaces 284. Ainsi qu’il a été vu supra (paragraphe 210), un service de paiement est d’autant plus intéressant pour un individu donné que le nombre d’utilisateurs de ce service est élevé, ce qui constitue une externalité de réseau directe. C’est par exemple le cas des services de paiement de pair-à-pair, ou encore des cagnottes en ligne.

285. Les externalités de réseau croisées caractérisent quant à elles les marchés dits bifaces (ou multi-faces, lorsque le nombre de faces est supérieur à deux), c’est-à-dire quand le service proposé, fondé sur la mise en relation de deux (ou plus) groupes différents de consommateurs, tire sa valeur, aux yeux de ces derniers, à la fois du nombre et des caractéristiques des participants présents sur chacune des faces. 286. La carte bancaire en est l’illustration topique (voir supra, paragraphes 206 à 209) : cet instrument permet aux détenteurs de cartes (première face) de régler leurs achats de produits et de services chez tous les commerçants qui acceptent lesdites cartes (seconde face). Plus les détenteurs de cartes sont nombreux, plus il est intéressant pour un commerçant de les accepter ; inversement, plus les commerçants qui acceptent les cartes sont nombreux, plus il est intéressant pour un consommateur final de détenir une carte. Au-delà des cartes bancaires, c’est le cas également des cartes servant de support à certains titres spéciaux de paiement, comme par exemple les cartes titres-restaurant431. 287. De nombreux services de paiement créés par les FinTech sont également bifaces, notamment s’agissant des services destinés au consommateur final. C’est notamment le cas des services d’initiation de paiement tels que définis par la DSP2 (voir supra, paragraphe 10). 288. Selon les termes de la directive susvisée, les services d’initiation de paiements « établiss[ent] une passerelle logicielle entre le site internet du commerçant et la plate-forme de banque en ligne du prestataire de services de paiement gestionnaire de compte du payeur en vue d’initier des paiements par l’internet sur la base d’un virement »432 : d’un côté du marché biface, les consommateurs utilisent le support (par exemple une application sur smartphone) permettant d’initier le paiement ; de l’autre côté, les commerçants acceptent ce service de paiement. Les consommateurs veulent être sur le réseau où ils peuvent être en relation avec le maximum de commerçants. À l’inverse, plus les consommateurs adhérents sont nombreux, plus nombreux seront les commerçants à accepter ce service. 289. Plus généralement, les services qui ont pour but de faciliter, rendre plus ergonomique ou encore plus rapide la réalisation d’opérations de paiement, constituent une interface entre

430 Voir FUMAGALLI, C., MOTTA, M., and CALCAGNO, C., Exclusionary Practices – The Economics of Monopolisation and Abuse of Dominance, Cambridge University Press, 2018, page 3, note de bas de page n° 5. 431 Voir respectivement la décision de l’Autorité de la concurrence n° 11-D-11, précitée, et la décision de l’Autorité de la concurrence n° 19-D-25 du 17 décembre 2019 relative à des pratiques mises en œuvre dans le secteur des titres-restaurant. 432 Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015, précitée, paragraphe (27). 89

des clients qui souhaitent payer d’un côté (i.e. les consommateurs) et, de l’autre côté, des clients qui acceptent le paiement (i.e. les commerçants). 290. S’agissant des services d’information sur les comptes, on observe que ces derniers peuvent jouer le rôle d’interface entre les utilisateurs de leurs services d’un côté et, de l’autre côté, d’entreprises offrant des produits bancaires, financiers ou encore des produits d’assurance. À titre illustratif, au-delà de conseils de gestion et de la possibilité de réaliser des virements, l’agrégateur Bankin’ offre aux utilisateurs des conseils pour renégocier leur assurance emprunteur433. 291. Dans la mesure où une entreprise active dans le secteur des paiements doit constituer et développer rapidement son réseau sur chaque face pour atteindre une masse critique et être suffisamment attractive, sous peine de disparaître434, le caractère biface peut ainsi constituer par nature une barrière à l’expansion sur un marché. Cela est largement confirmé par les informations versées au dossier notamment par les FinTech, lesquelles insistent sur la difficulté à augmenter l’échelle de production et la nécessité de contractualiser avec des acteurs déjà en place435, mais également par le constat de l’ACPR selon lequel « la viabilité des néobanques dépend crucialement de leur capacité à acquérir de nouveaux clients et à les conserver »436. 292. Sur ce point, de nombreux nouveaux services ou nouvelles solutions utilisent les infrastructures de paiement existantes (i.e. systèmes de paiement par carte, systèmes de virements, etc.), ce qui leur permet précisément de réduire le coût de constitution de leur réseau. Par exemple, les prestataires de services d’information sur les comptes utilisent les informations relatives aux opérations réalisées par leurs clients via les systèmes de paiement existants et détenues par le(s) gestionnaire(s) de (s) compte(s) bancaire(s). 293. En tout état de cause, si le caractère biface des services de paiement peut constituer une barrière à l’entrée, il faut relever qu’elle a déjà été franchie, comme en témoigne, d’une part, le succès de certaines FinTech437, françaises notamment, et, d’autre part, l’arrivée et le développement de nouveaux acteurs bancaires tels que Nickel, N26 ou encore Revolut. En revanche, la place encore marginale des nouveaux acteurs, comparée à celle occupée par les acteurs bancaires traditionnels438, et leur fragilité financière, constatée par l’ACPR, incite à nuancer ce propos s’agissant des barrières à l’expansion. Cette dernière précise en effet que « [s]i l’apparition des néobanques a pu être considérée comme annonciatrice de bouleversements majeurs dans le secteur bancaire et financier, leur difficulté à dégager des

433 Voir site internet de Bankin’ (lien). 434 EVANS, D.S., and SCHMALENSEE, R., Matchmakers: The New Economics of Multisided Platforms, Harvard University Press, 2016, chap. 5, Ignite or fizzle, pages 70-83. 435 Voir par exemple cotes 625, 644, 712 et 1 306. 436 ACPR, étude portant sur la rentabilité des néobanques de juin 2020, précitée, page 21. 437 Voir par exemple, pour un aperçu des levées de fonds réalisées, qui témoignent de la confiance des investisseurs, le site internet Planet-Fintech (lien), ou sur la croissance commerciale de certaines néobanques, Les Echos Start, En plein boom, les néobanques en passe de devenir de « vraies banques » », 30 janvier 2020 (lien). 438 En 2019, le nombre total de clients actifs des néobanques s’élevait à 3,5 millions, à comparer aux dizaines de millions des plus grands groupes bancaires français. Voir ACPR, étude portant sur la rentabilité des néobanques de juin 2020, précitée, page 7. 90

résultats nets positifs depuis leur création peut au contraire conduire à s’interroger sur leur viabilité »439. 294. Enfin, s’agissant des externalités de réseau, il convient de relever que la taille inégalable acquise par les réseaux des grands acteurs du numérique les rend difficiles à concurrencer, et ce d’autant plus étant donné la tendance des utilisateurs à la mono-domiciliation, ou single-homing, c’est-à-dire le recours à un seul opérateur pour un type de fonction donnée (ex : recherches internet via le moteur de recherche Google, achats sur internet via la place de marché Amazon) pour des raisons d’efficience (e.g. éviter la duplication d’opérations telles que, par exemple, la création de comptes et la saisie d’informations personnelles). 295. Ces externalités de réseau sont en outre amplifiées par l’imbrication des multiples services proposés par les grands acteurs du numérique, chacun de ces services contribuant à renforcer encore l’attractivité de leur plateforme et, à l’inverse, tout nouveau service adhérant à la plateforme ayant accès à un réseau particulièrement étendu. Ces effets ont notamment été mis en lumière par les experts mandatés par la Commission européenne (Crémer, de Montjoye et Schweitzer) dans leur rapport « Competition Policy for the digital era »440. Cette étude a rappelé, à cet égard, les avantages concurrentiels des entreprises du numérique (voir infra, paragraphes 350 à 365).

b) L’existence d’économies d’expérience et d’économies d’échelle L’existence d’économies d’expérience 296. Les éléments versés au dossier mettent en lumière l’importance de la réputation que les entreprises du secteur doivent développer, puis entretenir, aux fins d’exercer leur activité, et ce d’autant plus que le marché français est caractérisé, ainsi que le constate l’ACPR, par « la présence de banques solidement et anciennement implantées, proposant des solutions de paiement parmi les plus sécurisées et disponibles dans le monde entier »441. Pour les nouveaux entrants, il s’agit notamment d’acquérir la confiance des clients potentiels, tant s’agissant de l’intérêt du service proposé que de la sécurité avec lequel il est effectué. 297. Construire une réputation entraîne pour les nouvelles entreprises du secteur des coûts importants, tels que les investissements (généralement irrécupérables) visant à les faire connaître et à renforcer leur image. Un des acteurs interrogés indique ainsi que « [l]e principal défi a été de faire connaître [nos] services et de nouer de solides relations avec les autres prestataires en France »442. Un autre acteur indique quant à lui que les nouveaux entrants doivent « mettre en œuvre des actions marketing coûteuses dans un contexte de plus en plus concurrentiel »443. Il en va de même s’agissant de la sécurité des services proposés, et d’autant plus qu’il s’agit, pour tous les nouveaux arrivants, de services reposant largement, si ce n’est exclusivement, sur les technologies numériques444. 298. Ainsi, on constate aussi que, plutôt que d’internaliser toutes les fonctions support, de nombreuses FinTech font appel, s’agissant de la sécurité informatique, à des prestataires

439 ACPR, étude portant sur la rentabilité des néobanques de juin 2020, précitée, page 18. 440 CREMER, J., et al, rapport de 2019, précité. 441 Cote 4 438. 442 Cote 3 798. 443 Voir cote 644. 444 Cotes 643, 1 335, 1491 et 4 112. 91

spécialisés (i.e. fournisseurs de cloud, voir supra, paragraphe 91), et que nombre d’entre elles sous-traitent certaines opérations liées au paiement à des prestataires agréés pour les réaliser445, ou soulignent la nécessité de s’adosser à un groupe bancaire pour se développer446. 299. Ce qui précède indique que les acteurs en place disposent d’un avantage certain : s’ils doivent certes entretenir leur réputation, ils n’ont pas à la construire (voir infra, paragraphes 338 et 339). L’existence d’économies d’échelle 300. L’industrie bancaire traditionnelle est aussi caractérisée par l’existence de coûts fixes importants, liés notamment à la constitution d’un réseau physique d’agences ainsi qu’à l’acquisition, la gestion et le développement de parcs informatiques de taille importante et de programmes informatiques complexes. Ces investissements sont notamment nécessaires pour sécuriser le réseau et assurer la rapidité de la circulation des flux de données, cruciale notamment pour la réalisation de transactions ou d’opérations financières. 301. Ainsi que le résume BNP Paribas (premier groupe bancaire de l’Union européenne depuis la sortie du Royaume-Uni), « [l]es établissements de crédit disposent généralement d’infrastructures informatiques complexes et d’organisations sophistiquées qui s’appuient sur des réseaux de plusieurs centaines d’agences »447. 302. Le modèle bancaire a été, par le passé et à ce jour, fondé sur la réalisation d’investissements massifs visant à créer, maintenir et développer un réseau de distribution étendu, dense et sécurisé. Celui-ci induit des coûts très importants et, en retour, des économies d’échelle à mesure que la base de clientèle s’étend. Selon l’ACPR, « [l]’appui sur un réseau physique préexistant permet généralement de réduire les coûts d’acquisition de la clientèle et de distribution » (soulignement ajouté)448. Ainsi, pour entrer sur le marché, plusieurs nouveaux acteurs se sont appuyés sur un réseau de distribution existant d’agences physiques, en l’occurrence dense et capillaire. Par exemple, c’est le cas de Nickel, de Ma French Bank, ou encore d’Orange Bank, qui reposent respectivement sur les réseaux des buralistes, des bureaux de poste, et enfin des agences Orange. À titre illustratif, le réseau métropolitain de Nickel est composé d’environ 5 700 points de vente449, soit plus du triple que le réseau de BNP Paribas (i.e. près de 1 800)450. 303. Cela étant précisé, plusieurs évolutions récentes permettent précisément aux nouveaux acteurs, notamment les FinTech, mais aussi les BigTech, d’éviter certains des coûts susmentionnés en recourant à certaines stratégies ou modèles d’affaires fondés sur une offre de services sélective ou un positionnement d’intermédiaire ou de « vitrine », ce qui conduit ainsi à relativiser ce constat. 304. En premier lieu, la possibilité de proposer des services bancaires en ligne fait disparaître de fait la nécessité de constituer un réseau physique d’agences. Au-delà des banques en ligne,

445 Cotes 643, 1 335, 1491, 3 798 et 4 112. 446 Cote 4 112. 447 Cote 1 568. 448 ACPR, étude portant sur la rentabilité des néobanques de juin 2020, précitée, page 11. 449 Voir site internet de Nickel (lien). 450 Voir site internet de BNP Paribas (lien). 92

cela vaut plus généralement pour tous les nouveaux opérateurs proposant, directement ou comme intermédiaires, des services de paiement digitaux, c’est-à-dire les acteurs non-bancaires, en ce inclus les BigTech. 305. En second lieu, l’existence de services de cloud sécurisés et performants (voir supra, paragraphe 94) permet de transformer en coûts variables les coûts fixes informatiques. Au surplus, le secteur des services de cloud étant caractérisé par la présence, au niveau mondial, d’un petit nombre d’opérateurs de grande taille (voir supra, paragraphe 87), ces coûts fixes peuvent potentiellement être répartis sur des échelles gigantesques. Comme l’indique l’ACPR, « l’utilisation du « cloud » [va] de pair avec le développement des services de paiements innovants »451.

306. Si les évolutions ci-dessus décrites sont favorables à l’arrivée des FinTech dans le secteur des paiements, il convient de relever la taille gigantesque de la base de clientèle des grands acteurs du numérique, qui se compte en centaines de millions, voire en milliards. 307. Ces entreprises peuvent ainsi amortir certains coûts fixes sur de vastes bases de clients, générant des économies d’échelle incomparables. L’existence de ces économies d’échelle constitue à l’évidence un avantage concurrentiel pour les acteurs concernés (voir infra, paragraphes 351 et 364) et, étant difficiles à reproduire, elles accroissent, sur les marchés sur lesquels ils opèrent, les possibilités d’exclusion d’entreprises aussi efficaces, c’est-à-dire des entreprises, qui, par ailleurs, seraient en mesure de les concurrencer452. 3. BARRIERES LIEES A L’ACCES A CERTAINES INFRASTRUCTURES TECHNOLOGIQUES ET CERTAINES DONNEES 308. Outre les barrières, qui ont toujours existé dans le secteur des paiements, liées au développement d’infrastructures interbancaires coûteuses à maintenir453, l’instruction du présent avis a permis d’identifier des barrières liées à l’accès effectif à de nouvelles infrastructures technologiques, tout particulièrement l’antenne NFC des smartphones (a), ainsi que des barrières liées à l’accès aux données permettant à certaines FinTech de proposer leurs services de paiement dans le cadre de l’application de la directive DSP2 (b). a) L’accès effectif à l’antenne NFC des smartphones

309. Les conditions d’accès à l’antenne NFC des smartphones peuvent être à l’origine de la création de barrières à l’entrée sur certains marchés. 310. En effet, parmi les constatations effectuées dans la première partie du présent avis, plusieurs tendent à indiquer que le smartphone prend une place grandissante dans les services de paiement en général. Il permet de réaliser à tout instant et en tout lieu toutes les opérations bancaires classiques (consultation de solde, virement, etc.), en particulier le paiement sans contact, modalité de paiement en forte croissance (voir supra, paragraphe 22). 311. Ainsi, les acteurs majeurs de la production et de la distribution de smartphones et/ou de systèmes d’exploitation ont développé des solutions permettant le paiement mobile, à distance dans le cas de commandes en ligne, ou sans contact lors d’achats en magasins. C’est

451 Cote 4 438. 452 Voir FUMAGALLI, C., et al, ouvrage de 2018, précité, page 3. 453 Cotes 3 720 et 3 724. 93

notamment le cas d’Apple et de Samsung, producteurs de smartphones, et d’Apple et Google, développeurs de systèmes d’exploitation (respectivement iOS et Android). 312. Parallèlement, les grands groupes bancaires français proposent les solutions de paiement mobile développées par un ou plusieurs des acteurs susvisés, c’est-à-dire Apple Pay, Google Pay et Samsung Pay. 313. Sur un plan technique, pour pouvoir proposer des services de paiement mobile sans contact, un smartphone doit, premièrement, être équipé d’une technologie permettant de rendre possible l’initiation du paiement, la technologie NFC étant la plus largement utilisée en France par les acteurs du secteur. En outre, tout opérateur désireux de développer sur un smartphone une solution de paiement mobile sans contact, reposant sur la technologie NFC, doit nécessairement avoir accès à l’antenne NFC de l’appareil, lorsque ce dernier est équipé d’une telle antenne454. 314. Sur le premier point, il ressort des éléments recueillis dans le cadre de l’instruction que « la quasi-totalité des terminaux de paiement électroniques constituant le parc d’acceptation installé en France est techniquement dotée de la seule fonction sans contact reposant sur la technologie NFC »455. 315. En revanche, sur le second point, les stratégies des fabricants de smartphones relatives à l’ouverture ou la fermeture de l’accès effectif aux antennes NFC de leurs appareils sont diverses, comme rappelé au paragraphe 33 supra. 316. Par exemple, Apple a fait le choix d’un écosystème fermé, c’est-à-dire qu’Apple Pay est la seule solution de paiement mobile sans contact reposant sur la technologie NFC disponible sur iPhone456 et, inversement, Apple Pay n’est disponible que sur iPhone. Sur ce point, l’Autorité de la concurrence relève qu’une procédure est en cours devant la Commission européenne, laquelle porte sur « les modalités, conditions et autres mesures imposées par Apple pour l’intégration d’Apple Pay dans les applications commerciales et les sites web commerciaux sur les iPhones et les iPads, sur la limitation instaurée par Apple de l’accès à la fonctionnalité de communication en champ proche (Near Field Communication, NFC) dite «tap and go» sur les iPhones pour les paiements en magasin, ainsi que sur des refus allégués d’accès à Apple Pay »457. 317. De manière alternative, les détenteurs d’un téléphone, utilisant la version 5 ou toute version ultérieure du système d’exploitation Android, peuvent choisir entre la solution Google Pay, qui est préinstallée sur certains de ces téléphones mais peut être également téléchargée, et toute autre solution concurrente reposant sur la technologie NFC458, à l’exception d’Apple Pay, telle que par exemple Paylib. S’agissant enfin des détenteurs de modèles de

454 Voir dans ce sens le site internet du Sénat (lien). 455 Cote 3 964. 456 Au jour de la rédaction du présent avis et comme indiqué dans la note de bas de page n° 46, les modèles d’iPhone avec Face ID et les modèles d’iPhone avec Touch ID, à l’exception de l’iPhone 5s, sont les seuls modèles de téléphone de marque Apple compatibles avec Apple Pay (lien). 457 Voir Commission européenne, « Pratiques anticoncurrentielles : la Commission ouvre une enquête sur les pratiques d’Apple concernant Apple Pay », 16 juin 2020, communiqué de presse n° IP/20/1075, (lien). 458 Comme indiqué dans la note de page de page n° 51, il convient de noter que les détenteurs d’un téléphone utilisant la version 5 ou toute version ultérieure du système d’exploitation Android ne pourront utiliser la solution Samsung Pay que s’ils détiennent un modèle de téléphone de marque Samsung compatible avec cette solution. 94

téléphones de marque Samsung compatibles avec Samsung Pay459 et utilisant la version 5 ou toute version ultérieure du système d’exploitation Android, ceux-ci ont, en plus, accès à la solution Samsung Pay, qui est soit préinstallée par défaut sur certains modèles soit disponible au téléchargement. 318. Ainsi, l’ouverture ou la fermeture de l’accès effectif à l’antenne NFC des smartphones a une véritable incidence sur la capacité des acteurs ayant développé des solutions de paiement mobile sans contact reposant sur la technologie NFC à pouvoir proposer leurs services sur les appareils équipés d’une telle antenne. 319. À cet égard, il convient de noter que l’Allemagne a récemment adopté une disposition législative relative à l’ouverture de l’accès effectif à l’antenne NFC des smartphones aux prestataires proposant des solutions de paiement reposant sur la technologie NFC460 et, qu’en France, une proposition de loi a été présentée en novembre 2020 visant à réguler le paiement mobile sans contact de sorte, notamment, que « [t]out fournisseur de système d’exploitation s’assure que les produits et services qu’il offre permettent à tout consommateur situé sur le territoire français d’exercer librement et sans entrave sa liberté de choix entre tout prestataire de services permettant ou facilitant le paiement mobile sans contact »461. Au niveau de l’Union européenne, la Commission européenne a récemment présenté le « Digital Markets Act », lequel devrait permettre, en sus des articles 101 et 102 du TFUE, de traiter notamment, le cas échéant, les problèmes d’interopérabilité et de « self-preferencing», visés à l’article 6 dudit projet de règlement462. b) L’accès aux données permettant à certaines FinTech de proposer leurs services de paiement dans le cadre de l’application de la directive DSP2 320. Comme rappelé au paragraphe 10 supra, la DSP2 a créé deux nouveaux services de paiement : les services d’initiation de paiement et les services d’information sur les comptes.

459 Voir la note de bas de page n° 54. 460 Bundesministerium des Justiz und fûr Verbraucherschutz [Ministère allemand de la justice et de la protection des consommateurs], Gesetz über die Beaufsichtigung von Zahlungsdiensten [Loi sur la surveillance des services de paiement], modifiée le 9 décembre 2020, article 58a (lien). 461 RAPHAN, P-A., « Proposition de loi du 17 novembre 2020 visant à réguler le paiement mobile sans contact », article 3 (lien). 462 Proposition de Règlement du Parlement européen et du Conseil COM(2020) 842 final 2020/0374 (COD) du 15 décembre 2020 relatif aux marchés contestables et équitables dans le secteur numérique (législation sur les marchés numériques [Digital Markets Act]), art. 6 (d) et (h). 95

Figure n° 18 – Schéma représentant les services fournis par un prestataire de services d’initiation de paiement

Source : Élaboration par l’Autorité de la concurrence sur la base d’informations publiques. Figure n° 19 – Schéma représentant les services fournis par un prestataire de services d’information sur les comptes

Source : Élaboration par l’Autorité de la concurrence sur la base d’informations publiques. 321. Afin de permettre la fourniture de ces services dans un cadre réglementaire clair et harmonisé, la DSP2 a également créé, au profit des prestataires de tels services, un droit d’accès, de manière sécurisée, aux données des comptes de paiement accessibles en ligne, tenus par les PSPGC, dont ils ont besoin pour pouvoir proposer leurs services463.

463 Voir directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015, précitée, articles 66 et 67. 96

322. Les articles 30 et 31 du règlement délégué 2018/389 de la Commission européenne464, qui est venu compléter la DSP2, ont ainsi imposé aux PSPGC de rendre possible un tel accès, soit en permettant aux prestataires de services d’initiation de paiement (ci-après « PSIP ») et aux prestataires de services d’information sur les comptes (ci-après « PSIC ») d’utiliser leurs interfaces existantes de services bancaires en ligne destinées à leurs clients, solution technique dite « d’accès direct » (« screen scraping »), soit en créant une interface dédiée, appelée API (« application programming interface » ou « interface de programmation d’application ») et constituant un canal de communication technique spécialement conçu pour faciliter les interactions entre les systèmes d’information respectifs des PSPGC, d’une part, et des PSIP et des PSIC, d’autre part. 323. Les deux figures ci-après illustrent les deux modalités d’accès, aux données des comptes de paiement accessibles en ligne tenus par les PSPGC, évoquées au paragraphe précédent. Figure n° 20 – Solution technique de l’accès direct aux données des comptes de paiement accessibles en ligne tenus par les prestataires de services de paiement gestionnaires de comptes

Source : Élaboration par l’Autorité de la concurrence sur la base d’informations publiques.

464 Règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2018, précité. 97

Figure n° 21 – L’accès, via les API, aux données des comptes de paiement accessibles en ligne tenus par les prestataires de services de paiement gestionnaires de comptes

Source : Élaboration par l’Autorité de la concurrence sur la base d’informations publiques. 324. Lorsque le PSPGC opte pour la création d’une API, il doit veiller, en application des paragraphes 1 et 3 de l’article 32 du règlement délégué 2018/389 précité, à ce que l’API offre à tout moment le même niveau de disponibilité et de performance, assistance comprise, que ses interfaces de services bancaires en ligne destinées à ses clients et à ce qu’elle n’entrave pas les activités exercées par les PSIP et les PSIC. Ce n’est que si l’API fonctionne conformément à ces règles que les PSIP et les PSIC seront contraints de l’utiliser afin de pouvoir fournir leurs services465. 325. Dans les cas où l’API ne fonctionnerait pas conformément à l’article 32 du règlement délégué 2018/389 précité, serait indisponible de façon imprévue ou tomberait en panne466, les PSIP et les PSIC sont autorisés à accéder, via la solution technique de l’accès direct, aux données des comptes de paiement, tenus par les PSPGC et accessibles en ligne, dont ils ont besoin, jusqu’à ce que l’API retrouve le niveau de disponibilité et de performance prévu à l’article 32 du règlement délégué 2018/389 précité467. 326. Comme indiqué par l’Observatoire de la sécurité des moyens de paiement dans son rapport annuel 2019, la solution technique de l’accès direct, qui nécessite pour les PSIP et les PSIC de recueillir, avec leur consentement, les données de sécurité personnalisées des clients des PSPGC afin de pouvoir accéder aux données disponibles sur leurs espaces de banque en ligne468, « bien que fonctionnelle, pose des problèmes de sécurité dans la mesure où elle suppose que l’utilisateur confie ses données d’authentification – réputées personnelles, à

465 Cotes 4 710, 4 711 et 4 718. 466 Selon le paragraphe 1 de l’article 33 du règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2018, précité, « une indisponibilité imprévue ou une panne du système peut être présumée lorsque cinq demandes consécutives d’accès aux informations pour la prestation de services d’initiation de paiement ou de services d’information sur les comptes n’obtiennent pas de réponse dans les 30 secondes ». 467 Voir Règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2018, précité, article 33, paragraphe 4. 468 Observatoire de la sécurité des moyens de paiement, rapport de décembre 2020, précité, pages 37 et 43. 98

des prestataires tiers »469. De ce point de vue, il est donc attendu que les API contribuent à renforcer la sécurité des services proposés par les PSIP et les PSIC470. 327. Indépendamment de la solution d’accès proposée par les PSPGC, la DSP2 a également obligé ces derniers à appliquer, comme règle générale, l’authentification forte de leurs clients, c’est-à-dire à mettre en place une procédure d’authentification permettant de vérifier l’identité du client ou la validité de l’opération de paiement et reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance », « possession » et « inhérence » (voir le paragraphe 19 supra)471, lorsque ceux-ci ont recours aux services fournis par les PSIP ou les PSIC472. L’obligation d’authentification forte du client connaît toutefois un certain nombre de dérogations prévues aux articles 10 à 18 du règlement délégué 2018/389 précité. 328. Bien que l’ABE ait reconnu, dans son avis du 13 juin 2018, que les PSPGC ont la possibilité de déléguer l’application de l’authentification forte aux PSIP et aux PSIC473, elle a toutefois souligné, dans son avis du 4 juin 2020, que les PSPGC n’ont aucune obligation de procéder à une telle délégation474. 329. Dans ce contexte, il ressort des déclarations de certains acteurs, recueillies au cours de l’instruction du présent avis, que, d’une part, les différentes API développées par les PSPGC ne seraient toujours pas totalement opérationnelles en France475. Comme indiqué par ces acteurs mais également par l’Observatoire de la sécurité des moyens de paiement dans son rapport annuel 2019, la grande majorité des PSIP et des PSIC continuent de recourir à ce jour à la solution technique de l’accès direct afin de pouvoir offrir leurs services, solution sur laquelle ils s’appuyaient déjà avant l’adoption de la DSP2476. 330. Or, selon ces mêmes acteurs, la solution de l’accès direct est, du point de vue des PSIP et des PSIC, plus coûteuse477 et techniquement plus complexe à utiliser478, étant donné que les interfaces, à travers lesquelles l’accès aux données des comptes de paiement est rendu possible dans le cadre de cette solution, ont été conçues pour répondre aux besoins des clients des PSPGC uniquement et ne sont donc pas adaptées aux besoins des PSIP et des PSIC479. De ce point de vue, et par opposition à la solution technique de l’accès direct, les API

469 Observatoire de la sécurité des moyens de paiement, rapport de décembre 2020, précité, page 43. 470 Observatoire de la sécurité des moyens de paiement, rapport de décembre 2020, précité, page 37. 471 Voir Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015, précitée. 472 Voir les articles 97 et 98 de la Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015, précitée, article 4. Voir également Règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2018, précité, article 30, paragraphe 2, et Observatoire de la sécurité des moyens de paiement, rapport de décembre 2020 précité, page 44. 473 Opinion of the European Banking Authority on the implementation of the RTS on SCA and CSC, EBA-Op-2018-04, 13 juin 2018, page 8. 474 Opinion of the European Banking Authority on obstacles under Article 32(3) of the RTS on SCA and CSC, EBA/OP/2020/10, 4 juin 2020, page 7. 475 Cotes 4 021, 4 117 et 4 725. 476 Observatoire de la sécurité des moyens de paiement, rapport de décembre 2020, précité, pages 37 et 44, et cotes 4 711, 4 719, 4 725 et 4 726. 477 Cotes 4 711, 4 718 et 4 725. 478 Cotes 4 711, 4 718 et 4 719. 479 Idem supra. 99

devraient, le jour où elles seront parfaitement opérationnelles, faciliter et rendre beaucoup plus fluide et adapté l’accès aux données des comptes de paiement, dans la mesure où elles ont été spécialement conçues par les PSPGC pour permettre aux PSIP et aux PSIC de fournir leurs services480. 331. D’autre part, s’agissant de l’authentification forte des clients des PSPGC, lorsque ces clients ont recours aux services fournis par les PSIP ou les PSIC, plusieurs acteurs ont également indiqué que, selon les informations dont ils disposent, aucun PSPGC n’aurait délégué en France à un PSIP ou à un PSIC l’application de cette obligation481. Par ailleurs, ces mêmes acteurs ont souligné que, afin de permettre ladite authentification, la totalité des PSPGC imposent en France aux PSIP et aux PSIC une redirection obligatoire des clients de l’interface des PSIP ou des PSIC vers leurs propres interfaces482. 332. Selon ces acteurs, une telle redirection a un impact négatif sur les activités exercées par les PSIP et les PSIC, notamment pour les raisons exposées ci-après. 333. En premier lieu, en redirigeant le client de l’interface du PSIP ou du PSIC vers celle du PSPGC puis à nouveau, une fois que l’authentification forte est appliquée, vers celle du PSIP ou du PSIC, elle complique et dégrade le parcours client483, alors même que le savoir-faire en matière de simplification de ce parcours constitue l’un des avantages concurrentiels des PSIP et des PSIC, et plus généralement des FinTech, vis-à-vis des acteurs bancaires traditionnels. Ce faisant, elle empêche donc les PSIP et les PSIC de définir leurs propres parcours484 et conduit une partie importante des clients à abandonner l’opération485. 334. En second lieu, la redirection obligatoire serait parfois utilisée par certains PSPGC pour cibler leurs clients et promouvoir auprès d’eux leurs propres services486, qui sont susceptibles d’être substituables à ceux proposés par les PSIP et les PSIC487. 335. À cet égard, il est important de rappeler que l’ABE a eu l’occasion de préciser, dans son avis du 4 juin 2020, que si la redirection obligatoire, dont il a été question aux paragraphes précédents, ne constitue pas en soi un obstacle à la prestation des services fournis par les PSIP et les PSIC488, elle peut néanmoins affecter négativement l’expérience des clients ayant recours aux services proposés par les PSIP et les PSIC489. 336. Il ressort donc des paragraphes 329 à 335 que, selon les déclarations de certains acteurs recueillies au cours de l’instruction du présent avis, le comportement des PSPGC, dans le cadre de la mise en œuvre des différentes obligations, rappelées aux paragraphes 321 à 328, découlant de la DSP2 et du règlement délégué 2018/389 précité, serait susceptible de constituer une entrave au développement des activités exercées par les PSIP et les PSIC.

480 Cotes 4 724 et 4 725. 481 Cotes 4 714, 4 720 et 4 728. 482 Cotes 4 714, 4 721 et 4 729. 483 Cotes 4 714, 4 721 et 4 730. 484 Cote 4 721. 485 Cote 4 730. 486 Cotes 4 714, 4 721 et 4 729. 487 Cotes 4 022, 4 721 et 4 729. 488 Opinion of the European Banking Authority on obstacles under Article 32(3) of the RTS on SCA and CSC, précité, page 2. 489 Idem supra. 100

C. LES AVANTAGES CONCURRENTIELS 337. Seront présentés ci-après les avantages concurrentiels détenus par les grandes catégories d’acteurs présents dans le secteur des paiements, à savoir les acteurs bancaires traditionnels (1), les FinTech (2), et enfin les BigTech (3). 1. LES AVANTAGES CONCURRENTIELS DETENUS PAR LES ACTEURS BANCAIRES TRADITIONNELS 338. Pendant plusieurs décennies, les banques ont accumulé, dans le domaine de la prestation de services de paiement, une expérience inégalée dans la maîtrise de la conformité aux différentes réglementations du secteur490, ce qui constitue un atout majeur face à l’arrivée de nouveaux entrants. 339. Par ailleurs, quand bien même la crise financière et économique de la fin des années 2000 aurait érodé la confiance accordée traditionnellement par le grand public aux banques491, celles-ci continuent à bénéficier, d’une part, d’une forte notoriété492 et, d’autre part, d’une bonne réputation en matière de sécurité et de protection des données de leurs clients493, à un moment où les pratiques de certains grands acteurs du numérique à cet égard font parfois débat. En effet, selon une enquête de l’Institut français d’opinion publique sur les usages et les attentes des clients bancaires français, menée fin 2018 et publiée en mai 2019, 68 % des personnes interrogées affirment faire confiance aux banques, s’agissant de la sécurisation des données personnelles, contre respectivement, 48 %, 47 % et 40 %, pour Apple, Amazon et Google494. 340. En outre, compte tenu de leurs solides bases de clients495, bien supérieures à celles des FinTech proposant des services de paiement, le volume d’activité des banques leur permet d’avoir des coûts de traitement unitaire des transactions liées à leurs services de paiement parmi les plus faibles du marché496. Ces coûts peuvent d’ailleurs être plus facilement mutualisables, de même que les risques associés à la conduite de ce type d’activités, grâce à leur modèle de banque universelle497. 341. De plus, les banques disposent d’une bonne connaissance des utilisateurs de leurs services de paiement et de leurs habitudes, grâce aux volumes et à la qualité des données historiques

490 Cotes 646, 4 024 et 4 439. 491 Voir notamment : VILLEROY DE GALHAU, F., « Construire le triangle de compatibilité de la finance numérique : innovations, stabilité, régulation », Revue de la stabilité financière, Avril 2016, page 7 (lien) ; VIVES, X., note du 27 juin 2019, précitée, page 4 ; cote 4 045. 492 Cotes 625, 1 643, 1 662 et 4 439. 493 Voir notamment : ACPR, « Etude sur la révolution numérique dans le secteur bancaire français », mars 2018, Analyses et synthèses n° 88, page 13 (lien) ; Parlement européen, étude de juillet 2018, précitée, page 32. 494 Voir site internet de l’IFOP (lien). 495 Cotes 390, 758, 1 268, 1 662 et 4 045. 496 Cote 1 662. 497 Voir notamment ACPR, étude « révolution numérique » de mars 2018, précitée, page 13, et Comisión Nacional de los Mercados y la Competencia, « Estudio sobre el impacto en la competencia de las nuevas tecnologías en el sector financiero (Fintech) », septembre 2018, page 53 (lien). 101

qu’elles détiennent sur ceux-ci498. Il s’agit d’un avantage concurrentiel pour ces acteurs traditionnels, d’autant que certaines FinTech, plus précisément les PSIP et les PSIC, ont besoin d’avoir accès aux données détenues par les banques pour pouvoir proposer leurs services, ce qui les rend dépendantes de ces dernières499. 342. Enfin, l’expérience acquise par les banques depuis plusieurs décennies dans la conception et la gestion opérationnelle des solutions de paiement500, leur capacité à faire valoir leurs intérêts auprès des pouvoirs publics501 ainsi que leur puissance financière502, certes non comparable, en termes de chiffre d’affaires, à celle des BigTech503 mais qui reste toutefois très importante, sont également considérées par un certain nombre d’acteurs comme des avantages concurrentiels. 2. LES AVANTAGES CONCURRENTIELS DES FINTECH PROPOSANT DES SERVICES DE PAIEMENT 343. Les FinTech ne détiennent pas une puissance financière comparable à celles des BigTech et des acteurs bancaires traditionnels504. Par ailleurs, elles n’ont pas encore atteint ni le même niveau de maturité que les banques en matière de sécurité et de confidentialité des données505, ni le même volume de transactions506. Toutefois, elles possèdent un certain nombre d’avantages concurrentiels dans le secteur des paiements. 344. En premier lieu, le fait de ne pas avoir à maintenir des infrastructures interbancaires et des infrastructures physiques coûteuses507 permet la réduction des coûts fixes. 345. Divers facteurs sont à l’origine de cet avantage concurrentiel. D’une part, les FinTech ne sont pas contraintes, contrairement aux banques, par l’héritage de systèmes d’information anciens et lourds, bâtis sur des technologies parfois obsolètes508. D’autre part, l’essor des

498 Voir notamment Comisión Nacional de los Mercados y la Competencia, étude de septembre 2018, précitée, page 51, et cotes 1 370, 1 601, 1 643 et 4 439. 499 Il convient de noter que, s’agissant du service d’information sur les comptes, il y a également une dépendance entre les différents acteurs bancaires traditionnels dans la mesure où, si une banque donnée souhaite proposer à ses clients un tel service, elle aura besoin d’accéder aux données détenues par les autres banques dans lesquelles ses clients auraient également un ou plusieurs comptes. 500 Cotes 691, 916 et 3 800. 501 Cotes 646, 1 306, 1 705, 4 022 et 4 115. 502 Voir notamment Banque de France, « Fintechs », 6 septembre 2019, Mot de l’actu (lien), et cotes 646, 680, 1 493, 1 662 et 4 439. 503 Fin décembre 2017, le produit net bancaire, qui indique les revenus qu’une banque dégage dans le cadre de son exploitation, des six principaux groupes bancaires français s’élevait à 136,3 milliards d’euros (voir ACPR, « Les chiffres du marché français de la banque et de l’assurance 2017 », octobre 2018, publication statistique (lien)). 504 Voir notamment ACPR, étude « révolution numérique » de mars 2018, précitée, page 12 et cote 4 439. 505 Voir notamment ACPR, étude « révolution numérique » de mars 2018, précitée, page 12, et Comisión Nacional de los Mercados y la Competencia, étude de septembre 2018, page 50. 506 Cotes 1 339 et 1 573. 507 Cote 3 720. 508 Voir notamment Parlement européen, étude de juillet 2018, précitée, page 18 ; VIVES, X., note du 27 juin 2019, précitée, page 8, et cotes 390, 702, 1 338, 1 693, 3 620 et 3 720. 102

services de cloud, sur lesquels elles s’appuient pour déployer leurs services de paiement, a entraîné une diminution de leurs coûts de stockage des données509. De surcroît, elles s’appuient sur des équipes relativement restreintes, se positionnant habituellement sur des niches de marché et, contrairement aux acteurs bancaires traditionnels, elles ne supportent pas les coûts afférents au maintien des agences du réseau physique de distribution des banques510. 346. En deuxième lieu, il ressort des éléments recueillis dans le cadre de l’instruction que leur agilité constitue également un avantage concurrentiel511, en ce qu’elles ont une plus grande capacité, comparée à celle des acteurs bancaires traditionnels, non seulement à répondre rapidement à tel ou tel besoin précis de la vie quotidienne des consommateurs ou à des changements dans leurs préférences512 mais également à s’adapter aux évolutions technologiques, afin de proposer des services innovants513, et à accélérer leur croissance après avoir dépassé le statut de « start-up ». 347. Cette agilité leur permet également de se positionner sur des niches de marché et de se concentrer sur un seul ou sur un nombre réduit de services de paiement, ce qui leur confère aussi un avantage concurrentiel514 dans la mesure où, compte tenu de leur modèle de banque universelle, les acteurs bancaires traditionnels ne peuvent pas se positionner rapidement sur ces niches de marché515, qui sont parfois très rentables516, et sont par ailleurs soumis à un cadre réglementaire beaucoup plus contraignant, en matière notamment d’obligations de gestion de risques opérationnels et d’allocation de fonds propres517. 348. En troisième lieu, les FinTech disposent d’un savoir-faire en matière de simplification du « parcours client » qui favorise la création de solutions de paiement facilement utilisables et adaptées aux nouveaux usages des utilisateurs de ces services518. 349. En quatrième et dernier lieu, comme indiqué aux paragraphes 114 et 123 supra, les modèles de certaines de ces FinTech, comme par exemple Orange Bank, sont fondés sur des réseaux de distribution préexistants qui leur permettent de réduire leurs coûts d’acquisition de la clientèle (voir supra, paragraphe 302).

509 Comisión Nacional de los Mercados y la Competencia, étude de septembre 2018, précitée, page 34, et cotes 3 648 et 3 719. 510 Voir Banque de France, Mot de l’actu du 6 septembre 2019, précité. 511 Cotes 618, 691, 714, 915, 1 369, 1 400, 2 961, 3 720, 4 045 et 4 439. 512 Voir notamment cotes 618, 1 353 et 1 661. 513 Voir notamment Parlement européen, étude de juillet 2018, précitée, page 18 et cotes 714, 758, 625, 646, 1 338, 1 369 et 3 801 et 3 954. 514 Voir notamment Comisión Nacional de los Mercados y la Competencia, étude de septembre 2018, page 34, et cotes 1 661, 3 620 et 3 720. 515 Cote 1 661. 516 Cote 3 720. 517 Cotes 1 573, 3 620 et 3 720. 518 Voir notamment cotes 714, 1 492, 1 661, 1 700 et 3 620. 103

3. LES AVANTAGES CONCURRENTIELS DES BIGTECH 350. Selon le classement des 50 groupes disposant des plus fortes « Audiences Internet Global »519 en France, élaboré par Médiamétrie, Google occupe, en avril 2020, la première place en termes d’audience Internet avec 52,1 millions de visiteurs (internautes) uniques par mois, suivi par Facebook (49 millions) et Microsoft (42,7 millions). Amazon se situe à la onzième place, avec 31,7 millions de visiteurs uniques par mois520. 351. Dans un secteur, comme celui des services de paiement, où la rentabilité est étroitement liée au volume de transactions521, le fait pour les BigTech de disposer déjà, dans le cadre de leurs activités de cœur de métier, non seulement d’une très large communauté d’utilisateurs mais également d’infrastructures et de solutions existantes susceptibles de générer des économies de gamme, leur confère un avantage concurrentiel522 très significatif. En effet, en cas de lancement d’un service de paiement qui serait favorablement accueilli par tout ou partie de ces utilisateurs et qui viendrait s’inscrire dans l’écosystème existant, les BigTech pourraient compter, assez rapidement, sur un volume d’activité important. 352. En outre, il convient de rappeler que le modèle économique de certains de ces acteurs repose sur l’exploitation, à des fins publicitaires, de volumes très importants de données générées par les utilisateurs de leurs services non financiers523. Certes, certains acteurs, comme Apple, mettent en avant une approche spécifique en la matière, qui ne placerait pas l’exploitation des données personnelles au cœur de leur stratégie pour dégager des revenus. Lors de son audition par la commission des affaires économiques de l’Assemblée nationale sur les plateformes numériques, Apple a en effet indiqué « qu’à la différence de Facebook ou Google elle ne monétisait pas les données personnelles de ses utilisateurs : la collecte de données conduite par Apple devant servir uniquement à l’amélioration de ses propres produits »524. À cet égard, Tim Cook a souligné, lors d’un discours prononcé le 28 janvier 2021 dans le cadre de la conférence CPDP « Computers, Privacy & Data Protection », que « si nous acceptons comme normal et inévitable que tout dans nos vies puisse être agrégé et vendu, nous perdons tellement plus que des données, nous perdons la liberté d’être humains »525. 353. Les données générées par les utilisateurs des services non financiers des BigTech peuvent tout d’abord être volontairement communiquées par ces utilisateurs une fois que ceux-ci se sont identifiés afin d’accéder au service concerné526. Ainsi, à titre d’exemple, Google a

519 Selon Médiamétrie, « la mesure d’Audience Internet Global repose sur un panel unique de plus de 25 000 individus de 2 ans et plus, dont 4 500 internautes équipés de deux ou trois écrans (ordinateur et/ou téléphone mobile et/ou tablette) » (voir le site internet de Médiamétrie (lien)). 520 Idem supra. 521 Cote 625. 522 Voir notamment Financial Stability Board, rapport de décembre 2019, précité, page 3 et cotes 390, 646, 714, 758, 771, 1 339, 1 370, 1 493 et 1 662. 523 Voir notamment l’avis de l’Autorité de la concurrence n° 18-A-03 du 6 mars 2018, précité, paragraphe 85, et FAURE-MUNTIAN, V. et al, rapport d’information de juin 2020, précité, pages 29 et 30. 524 FAURE-MUNTIAN, V. et al, rapport d’information de juin 2020, précité, page 25. 525 Traduction propre. « If we accept as normal and unavoidable that everything in our lives can be aggregated and sold, then we lose so much more than data. We lose the freedom to be human » (discours disponible sur Youtube). 526 Voir l’avis de l’Autorité de la concurrence n° 18-A-03 du 6 mars 2018, précité, paragraphes 43 et 44. 104

précisé, dans le cadre de l’avis de l’Autorité portant sur l’exploitation des données dans le secteur de la publicité internet527, que lorsque les utilisateurs de ses services accèdent à ceux-ci via un compte Google, ils fournissent à Google un ensemble de données sociodémographiques et personnelles528. Facebook a déclaré, quant à lui, collecter des données sociodémographiques sur les profils et sur l’activité des utilisateurs, ainsi que des données relatives à l’engagement des utilisateurs vis-à-vis des publicités529. Enfin, de nombreux acteurs ont considéré que les données d’achat générées sur les services de commerce électronique d’Amazon, qui commercialise des espaces publicitaires sur ses sites et applications propriétaires530, présentent un intérêt pour les annonceurs et bénéficient de la qualité des données générées dans des environnements logués531, c’est-à-dire faisant suite à un processus d’identification par « log in », notamment en remplissant un formulaire avec des informations de type nom d’utilisateur et mot de passe. 354. Par ailleurs, comme indiqué par l’Autorité dans son avis portant sur l’exploitation des données dans le secteur de la publicité internet, les données sont « également collectées sur des sites tiers. Ainsi, de nombreux acteurs exploitent des données sur des sites web dont ils ne sont pas éditeurs, mais qui sont des sites partenaires ayant accepté le dépôt d’outils de traçage tels que des cookies tiers, des tags sur publicité et des tags sur site »532. À cet égard, il ressort également de ce même avis que Google et Facebook collectent de façon massive des données qui sont générées sur des sites tiers et qui peuvent également être exploitées dans le cadre de campagnes publicitaires533. 355. Enfin, les données peuvent également être déduites des comportements des utilisateurs des services constituant le cœur de métier des BigTech534, grâce à un retraitement statistique ou algorithmique535. 356. Or, l’accès croisé et historique, dans le cadre de leurs activités de cœur de métier, à cet ensemble de données précises et variées, fréquemment mises à jour et sans équivalent, couplé à leur maîtrise des nouvelles technologies, telles que l’intelligence artificielle, et des instruments algorithmiques permettant de traiter et d’analyser de telles données536, constitue

527 Voir l’avis de l’Autorité de la concurrence n° 18-A-03 du 6 mars 2018, précité, paragraphe 129. 528 Il s’agit de données telles que les coordonnées (nom, adresse e-mail, numéro de téléphone), les données d’authentification du compte (identifiant et mot de passe), les données démographiques (sexe et date de naissance), les pièces d’identité, les numéros de carte bancaire ou de compte bancaire, les courriers reçus et envoyés, les contacts, les évènements, les photos et vidéos importées. . 529 Voir l’avis de l’Autorité de la concurrence du 6 mars 2018, précité, paragraphe 129. 530 Voir l’avis de l’Autorité de la concurrence du 6 mars 2018, précité, paragraphe 76. 531 Voir l’avis de l’Autorité de la concurrence du 6 mars 2018, précité, paragraphe 234. 532 Voir l’avis de l’Autorité de la concurrence du 6 mars 2018, précité, paragraphe 45. Comme indiqué dans le rapport d’information déposé par la commission des affaires économiques de l’Assemblée nationale sur les plateformes numériques, ces données sont obtenues « non du fait de l’activité des consommateurs sur la plateforme en question, mais du fait de leur activité ailleurs sur le réseau internet » (FAURE-MUNTIAN, V. et FASQUELLE, D., et al, rapport d’information de juin 2020, précité, page 30). 533 Voir l’avis de l’Autorité de la concurrence du 6 mars 2018, précité, paragraphe 130. 534 Voir CREMER, J., et al, rapport de 2019, précité, page 25. 535 Voir FAURE-MUNTIAN, V. et al, rapport d’information de juin 2020, précité, page 30. 536 Voir notamment Financial Stability Board, rapport de décembre 2019, précité, page 3 ; Financial Stability Board, « FinTech and market structure in financial services : Market developments and potential financial stability implications », février 2019, rapport, page 15, lien, et cotes 646, 1 662, 2 948 et 4 045. 105

pour les BigTech un avantage concurrentiel considérable537 qui leur permet d’exploiter des informations sur les caractéristiques, les préférences, le comportement et les besoins de leurs utilisateurs538. 357. En complétant cet avantage par un accès à des données financières dans le cadre du développement de solutions de paiement, les BigTech sont susceptibles non seulement de mieux pouvoir évaluer la santé financière de leurs utilisateurs539, mais également d’adapter leurs offres aux préférences et, le cas échéant aux besoins ces derniers540, y compris en estimant leur disposition maximale à payer541. 358. De manière similaire, les données recueillies par certaines BigTech, dans le cadre de leurs activités de cœur de métier, peuvent en outre permettre d’améliorer les services financiers qui peuvent être fournis par lesdits acteurs542. 359. La détention d’une très solide communauté d’utilisateurs de leurs services non financiers ainsi que la possession d’un large volume de données historiques concernant ces utilisateurs, et des outils technologiques permettant de les traiter et les analyser, confèrent ainsi aux BigTech un pouvoir de marché sans précédent qui pourrait être étendu, par un effet de levier s’appuyant sur ces données, à des marchés voisins, comme celui relatif à la prestation de solutions de paiement543. 360. Ces facteurs ne sont cependant pas les seuls à leur conférer un avantage concurrentiel dans le secteur des paiements. 361. En effet, ces acteurs bénéficient par ailleurs d’une puissance financière considérable544 (voir le tableau n° 7 ci-dessous) qui leur permet notamment d’effectuer des investissements conséquents dans différentes nouvelles technologies, facilitant le développement de solutions de paiement innovantes545 ou de nouvelles activités, et, le cas échéant, de supporter des pertes en cas d’échec de leurs nouvelles initiatives. 362. Le tableau ci-dessous présente les principaux indicateurs financiers des GAFAM ainsi que, à titre comparatif, ceux du groupe BNP Paribas, groupe bancaire occupant la première place au sein de l’UE-27.

537 Voir notamment Comisión Nacional de los Mercados y la Competencia, étude de septembre 2018, précitée, page 29 et cotes 758, 916, 1 306, 1 339, 1 400, 1 644 et 4 114. 538 Voir notamment COMBE, E., « Vers des prix personnalisés à l’heure du numérique », Fondation pour l’innovation politique, octobre 2019, page 24, lien, et cote 1 601. 539 Voir notamment Comisión Nacional de los Mercados y la Competencia, étude de septembre 2018, précitée, page 29. 540 Voir Financial Stability Board, rapport de février 2019, précité, pages 1 et 2. 541 Voir notamment COMBE, E., article d’octobre 2019, précité, page 27. 542 Ce point a été relevé en 2019 par le Conseil de Stabilité Financière, association constituée des ministères des finances, des banques centrales et d’autres autorités financières de 24 pays, dont la France. Voir Financial Stability Board, rapport de décembre 2019, précité, page 12. 543 Voir notamment Autorité de la concurrence, « Contribution de l’Autorité de la concurrence au débat sur la politique de concurrence et les enjeux numériques », février 2020, lien. 544 Voir cotes 646, 714, 1 339, 1 400, 1 493, 1 700, 2 948, 3 648, 3 932 et 4 439. 545 Cotes 714, 916, 1 493 et 1 662. 106

Tableau n° 7 – Indicateurs financiers des GAFAM, Mds USD

CA mondial 2019 Résultat net comptable 2019 Cap. Boursière(1) Apple 260,2 22,2 2 000 Alphabet(2) 161,9 34,4 1 700 Amazon 280,5 11,6 1 600 Facebook 70,7 18,5 750 Microsoft 125,0 39,2 1 600 BNP Paribas(3) 53,5 9,8 65 Source : Élaboration par l’Autorité de la concurrence à partir de rapports annuels, NASDAQ et EURONEXT546.

(1) Il s’agit d’un ordre de grandeur, à but illustratif, étant donné les variations possibles très importantes, y compris au cours d’une année. Données au 23 novembre 2020 pour les GAFAM et au 30 novembre 2020 pour BNP Paribas. (2) Société-mère de Google. (3) Avec un taux de change de 1€ pour 1,2 USD. 363. En outre, du fait de leur maîtrise technique des écosystèmes, structurés la plupart du temps autour de plateformes, dans lesquels sont intégrées leurs solutions de paiement, les BigTech ont la capacité d’offrir un « parcours client » très fluide et performant, difficilement réplicable par leurs concurrents547. 364. De plus, dans le cadre de leurs activités économiques de cœur de métier, tout en supportant des coûts fixes très importants, les BigTech, faute d’être contraintes par l’héritage de systèmes d’information anciens et lourds, bâtis sur des technologies parfois obsolètes, font face, en raison d’économies de gamme, à des coûts marginaux moins élevés que ceux supportés, par exemple, par les acteurs bancaires traditionnels548, ce qui renforce leur capacité à offrir aux consommateurs leurs solutions de paiement gratuitement549. Dans ce cas, bien que les utilisateurs ne paient pas, ils autorisent l’acteur proposant la solution de paiement concernée à collecter des données pouvant être utilisées pour améliorer soit les services non financiers qu’il fournit par ailleurs, et qui constituent son cœur de métier, soit d’autres services financiers qu’il proposerait aussi550.

546 Sources : Pour le CA mondial et le résultat net : Apple, « 2019 Annual Report and form 10K », page 19 (lien) ; Alphabet, « 2019 Annual Report », page 21 (lien) ; Amazon, « 2019 Annual Report », page 18 (lien); Facebook, « Annual report 2019 », page 42 ; Microsoft, « Shareholder letter », 16 octobre 2019 (lien) ; BNP Paribas, Document d’enregistrement universel 2019, précité, page 4. Pour la capitalisation boursière : site internet du NASDAQ pour Apple (lien), Google (lien), Amazon (lien), Facebook (lien), Microsoft (lien), et site internet d’EURONEXT pour BNP Paribas (lien). 547 Cotes 916, 1 573, 1 574, 1 662 et 3 621. 548 Voir notamment Financial Stability Board, rapport de décembre 2019, précité, page 14. 549 Voir notamment Comisión Nacional de los Mercados y la Competencia, étude de septembre 2018, précitée, page 49 et cote 3 620. 550 Voir notamment Comisión Nacional de los Mercados y la Competencia, étude de septembre 2018, précitée, page 49. 107

365. Enfin, les BigTech jouissent, avec bien sûr des spécificités propres à chaque acteur, d’une image de marque et d’une notoriété551 susceptibles de favoriser, dans le cadre de la prestation de leurs solutions de paiement, la fidélisation de certains utilisateurs, en particulier les plus jeunes dans le contexte des avantages offerts par leur écosystème. D. POINTS D’ATTENTION ET PERSPECTIVES POUR L’AVENIR 1. POINT D’ATTENTION SUR LES RISQUES CONCURRENTIELS QUI POURRAIENT SURVENIR DANS LE SECTEUR DES PAIEMENTS a) Sur les risques concurrentiels liés aux avantages concurrentiels détenus par les différents acteurs présents dans le secteur des paiements S’agissant des risques concurrentiels liés aux avantages concurrentiels détenus par les BigTech 366. Les éléments versés au présent dossier appellent la vigilance de l’Autorité notamment s’agissant de la collecte et de l’exploitation par les BigTech de données, en particulier relatives aux paiements, et, par ailleurs, s’agissant des modalités d’accès aux solutions de paiement sans contact par téléphone mobile. 367. Ainsi qu’il a été vu, les données collectées et accumulées par les BigTech sur les personnes physiques ou morales dans le cadre de leurs différentes activités de cœur de métier (celles-ci pouvant être variées : réseaux sociaux, commerce en ligne, moteur de recherche, partage de vidéo, etc.) leur permettent de développer une connaissance desdites personnes telle qu’elles pourraient être en mesure notamment de (i) proposer des services de paiement, existants ou nouveaux, plus attractifs aux yeux de leurs clients et (ii) mieux cibler leurs offres tarifaires de services de paiement. Cela peut être bon pour le consommateur, mais cela pourrait permettre également aux BigTech de renforcer encore la position de leur plateforme respective. 368. Réciproquement, les données collectées par les BigTech via les services de paiement qu’elles proposent, en contribuant à une connaissance de plus en plus fine de leurs clients, pourraient leur permettre d’améliorer leurs offres de services en général, en augmentant l’attractivité et le ciblage de services existants ou en créant de nouveaux services, et renforcer là encore leur attractivité. 369. À titre illustratif, sur leur site internet respectif, Facebook déclare que « (…) les actions que vous réalisez sur Facebook et sur Instagram, comme l’utilisation de Facebook Pay, peuvent être utilisées à des fins qui recouvrent notamment le fait de vous proposer des publicités et du contenu plus pertinents (…) »552 et Amazon que « [l]es informations que vous nous fournissez nous permettent de mettre à disposition, de personnaliser et d’améliorer sans cesse le Service. Nous utilisons ces informations afin d’exécuter les paiements, de communiquer avec vous au sujet des commandes, des produits, des services et des offres promotionnelles, de mettre à jour nos fichiers et de tenir à jour vos comptes avec nous,

551 Voir notamment Financial Stability Board, rapport de décembre 2019, précité, page 13 et cotes 390, 625, 646 et 3 721. 552 Voir site internet de Facebook (lien). 108

d’afficher du contenu et de vous recommander des services susceptibles de vous intéresser »553. 370. Grâce aux externalités de réseau déjà mentionnées, les effets ci-dessus décrits se renforcent mutuellement, ce qui contribue à rendre les plateformes toujours plus fortes. 371. Or, les données de paiement peuvent potentiellement donner accès à de nombreuses informations, en fonction du positionnement des acteurs dans la chaîne de paiement : données d’authentification bancaire (ex : IBAN, numéro de carte bancaire, etc.), données de transaction (montant, date, débiteur, créditeur, etc.), données contextuelles relatives au terminal utilisé, ou encore le lieu de paiement ou les adresses électroniques et de livraison554. 372. Dès lors, en révélant de nombreuses informations « « hautement personnelles », selon la terminologie employée par le Comité européen pour la protection des données »555, qui en outre peuvent concerner des tiers, ce qui « est l’une des spécificités du secteur [des paiements] »556, et en donnant aux BigTech une connaissance historicisée des comportements des personnes concernées, les données de paiement pourraient, combinées aux données collectées dans le cadre de leurs autres activités, donner à ces acteurs une connaissance du marché inégalable et, partant, un avantage concurrentiel incomparable et très difficilement réplicable par un concurrent. 373. L’Autorité ne se prononce pas par ailleurs sur le sujet, qui soulève des problématiques distinctes, de l’application des règles relatives à la protection de la vie privée des personnes concernées, s’agissant des données relatives à des opérations de paiement. Par exemple, dans le cadre d’une opération de concentration, eu égard aux limites posées par le Règlement européen sur la protection des données557, la faculté, pour les entreprises concernées, de combiner différents ensembles de données auparavant détenus de manière séparée, pose question558. 374. Par ailleurs, il ressort du dossier que, au-delà de l’accès aux antennes NFC, largement utilisées pour permettre la réalisation de paiements sans contact notamment via smartphones (voir supra, paragraphes 28 et 30), et des éventuelles barrières pouvant découler des modalités d’accès effectives auxdites antennes (voir supra, paragraphes 310 à 319), l’accès à certaines solutions de paiement mobile peut être favorisé par d’autres biais. Par exemple, il peut s’agir de la préinstallation de solutions dans certains téléphones, de la mise en place

553 Voir site internet d’Amazon (lien). 554 Cotes 4 739 et 4 740. 555 Cote 4 733. 556 Cote 4 734. 557 En effet, « La question des qualifications de responsable de traitement (l’organisme qui détermine les moyens essentiels et les finalités du traitement) et de sous-traitant (organisme traitant des données pour le compte et sur instruction documentée) au sens du RGPD est à cet égard essentielle. (…).A titre d’exemple, le fait pour un acteur d’avoir accès à un grand nombre de données ne lui permettra pas nécessairement de les traiter pour son propre compte dans l’hypothèse où il serait qualifié de sous-traitant.», voir cotes 4 740 et 4 741. 558 Voir cote 4 743, et les déclarations du Comité européen de la protection des données des 27 aout 2018 et 19 février 2020 Déclaration du comité européen de la protection des données sur les conséquences de la concentration économique sur la protection des données (lien) et Déclaration relative aux incidences des concentrations en matière de vie privée (lien).

109

de raccourcis ergonomiques facilitant l’accès à une solution donnée559, ou plus généralement de tout ce qui, d’un point de vue technique, facilite le recours effectif à une solution plutôt qu’à une autre et, partant, favorise l’expansion et renforce l’écosystème au sein duquel cette solution de paiement est développée. Ce type de pratiques, ainsi que celles liés au « self-preferencing » (voir décision Google Shopping citée dans le paragraphe suivant) dans le cas d’entreprises en position dominante, peut présenter des risques pour la concurrence si elles conduisent au verrouillage des consommateurs dans un écosystème donné. 375. Si ces questions concurrentielles ne sont ni nouvelles, ni spécifiques au secteur des paiements, l’Autorité relève que l’exploitation d’une position dominante sur un marché par celui qui la détient, afin de favoriser par le truchement de procédés techniques qui peuvent être complexes (ex : algorithmes, pré-installation de solutions, etc.) ses propres produits ou services sur d’autres marchés, a déjà donné lieu à des sanctions importantes au niveau de l’Union européenne560. À titre d’exemple, parmi celles-ci, la Commission européenne a infligé à Google en juin 2017 une amende de 2,42 milliards d’euros pour avoir abusé de sa position dominante, sur chacun des marchés nationaux de la recherche générale sur l’internet de l’ensemble de l’Espace économique européen, en conférant à son propre service de comparaison de prix un avantage illégal. 376. L’Autorité constate par ailleurs que les questions concurrentielles mentionnées ci-dessus, relatives au renforcement de la position de certains grands acteurs du numérique susceptibles de devenir des acteurs majeurs du secteur des paiements, sont au cœur de plusieurs initiatives législatives au sein de l’Union européenne. 377. Ainsi, constatant l’emprise croissante des grandes plateformes dans l’économie, la Commission a récemment présenté, ainsi qu’il a été vu supra (voir paragraphe 319), le projet de règlement européen « Digital Markets Act », ayant notamment pour objet de traiter les questions d’entrée et de contestabilité de certains marchés numériques et des marchés connexes561. Le champ d’application de cette réglementation n’excluant pas les services de paiement562, elle pourrait constituer un outil complémentaire utile pour prévenir, le cas échéant, certaines pratiques nuisibles au marché dans le secteur des paiements. 378. En témoignent également, ainsi qu’il a été vu (voir supra, paragraphe 319), la récente proposition de loi française dont l’objet est de « restaurer la liberté de choix du consommateur en matière de paiements mobile sans contact » et qui vise notamment à ce que « [t]out fournisseur de système d’exploitation garantit des conditions de concurrence équitables entre sa propre activité de services de paiement et les activités concurrentes (…) »563 et la loi en vigueur en Allemagne renforçant notamment les obligations des entreprises concernées en matière d’interopérabilité et de « self-preferencing ».

559 À cet égard, en réponse à la consultation publique lancée par l’Autorité en mai 2020, un acteur a indiqué que : « A titre d’exemple, Samsung réserve d’ores et déjà en pratique, à notre connaissance, l’usage sur ses téléphones portables d’outils ergonomiques, ou de fonctionnalités facilitant l’accès pratique et rapide à une application (« swipe »), au profit de sa propre solution de paiement (Samsung Pay), ce qui crée une distorsion de concurrence. De même, Apple réserve l’usage de la fonction « double-clic » sur le bouton latéral des iPhones à sa solution de paiement Apple Pay » (cote 3 967). 560 Voir par exemple les décisions précitées de la Commission européenne du 27 juin 2017 et du 18 juillet 2018. 561 Commission européenne, proposition de règlement précitée, page 1. 562 Commission européenne, proposition de règlement précitée, page 35, art. 2 (14) et page 40, art. 6-1 (f). 563 RAPHAN, P-A., proposition de loi du 17 novembre 2020, précitée, exposé des motifs, §1, et article 3, II. 110

S’agissant des risques concurrentiels liés aux avantages concurrentiels détenus par les acteurs bancaires traditionnels 379. Le comportement des BigTech n’est pas le seul pouvant présenter, dans le secteur des paiements, des risques concurrentiels associés à la détention et à l’usage de données. 380. Comme rappelé aux paragraphes 320 à 326 supra, les PSIP et les PSIC ont besoin d’accéder aux données des comptes de paiement accessibles en ligne tenus par les PSPGC, dont notamment les banques, pour pouvoir proposer leurs services. 381. Or, comme indiqué au paragraphe 336 supra, il ressort des déclarations de certains acteurs, recueillies au cours de l’instruction du présent avis, que le comportement des PSPGC, dans le cadre de la mise en œuvre des obligations découlant de la DSP2 et du règlement délégué 2018/389 précité, serait susceptible de constituer une entrave au développement des activités exercées par les PSIP et les PSIC. 382. D’une part, le fait que les différentes API développées par les PSPGC ne soient toujours pas, selon ces déclarations, totalement opérationnelles en France564 rendrait beaucoup moins fluide et adapté l’accès aux données des comptes de paiement accessibles en ligne (voir supra, paragraphe 330). 383. D’autre part, dans le cadre de l’authentification forte des clients des PSPGC lorsque ces clients ont recours aux services fournis par les PSIP ou les PSIC, la redirection obligatoire, imposée en France par la totalité des PSPGC565, vers les interfaces des PSPGC compliquerait et dégraderait le parcours client566, à tel point que, selon un des acteurs interrogés, elle amènerait une partie importante des clients à abandonner l’opération567 (voir supra, paragraphe 333). En outre, cette redirection obligatoire serait parfois utilisée par certains PSPGC pour cibler leurs clients et promouvoir auprès d’eux leurs propres services568, qui sont susceptibles d’être substituables à ceux proposés par les PSIP et les PSIC569. 384. Il ressort donc de ce qui précède que la détention par les PSPGC des données des comptes de paiement accessibles en ligne pourrait leur conférer un avantage significatif face à de nouveaux acteurs dans le secteur des paiements, qui sont pour certains fortement dépendants de l’accès à de telles données pour pouvoir opérer sur le marché. 385. Au-delà des risques concurrentiels liés à la détention des données des comptes de paiement accessibles en ligne par les PSPGC et, surtout, aux conditions de leur mise à disposition, certains des acteurs interrogés dans le cadre de l’instruction du présent avis ont appelé l’attention de l’Autorité sur les risques associés à la capacité d’intervention des groupes bancaires français dans les processus décisionnels des institutions publiques570 qui pourrait contribuer, dans certains cas, à l’adoption de normes susceptibles de créer des barrières à l’entrée ou au développement dans le secteur des paiements571.

564 Cotes 4 021, 4 117 et 4 725. 565 Cotes 4 714, 4 721 et 4 729. 566 Cotes 4 714, 4 721 et 4 730. 567 Cote 4 730. 568 Cotes 4 714, 4 721 et 4 729. 569 Cotes 4 022, 4 721 et 4 729. 570 Cotes 646, 1 306, 4 023, 4 112 et 4 114. 571 Cote 4 114. 111

386. Toutefois, les actions de lobbying menées par les acteurs bancaires traditionnels auprès notamment des régulateurs, qui sont d’ailleurs mises en place dans la plupart des secteurs régulés et non pas uniquement dans le secteur des paiements, sont, au sens de la jurisprudence européenne, légitimes et ne relèvent pas en soi du droit de la concurrence, à condition qu’elles n’aillent pas au-delà d’actions de sensibilisation et/ou de pression auprès des institutions concernées572 et ne soient pas constitutives d’ententes ou d’abus de position dominante. 387. Enfin, il ressort des informations recueillies dans le cadre de l’instruction du présent avis que certains opérateurs présents dans le secteur des paiements estiment que les acquisitions des FinTech par les groupes bancaires français, rendues possibles notamment par la puissance financière de ces derniers, représenteraient un risque d’affaiblissement de la concurrence573. 388. Certaines FinTech signalent ainsi les risques que ces acquisitions feraient peser sur la concurrence, notamment en freinant l’innovation ou le développement des FinTech absorbées, voire, dans certains cas, en entraînant leur disparition574. 389. Toutefois, plusieurs éléments conduisent l’Autorité à relativiser ces affirmations. 390. En premier lieu, certains acteurs ont déclaré que l’impact de ces acquisitions n’était pas encore probant, ou encore que ces acquisitions ne représentaient ni une menace ni une opportunité mais une simple tendance de fond qui n’est pas propre au secteur bancaire575. 391. D’autres acteurs interrogés vont plus loin et considèrent que ces acquisitions font partie d’un processus sain et encourageant, permettant d’offrir de nouveaux services aux consommateurs576 et qu’il s’agirait même « d’un mouvement voulu par les investisseurs en capital risque et la plupart des fondateurs et dirigeants des Fintech »577.

392. En deuxième lieu, la majorité des FinTech interrogées lors de l’instruction du présent avis voient les acquisitions de FinTech par les groupes bancaires, d’une part, comme une opportunité pour ces derniers d’intégrer l’innovation dont ils ont besoin afin de rester compétitifs et, d’autre part, comme une opportunité pour les FinTech acquises de bénéficier des ressources financières des banques et de leurs canaux de distribution578. Ces acquisitions permettent également la diffusion accrue de services innovants, ce qui présente des avantages pour les consommateurs. 393. En troisième et dernier lieu, le régulateur du secteur (i.e. l’ACPR) constate premièrement que l’acquisition d’acteurs innovants par des grands groupes concerne tous les secteurs et, deuxièmement, que « [d]e façon générale, l’acquisition de nombreuses fintechs proposant des services de paiement ne comporte pas nécessairement en elle-même de risque de

572 Voir notamment l’arrêt du Tribunal du 15 mars 2000, Cimenteries CBR e.a. contre Commission des Communautés européennes, T-25/95, Rec. 2000, p. II-00491, point 417 et la décision de la Commission européenne du 30 novembre 1994, Ciment, IV/33.126 et 33.322, note en bas de page 115. 573 Voir par exemple cotes 3 941, 4 023 et 4 042. 574 Voir par exemple cotes 770, 1 306, 1 337, et 1 705. 575 Voir par exemple cotes 701, 1 267, et 1 385. 576 Voir par exemple cotes 3 926, 4 000 et 4 001 et 4 056. 577 Voir par exemple cotes 3 951 et 3 952. 578 Voir par exemple cotes 389, 617, 645, 678, 690, 713, 757, 1 352, 1 368, 1 459, 1 492, 1 692, 1 700, 2 946, 3 587 et 3 588. 112

concentration, beaucoup de celles-ci n’ayant pas vocation à grandir de façon isolée : la rentabilité est organiquement difficile à atteindre dans ce secteur et le paysage français des moyens de paiement est déjà particulièrement complet, les groupes bancaires proposant des solutions robustes et accessibles »579. 394. Ainsi, et en cohérence avec les constations issues d’un document de travail publié par la Direction générale du Trésor en février 2021580, l’instruction n’a pas révélé que les acquisitions de FinTech par les groupes bancaires français, qui ont eu lieu ces dernières années, relèveraient de la notion d’acquisitions prédatrices. Les prises de participation observées n’apparaissent, au stade des analyses menées pour le présent avis, ni avoir eu pour seul objectif d’empêcher l’émergence de concurrents potentiels ni avoir neutralisé l’innovation portée par les FinTech. b) Sur les risques concurrentiels susceptibles de découler de l’utilisation de la technologie blockchain 395. L’instruction conduite dans le cadre de cet avis n’a pas permis d’identifier des risques concurrentiels qui seraient spécifiques à l’utilisation de la technologie blockchain dans le secteur des paiements. 396. Ainsi, les risques concurrentiels qui sont présentés ci-après pourraient survenir indépendamment du secteur d’activité dans lequel les acteurs concernés feraient usage de la technologie blockchain. 397. Il y a lieu de distinguer entre les risques concurrentiels liés à l’usage de la blockchain en tant qu’infrastructure technologique et ceux liés aux solutions logicielles pouvant être développées sur la blockchain581. S’agissant des risques concurrentiels liés à l’usage de la blockchain en tant qu’infrastructure technologique 398. Divers acteurs interrogés dans le cadre de cet avis ainsi que certaines institutions, telles que l’Organisation de coopération et de développement économiques (OCDE), et, enfin, la doctrine font état d’un ensemble de situations et de pratiques susceptibles de se produire lorsque la blockchain est utilisée en tant qu’infrastructure technologique. 399. Les risques concurrentiels découlant de ces différentes situations et pratiques peuvent être le fait du (ou des) acteur(s) contrôlant l’accès au réseau, ou émaner du comportement des utilisateurs du réseau ou encore de celui des « mineurs »582.

579 Cote 4 437. 580 Direction générale du Trésor, « Prise de participation dans les start-ups françaises. Prédation ou développement ? », février 2021, Documents de travail n° 2021/1 (lien). 581 SCHREPEL, T., « Is blockchain the death of antitrust law ? The blockchain antitrust paradox », Georgetown Law Technology Review, juin 2018, pages 295, 304 et 306. 582 Comme indiqué au paragraphe 100, dans le cadre des systèmes de preuve de travail, les mineurs sont des utilisateurs du réseau, organisés parfois sous forme de groupements ou « pools », qui se font concurrence pour créer un bloc, réunissant les transactions ayant lieu dans un certain laps de temps, et résoudre, sur la base de leurs puissances de calcul informatique respectives et en contrepartie d’une rémunération, le calcul informatique permettant d’associer un hash au nouveau bloc créé. 113

Les risques concurrentiels associés à des pratiques susceptibles d’être mises en œuvre par le (ou les) acteur(s) contrôlant l’accès au réseau 400. Comme rappelé au paragraphe 103 supra, l’accès aux chaînes de blocs dites privées, qu’elles soient purement privatives ou de consortium, requiert l’obtention d’une autorisation. 401. À cet égard, certains acteurs soulèvent le fait que les conditions d’accès aux chaînes de blocs privées pourraient être définies de façon à empêcher, ou rendre plus difficile, l’accès de tiers au réseau583. 402. Or, conformément à une pratique décisionnelle et une jurisprudence constantes, un refus d’accès à une chaîne de blocs privée opposé soit par une entreprise détenant une position dominante individuelle soit par un ensemble d’entreprises détenant une position dominante collective pourrait avoir un caractère abusif si : (i) l’accès à une telle chaîne de blocs s’avère indispensable à l’exercice des activités d’un concurrent, et le refus est de nature à éliminer toute concurrence et ne peut être objectivement justifié584, ou ; (ii) en l’absence d’une chaîne de blocs indispensable à l’exercice des activités d’un concurrent, le refus d’accès est opposé de manière discriminatoire et de sorte à fausser de manière sensible le jeu de la concurrence585. 403. Par ailleurs, il convient de noter que le refus d’accès à une chaîne de bloc de consortium pourrait relever également des règles prohibant les ententes anticoncurrentielles si les membres du consortium, contrôlant l’accès au réseau, s’entendaient, sans motifs légitimes, pour refuser, de manière délibérée, l’accès d’un tiers à un tel réseau. 404. Outre ce qui précède, et sans pouvoir exclure l’existence d’autres problématiques potentielles d’ordre concurrentiel, le contrôle de l’accès aux chaînes de blocs dites privées pourrait être aussi accompagné de la mise en place de pratiques de couplage ou de ventes liées, ou encore d’exclusivités586. S’agissant du premier type de pratiques, le ou les acteur(s) contrôlant l’accès au réseau pourrai(en)t, par exemple, subordonner l’accès au fait d’ouvrir un compte sur une plateforme dont il(s) serai(en)t également propriétaire(s)587. S’agissant du second type de pratiques, ce(s) même(s) acteur(s) pourrai(en)t avoir également un intérêt à obliger formellement les utilisateurs du réseau à utiliser uniquement celui-ci afin d’accroître son attractivité588. 405. Comme l’Autorité de la concurrence a déjà eu l’occasion de le rappeler à plusieurs reprises, pour ce qui relève des stratégies de couplage ou de ventes liées, l’effet de levier entre le

583 Cotes 917, 1 323 et 4 143. 584 Voir notamment la décision de l’Autorité de la concurrence n° 17-D-11 du 25 juillet 2017 relative à des pratiques mises en œuvre dans le secteur de la publicité télévisuelle, paragraphe 126 ; la décision du Conseil de la concurrence n° 05-D-72 du 20 décembre 2005 relative à des pratiques mises en œuvre par divers laboratoires dans le secteur des exportations parallèles de médicaments, paragraphes 253 et 254 et la décision du Conseil de la concurrence n° 04-D-77 du 22 décembre 2004 relative à une saisine de la société Productiv à l’encontre du laboratoire GlaxoSmithKline, paragraphes 17 et 18. 585 Voir notamment la décision de l’Autorité de la concurrence n° 14-D-06 du 8 juillet 2014 relative à des pratiques mises en œuvre par la société Cegedim dans le secteur des bases de données d’informations médicales, paragraphe 192. 586 SCHREPEL, T., juin 2018, précité, pages 312 à 313 et 317 à 318. 587 Idem supra, page 313. 588 Idem supra, page 317. 114

produit liant et le produit lié peut être atteint principalement de trois manières différentes. L’entreprise (ou les entreprises) détenant une position dominante individuelle (ou collective) peut (ou peuvent) ainsi (i) imposer une obligation contractuelle consistant à acheter ensemble le produit liant et le produit lié (« vente groupée pure »), (ii) subordonner, par des mesures techniques, l’achat du produit liant à celui du produit lié (« vente groupée technique ») ou (iii) vendre ensemble le produit liant et le produit lié à des meilleurs conditions que celles proposées si ces produits étaient achetés séparément (« vente groupée mixte »)589. Dans les deux premiers cas, les produits ne peuvent être vendus séparément. Dans le troisième, le couplage n’est pas imposé à l’acheteur même si les incitations à l’achat peuvent être particulièrement fortes. 406. Il est considéré que la vente groupée mixte, même émanant d’une entreprise (ou d’entreprises) détenant une position dominante individuelle (ou collective) est en principe moins nocive pour la concurrence que la vente groupée pure ou technique590. 407. En toute hypothèse, que l’on soit face à une pratique de vente groupée pure ou technique, elle ne pourra être qualifiée d’abusive que si les cinq conditions cumulatives suivantes sont remplies : (i) l’entreprise (ou les entreprises) concernée(s) détien(nen)t une position dominante individuelle (ou collective) sur le marché du produit liant, (ii) le produit liant et le produit lié sont deux produits distincts, (iii) l’entreprise (ou les entreprises) concernée(s) ne donne(nt) pas le choix d’obtenir le produit liant sans le produit lié, (iv) la pratique mise en œuvre est susceptible de restreindre la concurrence sur la marché du produit lié et, enfin, (v) la pratique est dépourvue de toute justification objective591. 408. En ce qui concerne les exclusivités contractuelles, celles-ci peuvent être constitutives d’un abus de position dominante lorsqu’elles « tendent à enlever à l’acheteur, ou à restreindre dans son chef, la possibilité de choix en ce qui concerne ses sources d’approvisionnement et à barrer l’accès du marché aux autres producteurs »592. Les risques concurrentiels associés aux informations échangées par les utilisateurs du réseau 409. Que le droit de lecture soit public ou restreint, autrement dit, que le contenu des différents blocs de la chaîne, y compris les informations relatives aux transactions effectuées par les utilisateurs du réseau, soit visible par tous les utilisateurs du réseau ou uniquement par certains d’entre eux, les chaînes de blocs augmentent, dans tous les cas, le degré de transparence existant entre les utilisateurs qui disposent d’un droit de lecture et, en conséquence, le degré de connaissance que ces différents utilisateurs ont de leurs comportements respectifs.

589 Voir notamment l’avis de l’Autorité de la concurrence n° 14-A-07 du 18 juin 2014 relatif à une demande d’avis du CSA sur le fondement de l’article 41-4 de la loi du 30 septembre 1986 sur la demande de passage sur la plateforme de TNT gratuite des chaînes LCI, Paris Première et Planète +, paragraphe 152, et l’avis de l’Autorité de la concurrence n° 10-A-13 du 14 juin 2010 relatif à l’utilisation croisée des bases de clientèle, paragraphe 8. 590 Voir notamment l’avis de l’Autorité de la concurrence n° 14-A-07, précité, paragraphe 153. 591 Voir notamment l’arrêt du Tribunal du 17 septembre 2007, Microsoft Corp. contre Commission des Communautés européennes, T-201/04, Rec. 2007, p. II-03601, paragraphes 842, 867 et 869. 592 Voir l’arrêt de la Cour de Justice du 13 février 1979, Hoffmann-La Roche & Co. Ag contre Commission des Communautés européennes, 85/16, paragraphe 90. 115

410. En fonction des caractéristiques du marché sur lequel les utilisateurs, disposant d’un droit de lecture, feraient usage de la chaîne de blocs et de celles des informations échangées par ce biais dans le cadre des transactions effectuées par ces utilisateurs, l’accroissement de la transparence, rendu possible par l’utilisation de la chaîne de blocs, pourrait avoir des effets restrictifs sur la concurrence, en ce qu’il pourrait faciliter la coordination du comportement de ces utilisateurs et/ou accroître la stabilité interne d’une entente existant déjà sur le marché593. 411. Plus les informations échangées porteront sur des données stratégiques, individualisées, non publiques et futures, plus les effets restrictifs sur la concurrence seront importants594. De même, les échanges d’informations se produisant sur des marchés concentrés, non-complexes et stables sont davantage susceptibles de produire des effets restrictifs sur la concurrence que ceux ayant lieu sur des marchés ne présentant pas ces caractéristiques595. Les risques concurrentiels associés aux activités exercées par les mineurs dans le cadre des chaînes de blocs utilisant la preuve de travail comme protocole de consensus 412. Comme indiqué au paragraphe 100 supra, dans le cadre des chaînes de blocs utilisant la preuve de travail comme protocole de consensus, les mineurs sont des utilisateurs du réseau qui se font concurrence pour créer un nouveau bloc, réunissant les transactions ayant lieu dans un certain laps de temps, et pour résoudre, sur la base de leurs puissances de calcul informatique respectives et en contrepartie d’une rémunération596, le calcul informatique permettant d’associer un hash au nouveau bloc créé. 413. En plus de percevoir une rémunération en cas de réussite, les mineurs prélèvent des frais, dont le montant est théoriquement fixé librement par les utilisateurs effectuant des transactions, sur les transactions qu’ils incluent dans chaque nouveau bloc qu’ils créent597. 414. Afin de mutualiser leur puissance de calcul informatique et leurs coûts, les mineurs s’organisent parfois sous forme de groupements ou « pools » et se partagent ainsi les profits découlant de leurs activités598. Bien que la création de ces groupements puisse permettre à des mineurs, ne pouvant pas atteindre par eux seuls une taille critique, de continuer à exercer leurs activités sur le marché, elle peut s’avérer néanmoins problématique si elle conduit à une concentration du pouvoir de marché autour d’un ou de plusieurs de ces groupements, élevant ainsi les barrières à l’entrée sur le marché. Selon le rapport remis en 2018 par

593 Voir notamment OCDE, « Blockchain technology and competition policy », Juin 2018, page 6 ; NAZZINI, R., « The blockchain (r)evolution and the role of antitrust », Revue Concurrences n° 1-2019, page 31 ; BALISAGAR, K., DUQUESNE, G. et DE LA MANO, M., « Blockchain, fintech and competition : Is blockchain the next coordiation device in the banking sector », Revue Concurrences n° 1-2019, pages 41 et 42 et cotes 4 064 et 4 143. 594 Lignes directrices de la Commission européenne sur l’applicabilité de l’article 101 du traité sur le fonctionnement de l’Union européenne aux accords de coopération horizontale, 2011/C 11/01, 14.1.2011, paragraphes 86 à 94. 595 Lignes directrices de la Commission européenne du 14 janvier 2011, précitées, paragraphes 77 à 85. 596 En plus de percevoir une rémunération en cas de réussite, les mineurs prélèvent des frais sur les transactions qu’ils incluent dans chaque nouveau bloc qu’ils créent (FAURE-MUNTIAN, V. et al, rapport de juin 2018, précité, page 37. 597 FAURE-MUNTIAN, V. et al, rapport de juin 2018, précité, page 37. 598 LANDAU, J-P., rapport de juillet 2018, précité, page 19. 116

M. Jean-Pierre Landau au ministre de l’économie et des finances, « une fraction très importante du minage est aujourd’hui effectuée par ces pools »599. À titre d’exemple, quatre pools, dont trois chinois, concentrent aujourd’hui à eux seuls plus de 60 % de la puissance de calcul informatique nécessaire à la chaîne de blocs sur laquelle le Bitcoin est adossé600. S’agissant des risques concurrentiels liés aux solutions logicielles pouvant être développées sur la blockchain 415. Parmi les solutions logicielles pouvant être développées sur la blockchain figurent les contrats intelligents ou « smart contracts » qui peuvent être définis comme des programmes informatiques permettant de vérifier ou d’exécuter automatiquement les termes d’un contrat, au stade de sa négociation ou de sa mise en œuvre, lorsque les conditions requises sont remplies601. 416. Reposant généralement sur des instructions conditionnelles, qui peuvent parfois nécessiter l’intervention d’un tiers de confiance chargé de confirmer que les conditions exigées pour l’exécution des termes du contrat sont remplies602, ces contrats intelligents bénéficient des caractéristiques présentées par la technologie blockchain en ce que, une fois inscrit dans la blockchain, ils deviennent indélébiles et transparents603. 417. Compte tenu des possibilités offertes par ces programmes informatiques, la doctrine et l’OCDE considèrent qu’ils pourraient contribuer à accroître la stabilité interne d’une entente existant déjà sur le marché, en permettant à ses membres de contrôler les comportements déviants et d’appliquer des mesures de représailles604. 2. OUVERTURE SUR LES EVOLUTIONS POSSIBLES DU SECTEUR A LA LUMIERE DES CONSTATATIONS 418. L’instruction de cet avis a permis à l’Autorité de constater que le secteur des paiements connaît, depuis quelques années, des évolutions significatives qui se matérialisent, notamment, par l’entrée de nouveaux acteurs et la création de nouveaux services. Bien que leur potentiel soit considérable, ces évolutions s’inscrivent à ce jour dans les infrastructures de paiement développées et contrôlées par les acteurs bancaires traditionnels existants, sans en modifier fondamentalement le fonctionnement et en les utilisant largement, souvent de manière indirecte.

599 Idem supra. 600 Office parlementaire d’évaluation des choix scientifiques et technologiques, « Comprendre les blockchains (chaînes de blocs) », avril 2018, Note scientifique n° 4, page 2 (lien). 601 LANDAU, J-P., rapport de juillet 2018, précité, page 81; DE LA RAUDIÈRE, L., et al, rapport d’information de décembre 2018, précité, page 35; FAURE-MUNTIAN, V. et al, rapport de juin 2018, précité, page 68 ; NASCIMENTO S. et al, rapport de 2019 précité, page 19. 602 DE LA RAUDIÈRE, L., et al, rapport d’information de décembre 2018, précité, pages 37 et 62 ; FAURE-MUNTIAN, V. et al, rapport de juin 2018, précité, page 68 ; NASCIMENTO, S. et al, rapport de 2019 précité, pages 19 et 20 ; FAURE-MUNTIAN, V. et al, rapport de juin 2018, précité, page 69. 603 DE LA RAUDIÈRE, L., et al, rapport d’information de décembre 2018, précité, page 35 ; FAURE-MUNTIAN, V. et al, rapport de juin 2018, précité, page 170. 604 NAZZINI, R., 2019, précité, page 31 ; BALISAGAR, K., et al, 2019, précité, page 42 ; SCHREPEL, T., « Ententes algorithmiques et ententes par blockchain », Recueil Dalloz, juin 2020, page 1246 ; OCDE, « Blockchain technology and competition policy », juin 2018, page 6. 117

419. Ces évolutions ont toutefois le potentiel de modifier, en profondeur et durablement, l’équilibre concurrentiel du secteur. Elles sont, avant toute chose, proconcurrentielles, puisqu’elles conduisent à accroître l’offre et améliorer la qualité et la diversité des produits et services offerts, tout en exerçant une pression sur les prix pour le consommateur. Par leurs modèles novateurs, et grâce à leurs services innovants, les nouveaux acteurs non-bancaires instillent de la concurrence dans les marchés sous différentes formes. Ils contribuent notamment à accroître la concurrence par les prix en proposant certains services à des prix inférieurs (parfois gratuitement) à ceux des services équivalents des acteurs bancaires. Ils stimulent, par ailleurs, une course à l’innovation par laquelle l’ensemble des acteurs du secteur, y compris les banques, cherchent à intégrer dans leurs offres respectives un maximum de fonctionnalités nouvelles. 420. Aux côtés des FinTech, les banques jouent ainsi un rôle moteur dans les évolutions en cours, non seulement en innovant directement mais aussi dans le processus d’intégration de ces innovations dans le système bancaire existant. En raison de leur positionnement dans le secteur des paiements et grâce à leurs ressources considérables et à leur connaissance pointue du secteur, il est probable que les banques continuent à jouer un rôle clé dans les évolutions à venir du secteur. 421. Certaines banques soulèvent toutefois des préoccupations relatives à l’équilibre économique du secteur et à l’étendue des services proposés aux consommateurs. En effet, elles soulignent que, pour proposer leurs services, les nouveaux acteurs non-bancaires utilisent les systèmes de paiement existants, mais ne supportent pas les coûts, de fonctionnement et de maintien des infrastructures bancaires sous-jacentes, qui restent à la charge des acteurs traditionnels et qui sont élevés. 422. En outre, certains services jugés non-rentables, tels que la possibilité d’échanger avec un conseiller et le dépôt et retrait de chèques et d’espèces en agence ou via un DAB, ne sont pas assurés par les nouveaux entrants. Un acteur bancaire souligne à cet égard que, par leur présence physique locale sur l’ensemble du territoire, les banques « […] rendent par ailleurs un certain nombre de services à leurs clients (face à face avec un conseiller, dépôt/encaissement de chèques, dépôt/retrait/recyclage d’espèces à travers leur parc de GAB/ARLS). Ces services, considérés comme des « utilities » et qui représentent une part importante des coûts de la banque, ne sont pas assurés par les grands acteurs du numérique »605. Un autre acteur bancaire évoque également le sujet de la gestion des espèces et indique à ce sujet que « les banques qui sont exclusivement des banques en ligne ne peuvent fournir une gestion des espèces et s’appuient pour cela sur les banques traditionnelles qui doivent ainsi supporter des coûts pour l’ensemble du marché afin d’assurer un service peu ou pas rémunéré »606. 423. Il faut toutefois mesurer l’importance des activités de gestion de chèques et d’espèces dans le contexte des évolutions actuelles et à venir du secteur. Depuis plusieurs années en effet, le paiement par carte et, dans une moindre mesure, le virement, sur lesquels s’appuient la plupart des nouveaux services de paiement, ont connu un essor important, alors que, dans le même temps, les chèques et, dans une moindre mesure, les espèces, ont connu un déclin certain607. Ainsi, les chèques, qui représentaient environ 18 % du nombre de transactions

605 Cote 3 715. 606 Cote 1 535. 607 Voir Banque de France, rapport de janvier 2021, précité, page 31, et Banque de France, publication statistique de décembre 2020, page 3. 118

totales en 2010608, ne comptaient plus que pour 6 % de ce nombre en 2019609 et le nombre de transactions effectuées au moyen de chèques a diminué de presque 50 % entre 2010 et 2019. S’agissant des espèces, le nombre de transactions effectuées par ce moyen a diminué d’environ 15 % entre 2010 et 2019. 424. Bien qu’étant le moyen de paiement le plus utilisé ces dernières années, la carte bancaire, quant à elle, a fait aussi face à l’arrivée de nouveaux services, comme le paiement mobile qui permet d’effectuer des paiements en magasin en utilisant le téléphone comme support de paiement en lieu et place d’une carte de paiement physique. Certains acteurs interrogés dans le cadre de l’instruction de l’avis ont également souligné que certains nouveaux services d’initiation de paiement utilisant les virements pourraient à l’avenir constituer une alternative directe au paiement par carte bancaire610. 425. Le modèle de développement des FinTech pourrait à l’avenir nécessiter des banques des changements plus fondamentaux. Ainsi, le modèle bancaire du « guichet unique », offrant aux clients un seul interlocuteur pour l’ensemble des opérations bancaires et fondé sur la relation client et les réseaux physiques d’agences, pourrait devoir être repensé. Un acteur bancaire interrogé souligne à cet égard que les « changements réglementaires [ayant facilité l’émergence des FinTech en France] ont eu pour effet d’accélérer la fragmentation des services bancaires (Paiements, crédits, épargne…) en « cassant » le principe du « guichet unique » des banques (tous services à tout type de clients), en laissant à ces dernières à la fois la gestion et le coût des « utilities » (chèques, fiduciaire, présence physique locale…) et les risques (exemple : remboursement immédiat des clients en cas d’erreur de paiement des Initiateurs de paiement) »611. S’agissant de la présence physique des banques sur le territoire français, le nombre d’agences bancaires est en diminution progressive depuis 2008. Il faut préciser toutefois que la France, où le nombre d’agences bancaires a diminué d’environ 7 % au cours de la dernière décennie, est nettement moins impactée par cette tendance que ses voisins européens, dont notamment certains pays de taille comparable comme l’Allemagne, le Royaume-Uni ou l’Espagne, où le nombre d’agences a diminué de 30 %, 27 % et 40 % respectivement, ou encore des pays plus petits comme la Finlande ou les Pays-Bas, où la baisse a atteint près de 60 %612. 426. Une tendance croissante au positionnement de nombreux nouveaux opérateurs en tant qu’interlocuteurs directs des consommateurs pourrait également contribuer à mettre en question la position des acteurs traditionnels dans la chaîne de valeur. Maîtresses des infrastructures bancaires sous-jacentes sur lesquelles s’appuient ces services, les banques continueraient, comme c’est le cas aujourd’hui, à jouer un rôle essentiel dans le système mais leur positionnement pourrait potentiellement évoluer vers un rôle plus marqué de prestataire technique, assurant des activités de « back office ». La redéfinition éventuelle du positionnement des acteurs concernés et, partant, de la structure et du niveau des revenus que leur activité génère pourrait notamment comporter le risque, pour le consommateur, en l’absence de règles obligeant les banques à maintenir des services tels que le chèque, de

608 Banque de France, « Cartographie des moyens de paiement scripturaux, Bilan de collecte 2011 (données de 2010 »), décembre 2011, publication statistique, page 3 (lien). 609 Banque de France, publication statistique de décembre 2020, précitée, page 3. 610 Cote 4 024. 611 Cote 3 716. 612 ACPR, étude portant sur la rentabilité des néobanques de juin 2020, précitée, page 24. 119

perdre certains ceux d’entre eux qui ne seraient pas rentables et qui sont aujourd’hui assurés par les banques grâce à leur modèle intégré. 427. Si, historiquement, le paiement n’était pas une activité rémunératrice mais constituait plutôt un moyen nécessaire pour les banques de cultiver une clientèle pour un ensemble de services, aujourd’hui la perte de la relation avec le client sur le seul segment du paiement pourrait laisser présager des développements comparables sur d’autres activités, plus fondamentales encore pour le modèle bancaire, telles que le crédit ou l’assurance. 428. Il apparaît toutefois improbable aujourd’hui d’envisager, même dans une perspective lointaine, un scénario dans lequel les FinTech s’émanciperaient entièrement du système bancaire actuel en créant leurs propres infrastructures, comme cela peut être le cas en Chine. Les différences historiques significatives propres au développement du secteur en Europe et en Chine rendent improbable une évolution européenne dans laquelle les acteurs du numérique viendraient remplacer les acteurs bancaires sur le terrain des infrastructures de paiement. En effet, en Chine, grâce à une conjonction de facteurs, dont la faible pénétration des moyens de paiement autres que les espèces613, des acteurs non-bancaires, tels qu’Alibaba et Tencent, ont pu bénéficier du développement des smartphones et d’un cadre réglementaire favorable pour s’imposer rapidement614. À ce titre, le développement de projets européens significatifs, tels que l’European Payments Initiative, en cours de réalisation, qui vise à créer un réseau interbancaire paneuropéen, témoigne de la volonté des banques européennes d’innover en matière de paiements et de conserver la maîtrise des infrastructures bancaires sous-jacentes (voir supra, paragraphes 188 et suivants). 429. Toutefois, si la présence d’acteurs non-bancaires de taille significative, comme les BigTech, dans le secteur des paiements français est aujourd’hui à un stade relativement naissant615, cette situation pourrait être amenée à évoluer rapidement. Ces acteurs pourraient renforcer leur présence dans le secteur notamment via de nouveaux partenariats avec les acteurs bancaires, à l’instar, par exemple, des partenariats qui ont pu être conclus à l’étranger, notamment aux États-Unis, entre Amazon et JP Morgan ou Apple et Goldman Sachs pour la création de cartes bancaires616 et, plus récemment, entre Citigroup et Google pour la création d’un nouveau compte bancaire numérique dénommé « Citi Plex Account » disponible via Google Pay617. Sans disposer de l’expérience des banques dans le secteur des paiements, les BigTech maitrisent, voire contrôlent, certaines technologies innovantes pouvant jouer, à l’avenir, un rôle déterminant dans la chaîne de services. 430. Il résulte des développements qui précèdent que les évolutions récentes du secteur des paiements appellent à la vigilance continue de l’Autorité. Si les éléments présentés dans cette section mettent en évidence l’existence de certains risques pour la concurrence sur le marché, à tout le moins de conditions favorables à leur matérialisation, il convient, dans un

613 BRI, rapport précité de juin 2019, page 58. 614 VIVES, X., note du 27 juin 2019, précitée, pages 9 et 10. 615 L’ACPR note, qu’à la différence d’autres pays, « le marché français ne semble pas aussi « perméable » à l’entrée des grands acteurs du numériques, qu’ils soient américains ou chinois. La présence de banques solidement et anciennement implantées, proposant des solutions de paiement parmi les plus sécurisées et disponibles dans le monde entier, constitue sans doute l’une des explications de ce phénomène » (cote 4 438). 616 Cote 4 436. 617 Voir le site internet de Citigroup (lien). 120

secteur où l’innovation est aussi importante et dynamique, de favoriser une saine concurrence pour le marché, et, à ce titre, veiller à préserver l’incitation des entreprises à innover.

Délibéré sur le rapport oral de M. Pablo González Pérez, M. Laurent Meunier et M. Benjamin Record, rapporteurs, et l’intervention de M^me Lauriane Lépine-Sarandi, rapporteure générale adjointe, par M^me Isabelle de Silva, présidente, M^me Irène Luc, M^me Fabienne Siredey-Garnier, M. Emmanuel Combe, M. Henri Piffaut, vice-présidents, M. Christophe Strassel et M. Jean-Yves Mano, membres.

La secrétaire de séance, La présidente,

Claire Villeval Isabelle de Silva

 Autorité de la concurrence

121

Glossaire Les termes ci-dessous, employés dans l’avis, s’entendent comme suit : Algorithme : série de règles à appliquer dans un ordre précis pour accomplir une tâche particulière : il s’agit d’une séquence logique permettant d’obtenir un certain résultat à partir d’un intrant donné618. Les algorithmes peuvent être représentés au moyen d’un langage, d’un code ou d’un programme pouvant être lu et exécuté par une machine. Grâce aux progrès de l’informatique, ils sont désormais utilisés pour l’exécution automatique de tâches répétitives impliquant le traitement de données et des calculs complexes619.

API (interface de programmation d’application

ou application programming interface) : de manière générale, interface de programmation permettant à deux programmes ou logiciels d’interagir entre eux, en se connectant pour échanger des données. Dans le contexte de la DSP2, canal de communication technique spécialement conçu pour permettre aux prestataires de services d’initiation de paiement et aux prestataires de services d’information sur les comptes d’accéder aux données des comptes de paiement accessibles en ligne tenus par les prestataires de services de paiement gestionnaires de comptes. Authentification forte : procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur, et reposant sur l’utilisation de deux éléments ou plus, indépendants620, appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est). Cette procédure est conçue de manière à protéger la confidentialité des données d’authentification621. BigTech : gigantesques plateformes de services numérisés et de données basées essentiellement aux États-Unis ou en Chine622. Ce terme fait donc référence aux grands acteurs du numérique regroupant les « GAFAM » (Google, Apple, Facebook, Amazon et Microsoft) et les « BATX » (Baidu, Alibaba, Tencent et Xiaomi). BtoBtoC ou « Business to Business to Consumer » : domaine d’activité dans lequel un produit ou service est d’abord vendu à des entreprises avant d’être revendu par ces dernières à des clients particuliers dans le cadre d’une prestation de service. Une entreprise évoluant dans un secteur BtoBtoC a finalement deux types de clients : des entreprises lui achetant le produit et des utilisateurs finaux avec qui elle n’est pas forcément en relation directe mais qui sont les clients de ses clients. Canal de paiement : mode permettant l’initiation d’un paiement tel que, par exemple, le paiement à distance sur internet ou le paiement sans contact.

618 OCDE, « Synthèse de la table ronde sur le thème « Algorithmes et ententes » », 21-23 juin 2017, pages 6 et 7 (lien). 619 Idem. 620 En ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres. 621 Voir Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015, précitée, article 4. 622 Banque de France, rapport de janvier 2021, précité, page 4. 122

Chaîne de blocs ou blockchain : technologie de stockage et de transmission d’informations623, enregistrées sur des blocs624 et relatives aux transactions effectuées par les utilisateurs du réseau625, qui permet de constituer un registre dans lequel l’information est simultanément distribuée entre tous les utilisateurs. Chaîne de blocs non permissionnée : chaîne de blocs au sein de laquelle tous les utilisateurs du réseau peuvent réaliser et valider des transactions626. Chaîne de blocs permissionnée : chaîne de blocs au sein de laquelle seuls certains utilisateurs peuvent réaliser des transactions, les valider ou effectuer ces deux types d’opérations627. Chaîne de blocs publique : chaîne de blocs dans laquelle (i) n’importe quel utilisateur peut accéder au réseau et (ii) le contenu des différents blocs de la chaîne est visible par tous les utilisateurs628. Chaîne de blocs privée : chaîne de blocs dont (i) l’accès au réseau doit faire l’objet d’une autorisation et (ii) le droit de lecture, qui a une incidence sur la visibilité du contenu des blocs de la chaîne, peut être soit public soit restreint629. Chaîne de blocs purement privative : chaîne de blocs privée dans laquelle un seul acteur, propriétaire de la chaîne de blocs et gérant son développement en fonction de l’usage qui en est attendu, contrôle l’accès au réseau et définit notamment le droit de lecture630. Chaîne de blocs de consortium : chaîne de blocs privée dans laquelle les membres du consortium contrôlent l’accès au réseau. Compensation : mécanisme permettant à des banques et des institutions financières d’effectuer des transactions. Une transaction a toujours un débiteur et un créditeur. La compensation est matérialisée par le jeu d’écriture comptable qui matérialise la transaction. On dit que le crédit sur le compte du créditeur compense le débit sur le compte du débiteur631. Contrats intelligents ou smart contracts : programmes informatiques permettant de vérifier ou d’exécuter automatiquement les termes d’un contrat, au stade de sa négociation ou de sa mise en œuvre, lorsque les conditions requises sont remplies632.

623 FAURE-MUNTIAN, V. et al, rapport de juin 2018, précité, page 13. 624 DE LA RAUDIÈRE, L., et al, rapport d’information de décembre 2018, précité, page 16. 625 LANDAU, J-P., rapport de juillet 2018, précité, page 5. 626 NASCIMENTO, S. et al, rapport de 2019, précité, page 14. 627 Idem supra. 628 NASCIMENTO, S. et al, rapport de 2019, précité, page 14 ; LANDAU, J-P., rapport de juillet 2018, précité, page 80 ; CONG, L.W., et HE, Z., précité, page 10 ; DE LA RAUDIÈRE, L., et al, rapport d’information de décembre 2018, précité, page 16. 629 NASCIMENTO, S. et al, rapport de 2019, précité, page 14 ; LANDAU, J-P., rapport de juillet 2018, précité, page 80. 630 LANDAU, J-P., rapport de juillet 2018, précité, page 80 ; DE LA RAUDIÈRE, L., et al, rapport d’information de décembre 2018, précité, page 21. 631Voir le site internet de l’ACPR (lien). 632 DE LA RAUDIÈRE, L., et al, rapport d’information de décembre 2018, précité, page 16 ; LANDAU, J-P., rapport de juillet 2018, précité, page 81; DE LA RAUDIÈRE, L., et al, rapport d’information de décembre 2018, précité, page 35 ; FAURE-MUNTIAN, V. et al, rapport de juin 2018, précité, page 68 ; NASCIMENTO, S. et al, rapport de 2019, précité, page 19. 123

Cookie : fichier texte déposé sur le disque dur ou terminal d’un internaute soit par le serveur du site qu’il visite (cookies dits propriétaires ou First Party) soit par un serveur tiers, c’est-à-dire d’un domaine distinct (cookies dits tiers ou Third Party). Il contient plusieurs données : le nom du serveur qui l’a déposé, un identifiant sous forme de numéro unique et, généralement, une date d’expiration. Les cookies sont utilisés pour stocker des informations sur la navigation de l’internaute (panier d’achat par exemple) et la rendre plus facile. CORE (COmpensation REtail) (FR) : système interbancaire de paiement de détail français reposant sur une infrastructure fonctionnant sur la base d’une compensation multilatérale avec un règlement différé intervenant une fois par jour en monnaie de banque centrale633.

Crypto-actifs : actifs numériques, sans cours légal634 et créés par des acteurs privés635, qui ne sont pas associés à un compte bancaire et peuvent être conservés ou transférés afin d’acheter un bien ou un service636. Contrairement aux monnaies électroniques, les crypto-actifs ne sont pas émis contre remise de fonds637, ne représentent pas une créance sur une personne physique ou morale638 et sont des représentations numériques de valeur non monétaire639.

Effets de commerce : titres négociables constatant au profit du porteur une créance de somme d’argent et servant à son paiement640. FinTech : les acteurs non-bancaires présents dans le secteur des paiements, dont les profils et modèles varient parfois significativement, à l’exception des BigTech. Freemium : modèle économique par lequel on propose un produit ou un service qui est gratuit et destiné à attirer un grand nombre d’utilisateurs. On cherche ensuite à convertir ces utilisateurs en clients pour une version du service plus évoluée qui elle est payante ou pour des services complémentaires également payants. Infrastructures de marché : infrastructures qui assurent le traitement des flux financiers échangés entre les acteurs des systèmes financiers641. Mineurs ou miners: dans le cadre des protocoles de consensus reposant sur la preuve de travail, il s’agit des utilisateurs du réseau, organisés parfois sous forme de groupements ou « pools », qui se font concurrence pour créer un bloc, réunissant les transactions ayant lieu dans un certain laps de temps, et résoudre, sur la base de leurs puissances de calcul informatique respectives et en contrepartie d’une rémunération642, le calcul informatique

633 Voir le site internet de la Banque de France (lien). 634 Banque de France, Focus n° 16 du 5 mars 2018, précité, page 2. 635 Banque de France, Mot de l’actu du 9 juin 2020, précité, page 1. 636 LANDAU, J-P., rapport de juillet 2018, précité, page 3. 637 Banque de France, Focus n° 16 du 5 mars 2018, précité, page 2. 638 LANDAU, J-P., rapport de juillet 2018, précité, page 7. 639 LANDAU, J-P., rapport de juillet 2018, précité, page 3. 640 Banque de France, rapport de janvier 2021, précité, page 24. 641 Voir le site internet de la Banque de France (lien). 642 En plus de percevoir une rémunération en cas de réussite, les mineurs prélèvent des frais sur les transactions qu’ils incluent dans chaque nouveau bloc qu’ils créent (FAURE-MUNTIAN, V. et al, rapport de juin 2018, précité, page 37. 124

permettant d’associer un hash, un identifiant pouvant être exprimé en langage binaire (0 et 1), au nouveau bloc créé643.

Monnaie de banque centrale : Monnaie émise directement par une banque centrale sous forme de pièces et de billets (monnaie fiduciaire) et de sommes placées par les banques commerciales sur les comptes qu’elles détiennent auprès de la banque centrale, leur permettant non seulement de s’approvisionner en billets de banque, mais aussi d’assurer le maintien de sommes en réserve (les « réserves obligatoires »)644.

Monnaie numérique de banque centrale : émise et garantie également par la banque centrale645, la monnaie numérique de banque centrale serait un élément de la base monétaire, échangeable au pair avec la monnaie fiduciaire et les réserves, disponible en permanence et dans des transactions de pair-à-pair et circulant sur des supports numériques au moins en partie différents de ceux existants (blockchain et autres technologies)646. Monnaie numérique de banque centrale de gros : monnaie numérique de banque centrale utilisable dans les règlements interbancaires.

Monnaie numérique de banque centrale de détail : monnaie numérique de banque centrale utilisable par le grand public. Monnaie électronique : valeur monétaire qui est stockée sous une forme électronique, y compris magnétique, représentant une créance sur l’émetteur, qui est émise contre la remise de fonds aux fins d’opérations de paiement et qui est acceptée par une personne physique ou morale autre que l’émetteur de monnaie électronique647.

Monnaie fiduciaire : billets et pièces émis par les autorités publiques et ayant cours légal. Moyens de paiement : tous les instruments qui permettent à toute personne de transférer des fonds, quel que soit le support ou le procédé technique utilisé648. Moyens de paiements scripturaux : les cartes de paiement, les chèques, les virements, les prélèvements, les effets du commerce et la monnaie électronique. Nœuds du réseau : ensemble d’ordinateurs, détenus par les utilisateurs du réseau649, qui stockent chacun une copie de la chaîne de blocs et la mettent à jour au fur et à mesure650. Offres au public de jetons (ou Initial Coin Offering) : opérations de levées de fonds qui permettent aux internautes de participer au financement d’un projet par l’apport de fonds, notamment en crypto-actifs, en contrepartie de jetons (ou « tokens »)651. Ces jetons offrent à leurs détenteurs certains droits comme celui d’utiliser en primeur la plateforme ou l’application financée (comme dans le financement participatif classique) ou de recevoir une

643 LANDAU, J-P., rapport de juillet 2018, précité, page 81; NASCIMENTO, S. et al, rapport de 2019 précité, page 24. 644 Voir le site internet de la banque de France (lien). 645 Banque de France, Mot de l’actu du 5 de juin 2020, précité, page 2. 646 Cote 4 446. 647 Voir l’article L. 315-1 du code monétaire et financier. 648 Voir l’article L. 311-3 du code monétaire et financier. 649 LANDAU, J-P., rapport de juillet 2018, précité, page 81. 650 Idem supra. 651 Banque de France, Focus n° 16 du 5 mars 2018, précité, page 4. 125

partie des bénéfices générés par l’entreprise ou d’exercer un droit de vote (comme des actions)652. Paiement instantané : solution de paiement électronique disponible 24/7/365 résultant d’une compensation interbancaire immédiate ou quasi immédiate de l’opération et du crédit du compte du bénéficiaire avec une demande de confirmation au payeur653. Prestataire de services de paiement gestionnaire de comptes : prestataire de services de paiement qui fournit et gère des comptes de paiement pour des payeurs654. Protocole de consensus (ou algorithme de consensus) : protocole à l’aide duquel un bloc est validé avant d’être ajouté à la chaîne de blocs. Les protocoles de consensus les plus souvent employés reposent sur la preuve de travail (ou « proof of Work »), la preuve d’enjeu (ou « proof of Stake ») ou encore la preuve d’autorité (« proof of Authority »). Protocole 3D-Secure : protocole mettant en relation le payeur avec la banque émettrice de la carte bancaire afin d’authentifier celui-ci655.

SEPA(EU) : Système interbancaire de paiement de détail français à ambition paneuropéenne reposant sur une infrastructure fonctionnant sur la base d’une compensation multilatérale avec un règlement différé intervenant une fois par jour en monnaie banque centrale656. Services de cloud : ensemble des solutions et services informatiques, opérés à distance, de stockage, de calcul et de gestion de données. Ces services peuvent être classés en trois grandes catégories : (i) des applications ou logiciels sous forme de service, communément dénommés « Software-as-a-Service », (ii) des plateformes sous forme de service « Platform- as-a-Service », qui fournissent un environnement permettant aux clients de bénéficier de logiciels et d’outils pour développer leurs applications, comme des langages de programmation, des bases de données ou encore une automatisation des mises à jour, et (iii) des infrastructures informatiques sous forme de service « Infrastructure-as-a-Service », modèle dans lequel le prestataire de services de cloud met à disposition de l’utilisateur notamment des serveurs, des réseaux, du stockage et de l’espace de centre de données. Services d’initiation de paiement : services qui permettent à une personne physique ou morale d’ordonner l’exécution d’opérations de paiement, par exemple des virements, à partir d’une interface (site internet et/ou application mobile) qui n’est pas forcément celle de la banque dans laquelle son compte (ou ses comptes) est (sont) détenu(s)657. Services d’information sur les comptes : services qui permettent à une personne physique ou morale de regrouper sur une seule interface (site internet et/ou application mobile) les informations sur les soldes et les opérations réalisées sur plusieurs ou l’ensemble de ses comptes658.

652 Banque de France, Focus n° 16 du 5 mars 2018, précité, page 4. 653 Banque de France, rapport de janvier 2021, précité, page 167. 654 Voir Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015, précitée, article 4. 655 Banque de France, rapport de janvier 2021, précité, page 56. 656 Voir le site internet de la Banque de France (lien). 657 Voir le site internet de l’ABE (lien). 658 Idem supra. 126

Services de paiement : la liste d’activités exercées à titre professionnel relevant de cette notion est prévue à l’article L. 341-1 du code monétaire et financier. Solution technique dite « d’accès direct » : solution technique permettant aux prestataires de services d’initiation de paiement et aux prestataires de services d’information sur les comptes d’utiliser les interfaces existantes de services bancaires en ligne des prestataires de services de paiement gestionnaires de comptes afin d’accéder aux données des comptes de paiement accessibles en ligne tenus par ces derniers. Stable coins : actifs numériques dont la valeur, indexée sur un sous-jacent (une matière première, une monnaie ayant cours légal ou un panier de monnaies ayant cours légal, par exemple), est supposée rester plus stable que celle d’un crypto-actif.

Système de paiement : type d’infrastructure de marché assurant le règlement interbancaire des paiements de détail de la clientèle des banques ou des paiements de montant élevé entre institutions financières659.

Système de paiement quatre coins ou quadripartite : système de paiement impliquant, outre le système de paiement, quatre acteurs : le débiteur, sa banque (dite « banque émettrice »), le bénéficiaire et la banque de ce dernier (dite « banque acquéreur »). Dans un système « tripartite », qui ne nécessite aucune intervention d’établissements financiers, il n’existe que trois acteurs : le débiteur, le bénéficiaire et le système de paiement qui émet les cartes de paiements et gère directement les transactions660. Solution de portefeuille électronique ou portefeuille numérique : solution permettant à un utilisateur de confier à un tiers, jugé de confiance, des données de paiement et des données personnelles661. Technologie de communication sans contact NFC (« near field communication ») : technologie rendant possible l’initiation d’un paiement sans contact via un téléphone mobile. Elle permet à deux terminaux situés à proximité équipés d’une telle technologie, un smartphone et un terminal de paiement par exemple, d’échanger des données de façon très rapide. Technologie de communication sans contact QR code : technologie rendant possible l’initiation d’un paiement sans contact via un téléphone mobile. Elle repose sur la génération d’un code-barres en deux dimensions, constitué de modules noirs disposés dans un carré à fond blanc, sur le smartphone du consommateur qui est scanné par le commerçant grâce à l’appareil photo d’un smartphone ou d’une tablette.

659 Voir le site internet de la Banque de France (lien). 660 Décision de l’Autorité de la concurrence n° 13-D-18 du 20 septembre 2013 relative à des pratiques de Visa relevées dans le secteur des cartes de paiement, paragraphes 12 et 27. 661 Observatoire de la sécurité des cartes de paiement, rapport de janvier 2012, précité, page 38. 127

Document Outline

• Avis n 21-A-05 du 29 avril 2021 portant sur le secteur des nouvelles technologies appliquées aux activités de paiement
  • I. Le paysage concurrentiel du secteur des paiements : un rythme élevé d’innovation et des avancées du cadre réglementaire
    • A. l’apparition De nouveaux services et canaux d’initiation de paiement ainsi que de méthodes de paiement alternatives et le développement de nouvelles technologies
      • 1. une évolution récente de l’offre dans le secteur des paiements marquée par une forte innovation
        • a) La création par la DSP2 de deux nouvelles catégories de services de paiement
        • b) Une diversification des canaux d’initiation de paiement
          • La consolidation du paiement à distance sur internet
          • L’essor du paiement sans contact
            • La poursuite de la progression du paiement sans contact par carte bancaire
            • Le développement du paiement sans contact par téléphone mobile
            • L’apparition du paiement sans contact par montre connectée
            • L’avenir du paiement sans contact : le paiement par reconnaissance faciale
        • c) L’irruption de méthodes de paiement alternatives
          • Les moyens de paiement au sens de l’article L. 311-3 du code monétaire et financier
          • L’émergence des crypto-actifs
          • Le lancement d’initiatives visant à développer des stable coins, la deuxième génération de crypto-actifs
          • Les réflexions autour de l’éventuelle émission d’une « monnaie numérique de banque centrale » au niveau de la zone euro
      • 2. le secteur des paiements au cœur de l’évolution technologique
        • a) Un secteur des paiements marqué par une constante évolution technologique
          • Les évolutions technologiques fondatrices des systèmes de paiement de détail
          • Les évolutions technologiques fondatrices du paiement en ligne et du paiement mobile
        • b) Un secteur marqué par l’avènement du cloud et de la blockchain
          • La place grandissante des services de « cloud (computing) » dans le secteur des paiements
            • Caractéristiques générales des services de cloud
            • Le recours aux services de cloud par les prestataires de services de paiement
          • La blockchain, une technologie au service notamment de la réalisation de transactions en crypto-actifs
            • Les principales caractéristiques de la technologie blockchain
            • Les différents types de blockchain
            • L’impact de la blockchain dans le secteur des paiements
    • B. Une nouvelle dynamique de marché : l’arrivée de nouveaux acteurs et l’adaptation des groupes bancaires traditionnels
      • 1. L’Arrivée de nouveaux acteurs
        • a) L’émergence de FinTech proposant des services de paiement
        • b) L’entrée des BigTech
          • Services proposés en France par les GAFA256F
            • Google
            • Apple
            • Amazon
            • Facebook
          • Services proposés en France par les BATX
          • Des modèles d’affaires et des stratégies d’entrée variées
      • 2. L’adaptation des acteurs bancaires traditionnels
        • a) Prises de participation dans le capital des FinTech
          • La diversité des FinTech concernées
          • La diversité des stratégies des groupes bancaires
        • b) De nombreux accords de coopération et partenariats
          • Accords entre les groupes bancaires et les FinTech
          • Accords entre les groupes bancaires et les BigTech
          • Accords entre groupes bancaires
            • Accords entre groupes bancaires français
            • Un accord entre groupes bancaires européens : l’European Payments Initiative (EPI)
        • c) Investissements dans la recherche et le développement
  • II. Analyse concurrentielle à la lumière des évolutions constatées
    • A. Les PRODUITS ET SERVICES concernés
      • 1. Caractéristiques spécifiques des marchés du secteur des paiements
        • a) Marchés bifaces et plateformes multi-faces
        • b) Caractère dynamique du secteur
      • 2. le rapport concurrentiel entre services des acteurs bancaires traditionnels et services des nouveaux entrants
        • a) De nouveaux services dépendants des infrastructures bancaires en place
        • b) La nature du rapport entre nouveaux services et services traditionnels
          • Analyse des liens de substituabilité et/ou de complémentarité
          • Des liens en évolution rapide
    • B. Les barrières à l’entrée et À l’expansion
      • 1. barrières d’origine réglementaire
        • a) Un secteur très réglementé
        • b) Une réglementation différenciée selon les services proposés voire inapplicables à certains acteurs présents dans le secteur
        • c) Une réglementation européenne qui favorise le « forum shopping » en fonction des moyens et pratiques de supervision des régulateurs des États membres
      • 2. Barrières d’origine économique
        • a) L’existence d’externalités de réseau, particulièrement puissantes sur certains marchés bifaces
        • b) L’existence d’économies d’expérience et d’économies d’échelle
          • L’existence d’économies d’expérience
          • L’existence d’économies d’échelle
      • 3. Barrières liées à l’accès à certaines infrastructures technologiques et certaines données
        • a) L’accès effectif à l’antenne NFC des smartphones
        • b) L’accès aux données permettant à certaines FinTech de proposer leurs services de paiement dans le cadre de l’application de la directive DSP2
    • C. Les avantages concurrentiels
      • 1. Les avantages concurrentiels détenus par les acteurs bancaires traditionnels
      • 2. Les avantages concurrentiels des FinTech proposant des services de paiement
      • 3. Les avantages concurrentiels des BigTech
    • D. Points d’attention et perspectives pour l’avenir
      • 1. Point d’attention sur les risques concurrentiels qui pourraient survenir dans le secteur des paiements
        • a) Sur les risques concurrentiels liés aux avantages concurrentiels détenus par les différents acteurs présents dans le secteur des paiements
          • S’agissant des risques concurrentiels liés aux avantages concurrentiels détenus par les BigTech
          • S’agissant des risques concurrentiels liés aux avantages concurrentiels détenus par les acteurs bancaires traditionnels
        • b) Sur les risques concurrentiels susceptibles de découler de l’utilisation de la technologie blockchain
          • S’agissant des risques concurrentiels liés à l’usage de la blockchain en tant qu’infrastructure technologique
            • Les risques concurrentiels associés à des pratiques susceptibles d’être mises en œuvre par le (ou les) acteur(s) contrôlant l’accès au réseau
            • Les risques concurrentiels associés aux informations échangées par les utilisateurs du réseau
            • Les risques concurrentiels associés aux activités exercées par les mineurs dans le cadre des chaînes de blocs utilisant la preuve de travail comme protocole de consensus
          • S’agissant des risques concurrentiels liés aux solutions logicielles pouvant être développées sur la blockchain
      • 2. Ouverture sur les évolutions possibles du secteur à la lumière des constatations