Article 2-2 de l'Arrêté du 29 octobre 2009 portant sur la réglementation prudentielle des établissements de paiement

La demande d'enregistrement en tant que prestataire de services d'information sur les comptes doit être accompagnée des informations suivantes :
1° Un programme d'activité ;
2° Un plan d'affaires contenant notamment un calcul budgétaire prévisionnel afférent aux trois premiers exercices, qui démontre que le demandeur est en mesure de mettre en œuvre les systèmes, ressources et procédures appropriés et proportionnés nécessaires à son bon fonctionnement ;
3° Une description du dispositif de gouvernance d'entreprise et des mécanismes de contrôle interne, notamment des procédures administratives, de gestion des risques et comptables du demandeur, qui démontre que ce dispositif de gouvernance d'entreprise, ces mécanismes de contrôle et ces procédures sont proportionnés, adaptés, sains et adéquats ;
4° Une description de la procédure en place pour assurer la surveillance, le traitement et le suivi des incidents de sécurité et des réclamations de clients liées à la sécurité, y compris un mécanisme de signalement des incidents qui tient compte des obligations de notification incombant au prestataire de services d'information sur les comptes en vertu de l'article L. 521-10 du code monétaire et financier ;
5° Une description du processus en place pour enregistrer, surveiller et restreindre l'accès aux données de paiement sensibles et garder la trace de ces accès ;
6° Une description des dispositions en matière de continuité des activités, y compris une désignation claire des activités essentielles, des plans d'urgence appropriés et une procédure prévoyant de soumettre ces plans à des tests et de réexaminer périodiquement leur adéquation et leur efficience ;
7° Un document relatif à la politique de sécurité, comprenant une analyse détaillée des risques en ce qui concerne le service d'information sur les comptes proposé et une description des mesures de maîtrise et d'atténuation prises pour protéger les utilisateurs du service de façon adéquate contre les risques décelés en matière de sécurité, y compris la fraude et l'utilisation illicite de données sensibles ou à caractère personnel. La description des mesures de maîtrise et d'atténuation des risques en matière de sécurité indique comment ces mesures garantissent un niveau élevé de sécurité technique et de protection des données, y compris pour les systèmes logiciels et informatiques utilisés par le demandeur ou par les entreprises vers lesquelles il externalise la totalité ou une partie de ses activités. Ces mesures incluent également les mesures de sécurité prévues à l'article L. 521-9 du code monétaire et financier ;
8° Une description de l'organisation structurelle du demandeur, y compris, le cas échéant, une description du projet de recours à des agents et à des succursales et des inspections sur pièces et sur place au moins annuelles que le demandeur s'engage à effectuer à l'égard de ces agents et succursales, ainsi qu'une description des accords d'externalisation ;
9° L'identité des dirigeants et des personnes responsables de la gestion du prestataire de services d'information sur les comptes et, le cas échéant, de la personne responsable de la gestion des activités d'informations sur les comptes de ce prestataire, et la preuve de ce qu'ils jouissent de l'honorabilité et possèdent les compétences et l'expérience requises conformément au II de l'article L. 522-11-2 du code monétaire et financier ;
10° Lorsque le demandeur est une personne morale, sa forme juridique, ses statuts et l'adresse de son siège social ;
11° Lorsque le demandeur est une personne physique, ses nom, prénoms, date et lieu de naissance ainsi que son adresse professionnelle ;
12° Aux fins des 3°, 4° et 8°, le demandeur fournit une description de ses dispositions en matière d'audit et des dispositions organisationnelles qu'il a arrêtées en vue de prendre toute mesure raisonnable pour protéger les intérêts de ses utilisateurs et garantir la continuité et la fiabilité de la prestation de ses services.
L'Autorité de contrôle prudentiel et de résolution publie au registre officiel de l'Autorité un dossier type permettant de présenter la demande d'agrément conformément au présent article.