Entrée en vigueur le 6 août 2018
Modifié par : LOI n°2018-700 du 3 août 2018 - art. 4
I. – Sous réserve que le compte de paiement soit accessible en ligne, le payeur peut s'adresser à un prestataire de services de paiement de son choix pour obtenir le service d'initiation de paiement mentionné au 7° du II de l'article L. 314-1.
Lorsque le payeur donne son consentement explicite à l'exécution d'un paiement conformément à l'article L. 133-6, le prestataire de services de paiement gestionnaire du compte exécute les actions prévues au III.
II. – Lorsqu'il fournit le service d'initiation de paiement mentionné au 7° du II de l'article L. 314-1, le prestataire de services de paiement :
1° Ne détient à aucun moment les fonds du payeur ayant fait l'objet de l'opération de paiement initiée par le prestataire de services de paiement fournissant le service d'initiation de paiement ;
2° Veille à ce que les données de sécurité personnalisées de l'utilisateur de services de paiement ne soient pas accessibles à d'autres parties que cet utilisateur et l'émetteur desdites données et veille à transmettre celles-ci au moyen de canaux sûrs et efficaces ;
3° Veille à ce que toute autre information relative à l'utilisateur de services de paiement, obtenue lors de la fourniture de services d'initiation de paiement, ne soit communiquée qu'au bénéficiaire et uniquement avec le consentement exprès de l'utilisateur de services de paiement ;
4° S'identifie auprès du prestataire de services de paiement gestionnaire du compte du payeur chaque fois qu'un paiement est initié et communique dans les conditions prévues par l'acte délégué adopté en vertu de l'article 98.1 de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur avec le prestataire de services de paiement gestionnaire du compte, le payeur et le bénéficiaire ;
5° Ne stocke pas de données de paiement sensibles concernant l'utilisateur de services de paiement ;
6° Ne demande pas à l'utilisateur de services de paiement des données autres que celles nécessaires pour fournir le service d'initiation de paiement ;
7° N'utilise, ne consulte ou ne stocke des données à des fins autres que la fourniture du service d'initiation de paiement expressément demandée par le payeur ;
8° Ne modifie pas le montant, le bénéficiaire ou tout autre caractéristique de l'opération.
III. – Lorsqu'un utilisateur de services de paiement utilise un service d'initiation de paiement, son prestataire de services de paiement gestionnaire du compte :
1° Communique dans les conditions prévues par l'acte délégué adopté en vertu de l'article 98.1 de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 précitée avec le prestataire de services de paiement fournissant le service d'initiation de paiement ;
2° Fournit au prestataire de services de paiement fournissant le service d'initiation de paiement, ou met à sa disposition, immédiatement après réception d'un ordre de paiement, toutes les informations sur l'initiation de l'opération de paiement et toutes les informations auxquelles il a lui-même accès concernant l'exécution de l'opération de paiement ;
3° Traite les ordres de paiement transmis par le prestataire de services fournissant le service d'initiation de paiement sans aucune discrimination autre que fondée sur des raisons objectives, en termes de délai, de priorité ou de frais par rapport aux ordres de paiement transmis directement par le payeur.
IV. – La fourniture de services d'initiation de paiement n'est pas subordonnée à l'existence de relations contractuelles entre les prestataires de services de paiement fournissant le service d'initiation de paiement et les prestataires de services de paiement gestionnaires de comptes.
[…] [L] [O], auditrice de justice a siégé en surnombre et participé avec voix consultative au délibéré. […] Enfin, et contrairement à ce qu'allègue la banque, la seule existence d'une authentification forte au sens des articles L133-4 f et L133-40 du code monétaire et financier, impliquant notamment l'utilisation de codes connus du seul utilisateur, ne saurait démontrer l'existence d'une négligence grave. Il convient en effet de souligner qu'en application des paragraphes IV et V de l'article L. 133-19 du code monétaire, l'existence d'une authentification forte est une des conditions préalables à l'application du paragraphe IV de l'article L.133-19 du code monétaire et financier, […]
[…] [L] [O], […] et contrairement à ce qu'allègue la banque, la seule existence d'une authentification forte au sens des articles L133-4 f et L133-40 du code monétaire et financier, impliquant notamment l'utilisation de codes connus du seul utilisateur et/ou d'empreintes biométriques ne saurait démontrer l'existence d'une négligence grave. Il convient en effet de souligner qu'en application des paragraphes IV et V de l'article L. 133-19 du code monétaire, l'existence d'une authentification forte est une des conditions préalables à l'application du paragraphe IV de l'article L.133-19 du code monétaire et financier, permettant à la banque de se prévaloir de la négligence grave de l'utilisateur. […]
L'article L. 133-44, I du Code monétaire et financier indique que le prestataire de services de paiement applique l'authentification forte du client lorsque le payeur accède à son compte de paiement en ligne ou initie une opération de paiement électronique ou enfin exécute une opération par le biais d'un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse. […] Ainsi, il est prévu par l'article L. 512-7 du Code monétaire et financier que la CNIL veille au respect des articles L. 521-5 et L. 521-6 du Code monétaire et financier, […] art. L. 133-40, II, 5°). […]
Lire la suite…