1. L’obtention de l’agrément en tant qu’établissement de paiement est subordonnée à la soumission, aux autorités compétentes de l’État membre d’origine, d’une demande accompagnée des informations suivantes:
| a) | un programme d’activité indiquant, en particulier, le type de services de paiement envisagé; |
| b) | un plan d’affaires contenant notamment un calcul budgétaire prévisionnel afférent aux trois premiers exercices, qui démontre que le demandeur est en mesure de mettre en œuvre les systèmes, ressources et procédures appropriés et proportionnés nécessaires à son bon fonctionnement; |
| c) | la preuve que l’établissement de paiement dispose du capital initial prévu à l’article 7; |
| d) | pour les établissements de paiement visés à l’article 10, paragraphe 1, une description des mesures prises pour protéger les fonds des utilisateurs de services de paiement conformément à l’article 10; |
| e) | une description du dispositif de gouvernance d’entreprise et des mécanismes de contrôle interne, notamment des procédures administratives, de gestion des risques et comptables du demandeur, qui démontre que ce dispositif de gouvernance d’entreprise, ces mécanismes de contrôle et ces procédures sont proportionnés, adaptés, sains et adéquats; |
| f) | une description de la procédure en place pour assurer la surveillance, le traitement et le suivi des incidents de sécurité et des réclamations de clients liées à la sécurité, y compris un mécanisme de signalement des incidents qui tient compte des obligations de notification incombant à l’établissement de paiement en vertu de l’article 96; |
| g) | une description du processus en place pour enregistrer, surveiller et restreindre l’accès aux données de paiement sensibles et garder la trace de ces accès; |
| h) | une description des dispositions en matière de continuité des activités, y compris une désignation claire des activités essentielles, des plans d’urgence appropriés et une procédure prévoyant de soumettre ces plans à des tests et de réexaminer périodiquement leur adéquation et leur efficience; |
| i) | une description des principes et des définitions appliqués pour la collecte de données statistiques relatives aux performances, aux opérations et à la fraude; |
| j) | un document relatif à la politique de sécurité, comprenant une analyse détaillée des risques en ce qui concerne les services de paiement proposés et une description des mesures de maîtrise et d’atténuation prises pour protéger les utilisateurs de services de paiement de façon adéquate contre les risques décelés en matière de sécurité, y compris la fraude et l’utilisation illicite de données sensibles ou à caractère personnel; |
| k) | pour les établissements de paiement soumis aux obligations en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme prévues dans la directive (UE) 2015/849 du Parlement européen et du Conseil (31) et dans le règlement (UE) 2015/847 du Parlement européen et du Conseil (32), une description des mécanismes de contrôle interne que le demandeur a mis en place pour se conformer à ces obligations; |
| l) | une description de l’organisation structurelle du demandeur, y compris, le cas échéant, une description du projet de recours à des agents et à des succursales et des inspections sur pièces et sur place au moins annuelles que le demandeur s’engage à effectuer à l’égard de ces agents et succursales, ainsi qu’une description des accords d’externalisation et de sa participation à un système de paiement national ou international; |
| m) | l’identité des personnes détenant directement ou indirectement une participation qualifiée au sens de l’article 4, paragraphe 1, point 36), du règlement (UE) no 575/2013 dans le capital du demandeur, la taille de leur participation ainsi que la preuve de leur qualité, compte tenu de la nécessité de garantir une gestion saine et prudente de l’établissement de paiement; |
| n) | l’identité des dirigeants et des personnes responsables de la gestion de l’établissement de paiement et, le cas échéant, des personnes responsables de la gestion des activités de services de paiement de l’établissement de paiement, et la preuve de ce qu’ils jouissent de l’honorabilité et possèdent les compétences et l’expérience requises aux fins de la prestation des services de paiement conformément à ce que détermine l’État membre d’origine de l’établissement de paiement; |
| o) | le cas échéant, l’identité des contrôleurs légaux des comptes et des cabinets d’audit, au sens de la directive 2006/43/CE du Parlement européen et du Conseil (33); |
| p) | le statut juridique et les statuts du demandeur; |
| q) | l’adresse de l’administration centrale du demandeur. |
Aux fins du premier alinéa, points d), e), f) et l), le demandeur fournit une description de ses dispositions en matière d’audit et des dispositions organisationnelles qu’il a arrêtées en vue de prendre toute mesure raisonnable pour protéger les intérêts de ses utilisateurs et garantir la continuité et la fiabilité de la prestation de ses services de paiement.
La description des mesures de maîtrise et d’atténuation des risques en matière de sécurité visée au premier alinéa, point j), indique comment ces mesures garantissent un niveau élevé de sécurité technique et de protection des données, y compris pour les systèmes logiciels et informatiques utilisés par le demandeur ou par les entreprises vers lesquelles il externalise la totalité ou une partie de ses activités. Ces mesures incluent également les mesures de sécurité prévues à l’article 95, paragraphe 1. Elles tiennent compte des orientations de l’ABE relatives aux mesures de sécurité, visées à l’article 95, paragraphe 3, une fois celles-ci établies.
2. Les États membres exigent des établissements qui demandent un agrément pour fournir les services de paiement visés à l’annexe I, point 7, comme préalable à cet agrément, qu’ils disposent d’une assurance de responsabilité civile professionnelle couvrant les territoires où ils proposent des services ou une autre garantie comparable contre l’engagement de leur responsabilité conformément aux articles 73, 89, 90 et 92.
3. Les États membres exigent des établissements qui demandent un enregistrement pour fournir les services de paiement visés à l’annexe I, point 8, comme préalable à cet enregistrement, qu’ils disposent d’une assurance de responsabilité civile professionnelle couvrant les territoires où ils proposent des services ou une autre garantie comparable contre l’engagement de leur responsabilité vis-à-vis du prestataire de services de paiement gestionnaire du compte ou de l’utilisateur de services de paiement à la suite d’un accès non autorisé ou frauduleux aux données des comptes de paiement ou d’une utilisation non autorisée ou frauduleuse de ces données.
4. Le 13 janvier 2017 au plus tard, l’ABE, après avoir consulté toutes les parties concernées, y compris sur le marché des services de paiement, représentant tous les intérêts en présence, émet des orientations conformément à l’article 16 du règlement (UE) no 1093/2010 à l’intention des autorités compétentes concernant les critères permettant de déterminer le montant minimal de l’assurance de responsabilité civile professionnelle ou d’une autre garantie comparable visée aux paragraphes 2 et 3.
Lorsqu’elle élabore les orientations visées au premier alinéa, l’ABE tient compte des éléments suivants:
| a) | le profil de risque de l’établissement; |
| b) | si l’établissement fournit d’autres services de paiement visés à l’annexe I ou exerce d’autres activités; |
| c) | la taille de l’activité:
|
| d) | les caractéristiques spécifiques des garanties comparables et les critères de leur mise en œuvre. |
L’ABE réexamine ces orientations à intervalles réguliers.
5. Le 13 juillet 2017 au plus tard, l’ABE, après avoir consulté toutes les parties concernées, y compris sur le marché des services de paiement, représentant tous les intérêts en présence, émet des orientations conformément à l’article 16 du règlement (UE) no 1093/2010 concernant les informations à fournir aux autorités compétentes dans la demande d’agrément des établissements de paiement, y compris les exigences visées au paragraphe 1, premier alinéa, points a), b), c), e) et g) à j), du présent article.
L’ABE réexamine ces orientations à intervalles réguliers et, en tout état de cause, au moins tous les trois ans.
6. Tenant compte, le cas échéant, de l’expérience acquise dans l’application des orientations visées au paragraphe 5, l’ABE peut élaborer des projets de normes techniques de réglementation précisant les informations à fournir aux autorités compétentes dans la demande d’agrément des établissements de paiement, y compris les exigences visées au paragraphe 1, premier alinéa, points a), b), c), e) et g) à j).
La Commission est habilitée à adopter les normes techniques réglementaires visées au premier alinéa, conformément aux articles 10 à 14 du règlement (UE) no 1093/2010.
7. Les informations visées au paragraphe 4 sont notifiées aux autorités compétentes conformément au paragraphe 1.
Encadrement – Trois situations sont spécifiquement visées par le législateur européen, à savoir l'accès aux interfaces en ligne (article 3), l'accès aux biens ou aux services (article 4) et les opérations de paiement (article 5). […]
Lire la suite…