P9_TA(2024)0298 — Services de paiement dans le marché intérieur et modification du règlement (UE) no 1093/2010 — Résolution législative du Parlement européen du 23 avril 2024 sur la proposition de règlement du Parlement européen et du Conseil concernant les services de paiement dans le marché intérieur et modifiant le règlement (UE) no 1093/2010 (COM(2023)0367 – C9-0217/2023 – 2023/0210(COD)) (Procédure législative ordinaire: première lecture)

(1)

Depuis l’adoption de la directive (UE) 2015/2366 du Parlement européen et du Conseil (3), le marché des services de paiement de détail a connu des changements importants, en grande partie liés à l’utilisation croissante des cartes et des moyens de paiement numériques, à la diminution de l’utilisation des espèces et à la présence grandissante de nouveaux acteurs et services, notamment les portefeuilles numériques et les paiements sans contact. La pandémie de COVID-19 et les transformations qu’elle a apportées aux pratiques de consommation et de paiement ont accru l’importance de disposer de paiements sécurisés et efficaces.

(2)

Dans sa communication sur une stratégie en matière de paiements de détail pour l’UE (4), la Commission a annoncé le lancement d’un réexamen complet de l’application et de l’incidence de la directive (UE) 2015/2366, «qui devrait inclure une évaluation globale de sa pertinence, eu égard à l’évolution du marché».

(3)

La directive (UE) 2015/2366 visait à lever les obstacles à de nouveaux types de services de paiement et à améliorer le niveau de protection et de sécurité des consommateurs. L’évaluation par la Commission de l’incidence et de l’application de la directive (UE) 2015/2366 a permis non seulement de constater que la directive (UE) 2015/2366 était largement couronnée de succès quant à la réalisation de bon nombre de ses objectifs, mais également de recenser certains domaines dans lesquels les objectifs de ladite directive n’étaient pas pleinement atteints. Par exemple, l’évaluation a mis en évidence l’augmentation de nouveaux types de fraude en tant que sujet de préoccupation à l’égard des objectifs de protection des consommateurs. Des lacunes ont également été relevées en ce qui concerne l’objectif consistant à améliorer la concurrence sur le marché grâce aux «services de banque ouverte» (services d’information sur les comptes et services d’initiation de paiement) en réduisant les obstacles auxquels sont confrontés les prestataires tiers sur le marché. Les progrès accomplis dans la réalisation de l’objectif consistant à améliorer la prestation de services de paiement transfrontières ont également été limités, en grande partie en raison d’incohérences dans les pratiques de surveillance et dans le contrôle de l’application des règles dans les différents pays de l’Union. L’évaluation a également mis en évidence des facteurs qui freinent les progrès en ce qui concerne l’objectif d’instauration de conditions de concurrence équitables entre tous les prestataires de services de paiement.

(4)

L’évaluation a également recensé des problèmes liés à des divergences dans la mise en œuvre et le contrôle de l’application de la directive (UE) 2015/2366 qui ont une incidence directe sur la concurrence entre les prestataires de services de paiement et qui se sont traduits par des conditions réglementaires différentes selon les États membres, ce qui a encouragé l’arbitrage réglementaire. Il ne devrait pas y avoir de place pour le «forum shopping» dans le contexte duquel les prestataires de services de paiement pourraient choisir, comme pays d’origine, les États membres dans lesquels l’application des règles de l’Union relatives aux services de paiement leur est plus avantageuse, alors qu’ils fournissent des services transfrontières dans d’autres États membres qui adoptent une interprétation plus stricte des règles ou appliquent des politiques plus actives de contrôle de leur respect aux prestataires de services de paiement qui y sont établis. Une telle pratique fausse la concurrence. Il convient donc d’harmoniser davantage les règles de l’Union relatives aux services de paiement, en intégrant dans un règlement les règles régissant la conduite de l’activité des services de paiement, notamment les droits et obligations des parties concernées. Ces règles, à l’exclusion des règles relatives à l’agrément et à la surveillance des établissements de paiement, qui devraient rester dans une directive, devraient être précisées et plus détaillées afin de réduire au minimum les marges d’interprétation.

(5)

Même si l’émission de monnaie électronique est régie par la directive 2009/110/CE du Parlement européen et du Conseil (5), l’utilisation de la monnaie électronique pour financer des opérations de paiement est, dans une très large mesure, régie par la directive (UE) 2015/2366. Dès lors, le cadre juridique applicable aux établissements de monnaie électronique et aux établissements de paiement, notamment en ce qui concerne les règles de conduite, est déjà en grande partie harmonisé. Pour résoudre les problèmes de cohérence externe et étant donné que les services de monnaie électronique et les services de paiement sont de plus en plus difficiles à distinguer, il convient de rapprocher les cadres législatifs concernant les établissements de monnaie électronique et les établissements de paiement. Toutefois, les exigences en matière d’agrément, en particulier en ce qui concerne le capital initial et les fonds propres, ainsi que certains concepts de base essentiels régissant les activités de monnaie électronique, tels que l’émission, la distribution et le remboursement de monnaie électronique, sont distincts des services fournis par les établissements de paiement. Il y a donc lieu de préserver ces spécificités lors de la fusion des dispositions de la directive (UE) 2015/2366 et de la directive 2009/110/CE. Étant donné que la directive 2009/110/CE est abrogée par la directive (UE) XXXX [DSP3], ses règles, à l’exception des règles relatives à l’agrément et à la surveillance, qui ont été intégrées dans la directive (UE) XXX [DSP3], devraient être reprises dans un cadre unifié au sein du présent règlement, moyennant les adaptations appropriées.

(6)

Pour garantir la sécurité juridique et un champ d’application clair des règles applicables à l’exercice de l’activité de prestation de services de paiement et de services de monnaie électronique, il est nécessaire de préciser les catégories de prestataires de services de paiement qui sont soumises aux obligations concernant l’exercice de l’activité de prestation de services de paiement et de services de monnaie électronique dans l’ensemble de l’Union.

(7)

Il existe plusieurs catégories de prestataires de services de paiement. Les établissements de crédit reçoivent des dépôts d’utilisateurs qui peuvent être utilisés pour exécuter des opérations de paiement. Ils sont agréés conformément à la directive 2013/36/UE du Parlement européen et du Conseil (6). Les établissements de paiement ne reçoivent pas de dépôts. Ils peuvent détenir des fonds des utilisateurs et émettre de la monnaie électronique qui peut être utilisée pour exécuter des opérations de paiement. Ils sont agréés en application de la directive (UE) XXX [DSP3]. Les offices de chèques postaux qui sont habilités à le faire par leur droit national peuvent également fournir des services de monnaie électronique et de paiement. Parmi les autres catégories de prestataires de services de paiement figurent la Banque centrale européenne (BCE) et les banques centrales nationales lorsqu’elles n’agissent pas en qualité d’autorités monétaires ou d’autres autorités publiques, ainsi que les États membres ou leurs autorités régionales ou locales lorsqu’ils n’agissent pas en qualité d’autorités publiques.

(8)

Il convient de dissocier, d’une part, le service permettant le retrait d’espèces d’un compte de paiement et, d’autre part, l’activité de gestion d’un compte de paiement, car il se peut que les prestataires de services de retrait d’espèces ne gèrent pas de comptes de paiement. Les services d’émission d’instruments de paiement et d’acquisition d’opérations de paiement, qui étaient mentionnés ensemble au point 5 de l’annexe de la directive (UE) 2015/2366 comme si l’un ne pouvait être proposé sans l’autre, devraient être présentés comme deux services de paiement différents. La mention séparée des services d’émission et des services d’acquisition, conjuguée à des définitions distinctes pour chaque service, devrait permettre de rendre plus clair que les services d’émission et les services d’acquisition peuvent être proposés séparément par les prestataires de services de paiement.

(9)

L’exclusion du champ d’application de la directive (UE) 2015/2366 de certaines catégories d’opérateurs de distributeurs automatiques de billets (DAB) s’est révélée difficile à mettre en pratique. Il conviendrait, par conséquent, de remplacer la catégorie d’opérateurs de DAB qui étaient exclus de l’obligation d’être agréés en tant que prestataires de services de paiement en vertu de la directive (UE) 2015/2366 par une nouvelle catégorie d’opérateurs de DAB qui ne gèrent pas de comptes de paiement. Bien que ces opérateurs ne soient pas soumis aux obligations pour l’agrément au titre de la directive (UE) XXX [DSP3], ils devraient être soumis à des exigences en matière de transparence des frais dans les cas où ces opérateurs en perçoivent pour les retraits d’espèces.

(10)

Afin d’améliorer encore l’accès aux espèces, lequel constitue une priorité de la Commission, les commerçants devraient être autorisés à proposer, dans les magasins physiques, des services de fourniture d’espèces, même en l’absence d’achat par un client, sans devoir obtenir d’agrément en tant que prestataire de services de paiement et sans devoir être un agent d’un établissement de paiement. Ces services de fourniture d’espèces devraient toutefois être soumis à l’obligation de communication des frais facturés au client, le cas échéant. Les détaillants devraient fournir ces services sur une base volontaire et en fonction des espèces dont ils disposent.

(11)

L’exclusion du champ d’application de la directive (UE) 2015/2366 des opérations de paiement allant du payeur au bénéficiaire, par l’intermédiaire d’un agent commercial agissant pour le compte du payeur ou du bénéficiaire, a fait l’objet d’une application très divergente selon les États membres. La notion d’agent commercial étant généralement définie dans le droit civil national, elle peut varier d’un État membre à l’autre, ce qui conduit à des incohérences dans le traitement réservé aux mêmes services dans les différents pays. Il convient donc d’harmoniser et de clarifier la notion d’agent commercial aux fins de cette exclusion en faisant référence à la définition des agents commerciaux figurant dans la directive 86/653/CEE du Conseil (7). En outre, il convient de préciser davantage les conditions dans lesquelles les opérations de paiement allant du payeur au bénéficiaire par l’intermédiaire d’agents commerciaux peuvent être exclues du champ d’application du présent règlement. À cet effet, il convient d’exiger que les agents soient habilités, par contrat avec le payeur ou le bénéficiaire, à négocier ou à conclure la vente ou l’achat de biens ou de services pour le compte du seul payeur ou du seul bénéficiaire, mais pas des deux, que l’agent commercial soit ou non en possession des fonds du client. Les plates-formes de commerce électronique qui agissent en tant qu’agents commerciaux pour le compte aussi bien d’acheteurs que de vendeurs individuels sans que ni les uns ni les autres ne disposent d’une marge d’autonomie réelle pour négocier ou conclure la vente ou l’achat de biens ou de services ne devraient pas être exclues du champ d’application du présent règlement. L’Autorité bancaire européenne (ABE) devrait élaborer des orientations sur l’exclusion des opérations de paiement allant du payeur au bénéficiaire par l’intermédiaire d’un agent commercial, afin d’apporter davantage de clarté et de convergence entre les autorités compétentes. Ces orientations peuvent inclure un référentiel des cas d’utilisation qui relèvent généralement de l’exclusion applicable aux agents commerciaux.

(12)

L’exclusion des instruments à finalité spécifique du champ d’application de la directive (UE) 2015/2366 a été appliquée différemment d’un État membre à l’autre, bien que les prestataires de services dont les instruments relevaient de cette exclusion aient été tenus de notifier leur activité aux autorités compétentes. L’ABE a fourni des orientations supplémentaires dans ses «Guidelines on the limited network exclusion under PSD2» («Orientations sur l’exclusion relative aux “réseaux limités” au titre de la DSP2», en anglais) du 24 février 2022 (8). Malgré ces tentatives visant à clarifier l’application de l’exclusion relative aux instruments à finalité spécifique, il subsiste des prestataires de services qui essaient de bénéficier de cette exclusion alors qu’ils fournissent des services portant sur des volumes de paiement importants et sur une variété de produits proposés à un grand nombre de clients. En pareils cas, les consommateurs ne bénéficient pas des garanties nécessaires et les services concernés ne devraient pas bénéficier de l’exclusion relative aux instruments à finalité spécifique. Il est par conséquent nécessaire de préciser qu’il ne devrait pas être possible d’utiliser le même instrument à finalité spécifique pour effectuer des opérations de paiement en vue d’acquérir des biens et des services au sein de plus d’un réseau limité ou d’acquérir un éventail illimité de biens ou de services.

(13)

Pour déterminer si un réseau limité devrait être exclu du champ d’application, il convient de prendre en considération la localisation géographique des points d’acceptation de ce réseau ainsi que le nombre de points d’acceptation. Les instruments à finalité spécifique devraient permettre au détenteur d’acquérir des biens ou des services uniquement dans les locaux physiques de l’émetteur, tandis que l’utilisation dans un environnement de magasin en ligne ne devrait pas relever de la notion de locaux de l’émetteur. Les instruments à finalité spécifique devraient comprendre, selon le régime contractuel applicable dans chaque cas, les cartes qui ne peuvent être utilisées que dans une chaîne de magasins déterminée ou dans un centre commercial particulier, les cartes de carburant, les cartes de membre, les cartes de transports en commun, les billets de parking, les titres-repas ou les titres-services, qui peuvent relever d’un cadre juridique particulier en matière fiscale ou de droit du travail, destiné à encourager le recours à ces instruments pour atteindre les objectifs fixés dans la législation sociale, tels que des titres de services pour la garde d’enfant ou des bons écologiques. En parallèle, l’environnement réglementaire des États membres pour ces titres devrait garantir l’acceptabilité de ces derniers.

(14)

L’exclusion relative à certaines opérations de paiement au moyen d’un système informatique ou de télécommunications devrait concerner plus particulièrement les micropaiements effectués pour l’achat de contenus numériques et de services vocaux. Une référence claire aux opérations de paiement effectuées pour l’achat de billets électroniques devrait être conservée afin que les clients puissent encore aisément réserver, payer, obtenir et valider des billets électroniques n’importe où et n’importe quand au moyen de téléphones mobiles ou d’autres dispositifs. Les billets électroniques permettent et facilitent la livraison de services pour lesquels les consommateurs pourraient, à défaut, acheter des billets sur support papier, et concernent les transports, les loisirs, le parking et l’accès à des monuments/manifestations, mais pas les biens physiques. Les opérations de paiement exécutées par un fournisseur déterminé de réseaux de communications électroniques depuis ou au moyen d’un dispositif électronique et imputées sur la facture correspondante pour recueillir des dons en faveur d’organismes caritatifs devraient également être exclues. L’exclusion ne devrait s’appliquer que lorsque la valeur des opérations de paiement est inférieure à un seuil déterminé.

(15)

L’espace unique de paiements en euros (SEPA) a facilité la mise en place de centres de paiement et de centres d’encaissement à travers l’Union, ce qui a permis une centralisation des opérations de paiement d’un même groupe. À cet égard, les opérations de paiement entre une entreprise mère et sa filiale, ou entre filiales d’une même entreprise mère, qui sont effectuées par un prestataire de services de paiement faisant partie du même groupe devraient être exclues du champ d’application du présent règlement. La centralisation des ordres de paiement et la remise de fonds pour le compte d’un groupe par une entreprise mère ou sa filiale pour transmission ultérieure à un autre prestataire de services de paiement ne devrait pas être considérée comme un service de paiement.

(16)

La prestation de services de paiement nécessite le soutien de services techniques. Ces services techniques comprennent le traitement et le stockage de données, les services de portail de paiement, les services de confiance et de protection de la vie privée, l’authentification des données et des entités, la fourniture de technologies de l’information et de réseaux de communication, la fourniture et la maintenance d’interfaces destinées aux consommateurs qui sont utilisées pour la collecte des informations sur les paiements, y compris les terminaux et dispositifs utilisés aux fins des services de paiement. Les services d’initiation de paiement et les services d’information sur les comptes ne sont pas des services techniques.

(17)

Les services techniques ne sont pas des services de paiement en tant que tels car les prestataires de services techniques n’entrent à aucun moment en possession des fonds à transférer. C’est pourquoi ils devraient être exclus de la définition des services de paiement. Ces services devraient toutefois être soumis à certaines obligations, telles que celles relatives à la responsabilité pour défaut de soutien à l’application d’une authentification forte du client▌.

(18)

Compte tenu de l’évolution rapide du marché des paiements de détail et de l’apparition de nouveaux services de paiement et de nouvelles solutions de paiement, il convient d’adapter certaines des définitions figurant dans la directive (UE) 2015/2366 aux réalités du marché afin que la législation de l’Union continue de répondre aux objectifs poursuivis et reste neutre sur le plan technologique.

(19)

La clarification du processus et des différentes étapes devant être suivies pour l’exécution d’une opération de paiement revêt une importance considérable pour les droits et obligations des parties à une opération de paiement et pour l’application d’une authentification forte du client. Le processus conduisant à l’exécution d’une opération de paiement est initié soit par le payeur ou pour le compte de celui-ci, soit par le bénéficiaire. Le payeur initie l’opération de paiement en passant un ordre de paiement. Une fois l’ordre de paiement passé, le prestataire de services de paiement vérifie si l’opération a été autorisée et authentifiée, y compris, s’il y a lieu, en appliquant une authentification forte du client, puis le prestataire de services de paiement valide l’ordre de paiement. Le prestataire de services de paiement prend ensuite les mesures nécessaires pour exécuter l’opération de paiement, dont le transfert de fonds.

(20)

Compte tenu des divergences de vues relevées par la Commission dans le cadre de son réexamen de la mise en œuvre de la directive (UE) 2015/2366 et soulignées par l’Autorité bancaire européenne (ABE) dans son avis du 23 juin 2022 sur le réexamen de la directive (UE) 2015/2366, il est nécessaire de clarifier la définition d’un compte de paiement. Le critère déterminant pour qu’un compte soit qualifié de compte de paiement réside dans la faculté d’effectuer quotidiennement des opérations de paiement à partir de ce compte. La possibilité d’effectuer des opérations de paiement à destination d’un tiers depuis un compte ou de bénéficier de telles opérations effectuées par un tiers est une caractéristique essentielle de la notion de compte de paiement. Un compte de paiement devrait donc être défini comme étant un compte utilisé pour envoyer et recevoir des fonds à destination et en provenance de tiers. Tout compte qui présente ces caractéristiques devrait être considéré comme un compte de paiement et être accessible pour la prestation de services d’initiation de paiement et d’information sur les comptes. Les situations dans lesquelles un autre compte intermédiaire est nécessaire pour l’exécution des opérations de paiement en provenance ou à destination de tiers ne devraient pas relever de la définition d’un compte de paiement. Les comptes d’épargne ne sont pas utilisés pour envoyer ou recevoir des fonds à destination ou en provenance d’un tiers, ce qui les exclut par conséquent de la définition d’un compte de paiement.

(21)

Compte tenu de l’apparition de nouveaux types d’instruments de paiement et des incertitudes qui existent sur le marché quant à leur qualification juridique, il convient de préciser davantage la définition d’un «instrument de paiement» en fournissant quelques exemples afin d’illustrer ce qui constitue ou non un instrument de paiement, en tenant compte du principe de neutralité technologique.

(22)

Bien que la communication en champ proche (NFC) permette l’initiation d’une opération de paiement, la considérer comme un «instrument de paiement» à part entière créerait quelques difficultés, par exemple en ce qui concerne l’application d’une authentification forte du client pour les paiements sans contact au point de vente et l’application du régime de responsabilité du prestataire de services de paiement. Aussi la communication en champ proche devrait-elle être plutôt considérée comme une fonctionnalité d’un instrument de paiement et non comme un instrument de paiement en tant que tel.

(23)

La définition de l’«instrument de paiement» au sens de la directive (UE) 2015/2366 faisait référence à un «dispositif personnalisé». Étant donné qu’il existe des cartes prépayées sur lesquelles le nom du détenteur de l’instrument n’est pas imprimé, l’utilisation de cette référence pourrait exclure ces types de cartes du champ d’application de la définition d’un instrument de paiement. La définition d’un «instrument de paiement» devrait donc être modifiée de manière à faire référence à des dispositifs «individualisés», plutôt qu’à des dispositifs «personnalisés», et préciser que les cartes prépayées sur lesquelles le nom du détenteur de l’instrument n’est pas imprimé relèvent du champ d’application du présent règlement.

(24)

Les portefeuilles numériques de type «pass-through» (portefeuilles à transfert direct), qui impliquent la tokenisation d’un instrument de paiement existant, par exemple d’une carte de paiement, doivent être considérés comme des services techniques et devraient, dès lors, être exclus de la définition de l’instrument de paiement car, selon la Commission, un jeton ne saurait être considéré, en tant que tel, comme un instrument de paiement, mais plutôt comme une «application de paiement» au sens de l’article 2, point 21), du règlement (UE) 2015/751 du Parlement européen et du Conseil (9). Toutefois, d’autres catégories de portefeuilles numériques, à savoir les portefeuilles électroniques prépayés tels que les «staged-wallets» (portefeuilles fonctionnant par étapes), sur lesquels les utilisateurs peuvent stocker de l’argent en vue de futures opérations en ligne, devraient être considérées comme un instrument de paiement et leur émission comme un service de paiement.

(25)

Les évolutions technologiques survenues depuis l’adoption de la directive (UE) 2015/2366 ont transformé la manière dont les services d’information sur les comptes sont fournis. Les entreprises qui proposent ces services fournissent aux utilisateurs de services de paiement des informations agrégées en ligne concernant un ou plusieurs comptes de paiement dont ils sont titulaires auprès d’un ou de plusieurs prestataires de services de paiement et qui sont accessibles via des interfaces en ligne du prestataire de services de paiement gestionnaire du compte. Les utilisateurs de services de paiement sont donc en mesure d’avoir une vue globale et structurée de leurs comptes de paiement immédiatement et à tout moment.

(26)

Le réexamen auquel la Commission a procédé a mis en évidence le fait que les prestataires agréés de services d’information sur les comptes fournissent parfois des données relatives aux comptes de paiement qu’ils ont agrégées, non pas au consommateur dont ils ont reçu la permission d’accéder aux données et de les agréger, mais à une autre partie, afin de permettre à cette dernière de fournir d’autres services au consommateur en utilisant ces données. Il existe toutefois des divergences de vues quant à la question de savoir si cette activité relève du service d’information sur les comptes qui est réglementé. La Commission considère que cette évolution du modèle économique de la «banque ouverte» vers une «licence en tant que service» peut constituer une source de services innovants fondés sur les données, dans l’intérêt ultime des utilisateurs finaux. En effet, ce modèle économique permet aux utilisateurs finaux de donner accès aux données de leurs comptes de paiement afin de recevoir des services, autres que les services de paiement, tels que des prêts, des services de comptabilité et d’évaluation de la solvabilité. Il est toutefois essentiel que les utilisateurs de services de paiement sachent précisément qui a accès aux données relatives à leurs comptes de paiement, sur quelles bases juridiques et à quelle fin. Les utilisateurs de services de paiement devraient être dûment informés de la transmission de leurs données à une autre entreprise et autoriser cette transmission. Ce nouveau modèle économique fondé sur la banque ouverte nécessite une modification de la définition des services d’information sur les comptes, afin qu’il soit précisé que les informations agrégées par le prestataire agréé de services d’information sur les comptes sont susceptibles d’être transmises à un tiers pour permettre à ce tiers de fournir un autre service à l’utilisateur final, avec la permission de ce dernier. Afin de procurer aux consommateurs une protection adéquate des données relatives à leurs comptes de paiement et la sécurité juridique concernant le statut des entités ayant accès à leurs données, le service d’agrégation des données à partir de comptes de paiement devrait toujours être fourni par une entité réglementée sur le fondement d’un agrément, même lorsque les données sont finalement transmises à un autre prestataire de services.

(27)

La transmission de fonds est un service de paiement qui repose généralement sur des espèces fournies par un payeur à un prestataire de services de paiement, sans création de compte de paiement au nom du payeur ou du bénéficiaire, qui consiste à transmettre le montant correspondant à un bénéficiaire ou à un autre prestataire de services de paiement agissant pour le compte du bénéficiaire. Dans certains États membres, les supermarchés, les commerçants et autres détaillants fournissent au public un service lui permettant de régler des factures de services d’utilité publique et d’autres factures régulières du ménage. Ces services de paiement de factures devraient être traités comme une transmission de fonds.

(28)

La définition de «fonds» devrait couvrir la monnaie de banque centrale émise pour une utilisation de détail, y compris les billets de banque et les pièces, ainsi que toute monnaie numérique de banque centrale, toute monnaie électronique et toute monnaie de banque commerciale susceptible d’être émise à l’avenir. La monnaie de banque centrale émise en vue d’une utilisation entre la banque centrale et des banques commerciales, c’est-à-dire pour une utilisation en gros, ne devrait pas relever de la définition.

(29)

Le règlement (UE) 2023/1114 du 31 mai 2023 sur les marchés de crypto-actifs prévoit que les jetons de monnaie électronique sont réputés être de la monnaie électronique aux fins dudit règlement. Afin d’éviter les exigences redondantes, il est important que les dispositions du présent règlement indiquent clairement les cas dans lesquels les jetons de monnaie électronique devraient au contraire être soumis aux dispositions du présent règlement.

(30)

Afin de préserver la confiance des détenteurs de monnaie électronique, il est nécessaire que la monnaie électronique soit remboursable. La possibilité de remboursement n’implique pas, en soi, que les fonds reçus en échange de monnaie électronique soient considérés comme des dépôts ou d’autres fonds remboursables aux fins de la directive 2013/36/UE (10). Le remboursement devrait être possible à tout moment, à la valeur nominale et sans qu’il soit possible de convenir d’un seuil minimal de remboursement. Le remboursement devrait, en règle générale, être gratuit. Toutefois, il devrait être possible de demander un défraiement proportionné et déterminé en fonction des coûts, sans préjudice de la législation nationale en matière fiscale ou sociale et de toutes obligations imposées à l’émetteur de monnaie électronique par d’autres législations de l’Union ou des États membres applicables, y compris les réglementations en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme, ainsi que toute mesure visant le gel des fonds ou toute autre mesure particulière liée à la prévention des infractions et aux enquêtes en la matière.

(31)

Les prestataires de services de paiement ont besoin d’avoir accès à des systèmes de paiement pour fournir des services de paiement aux utilisateurs. En général, ces systèmes de paiement comprennent des schémas de cartes faisant intervenir quatre parties, ainsi que les principaux systèmes permettant de traiter des virements et des prélèvements. Pour garantir, dans toute l’Union, l’égalité de traitement des différentes catégories de prestataires de services de paiement agréés, il convient de clarifier les règles régissant l’accès aux systèmes de paiement. Cet accès peut être direct ou indirect par l’intermédiaire d’un autre participant à ce système de paiement. Cet accès devrait être soumis à des exigences qui garantissent l’intégrité et la stabilité de ces systèmes de paiement. À cette fin, l’opérateur de système de paiement devrait procéder à une évaluation des risques d’un prestataire de services de paiement qui introduit une demande de participation directe; cette évaluation des risques devrait porter sur tous les risques pertinents, y compris, s’il y a lieu, le risque de règlement, le risque opérationnel, le risque de crédit, le risque de liquidité et le risque d’entreprise. Chaque prestataire de services de paiement candidat à une participation à un système de paiement devrait supporter le risque lié à son propre choix de système et apporter la preuve au système de paiement que son organisation interne est suffisamment solide pour faire face à ces types de risques. Les opérateurs de systèmes de paiement ne devraient rejeter la candidature à une participation directe déposée par un prestataire de services de paiement que si ce dernier n’est pas en mesure de respecter les règles du système ou présente un niveau de risque inacceptable.

(31 bis)

Pour traiter les paiements numériques en ligne ou hors ligne, il est essentiel que les prestataires de services de paiement frontaux aient accès à la technologie NFC sur les appareils mobiles. Cette technologie comprend, entre autres, les antennes NFC et les éléments dits sécurisés des appareils mobiles [par exemple: carte à circuit intégré universelle (UICC), SE intégré (eSE), microSD, etc.]. Il est donc nécessaire de veiller à ce que, chaque fois que cela est nécessaire pour fournir des services de paiement, les fabricants d’équipements d’origine d’appareils mobiles ou les prestataires de services de communications électroniques ne refusent pas l’accès aux antennes NFC ni aux éléments sécurisés. Pour ce faire, dans l’économie numérique, les prestataires de services de paiement frontaux devraient être autorisés à stocker des logiciels sur le matériel informatique des appareils mobiles concernés afin de rendre les opérations techniquement possibles, tant en ligne que hors ligne. À cette fin, les fabricants d’équipements d’origine d’appareils mobiles et les prestataires de services de communications électroniques devraient être tenus de fournir, à des conditions équitables, raisonnables et non discriminatoires, un accès à tous les composants matériels et logiciels lorsque cela est nécessaire pour les opérations en ligne et hors ligne. Dans tous les cas, ces opérateurs devraient être tenus de fournir une capacité suffisante sur les fonctionnalités matérielles et logicielles pertinentes des appareils mobiles permettant de traiter les opérations de paiement en ligne et de stocker des fonds sur les appareils mobiles pour les opérations de paiement hors ligne. Cette obligation devrait être sans préjudice de l’article 6, paragraphe 7, du règlement (UE) 2022/1925 du Parlement européen et du Conseil (11) , qui oblige les contrôleurs d’accès à fournir, gratuitement, une interopérabilité effective avec les fonctionnalités du système d’exploitation, du matériel informatique ou des logiciels des appareils mobiles, ainsi qu’un accès à des fins d’opérabilité à ces fonctionnalités, ces dispositions étant applicables aux moyens de paiement numériques existants et nouveaux.

(32)

Les opérateurs de systèmes de paiement devraient avoir mis en place des règles et procédures d’accès proportionnées, objectives, non discriminatoires et transparentes. Les opérateurs de systèmes de paiement ne devraient pas opérer de discrimination à l’égard des établissements de paiement en ce qui concerne leur participation dès lors que les règles du système peuvent être respectées et qu’il n’y a pas de risque inacceptable pour le système. Ces systèmes comprennent, entre autres, ceux désignés au titre de la directive 98/26/CE du Parlement européen et du Conseil (12). Dans les cas où le système de paiement considéré fait déjà l’objet d’une surveillance par le système européen de banques centrales en vertu du règlement (UE) no 795/2014 (13) de la Banque centrale européenne, la ou les banques centrales qui exercent cette surveillance devraient contrôler le respect de ces règles dans le cadre de leur surveillance. Dans le cas d’autres systèmes de paiement, les États membres devraient désigner des autorités compétentes nationales chargées de veiller à ce que les opérateurs de l’infrastructure des systèmes de paiement respectent ces exigences.

(33)

Pour garantir une concurrence équitable entre prestataires de services de paiement, un participant à un système de paiement qui fournit des services liés à un tel système à un prestataire de services de paiement agréé ou enregistré devrait aussi, sur demande, donner accès à ces services, de manière objective, proportionnée et non discriminatoire, à tout autre prestataire de services de paiement agréé ou enregistré.

(34)

Les dispositions relatives à l’accès aux systèmes de paiement ne devraient pas s’appliquer aux systèmes dont un seul prestataire de services de paiement assure la mise en œuvre et le fonctionnement. Ces systèmes de paiement peuvent fonctionner soit en concurrence directe avec d’autres systèmes de paiement, soit, de manière plus courante, dans une niche du marché qui n’est pas couverte par d’autres systèmes de paiement. Ils couvrent les schémas faisant intervenir trois parties, tels que les schémas de cartes tripartites, dans la mesure où ils ne fonctionnent jamais comme des schémas de cartes de facto quadripartites, notamment en faisant appel à des titulaires de licence, à des agents ou à des partenaires de comarquage. Ces systèmes couvrent aussi en général les services de paiement proposés par des opérateurs de télécommunications, pour lesquels le gestionnaire du système est à la fois le prestataire de services de paiement du payeur et du bénéficiaire, ainsi que les systèmes internes des groupes bancaires. Pour stimuler la concurrence que ces systèmes de paiement fermés peuvent apporter par rapport aux systèmes de paiement ordinaires en place, il conviendrait de ne pas accorder à des tiers l’accès à ces systèmes de paiement fermés exclusifs. Néanmoins, ces systèmes fermés devraient continuer d’être soumis aux règles nationales et de l’Union en matière de concurrence, ce qui peut obliger à accorder l’accès à ces systèmes pour maintenir une concurrence effective sur les marchés de paiement.

(35)

Les établissements de paiement doivent être en mesure d’ouvrir et de gérer un compte auprès d’un établissement de crédit afin de satisfaire à leurs obligations pour l’agrément en ce qui concerne la protection des fonds de la clientèle. Toutefois, comme l’a notamment montré l’ABE dans son avis du 5 janvier 2022 (14), malgré les dispositions relatives aux comptes des établissements de paiement auprès d’une banque commerciale figurant dans la directive (UE) 2015/2366, certains établissements de paiement ou entreprises qui introduisent une demande d’agrément en tant qu’établissement de paiement sont toujours confrontés à des pratiques de certains établissements de crédit qui soit refusent de leur ouvrir un compte, soit clôturent leur compte lorsqu’il en existe un, en invoquant un risque perçu comme plus élevé de blanchiment de capitaux ou de financement du terrorisme. Ces pratiques dites de «réduction des risques» créent d’importantes difficultés en matière de concurrence pour les établissements de paiement.

(36)

Les établissements de crédit devraient donc fournir un compte de paiement aux établissements de paiement et aux demandeurs d’un agrément en tant qu’établissement de paiement, ainsi qu’à leurs agents et distributeurs, sauf dans des cas exceptionnels où il existe des motifs sérieux de refuser l’accès. Il est nécessaire d’inclure dans cette disposition les demandeurs d’un agrément en tant qu’établissement de paiement, étant donné qu’un compte bancaire sur lequel les fonds des clients peuvent être protégés est une condition préalable à l’obtention d’un agrément d’établissement de paiement. Les motifs de refus devraient être des motifs sérieux de soupçon d’activités illégales exercées par l’établissement de paiement ou par son intermédiaire, ou un modèle économique ou un profil de risque entraînant des risques graves ou des coûts de mise en conformité excessifs pour l’établissement de crédit. Par exemple, les modèles économiques dans lesquels les établissements de paiement recourent à un vaste réseau d’agents peuvent engendrer des coûts de mise en conformité importants en matière de lutte contre le blanchiment des capitaux et le financement du terrorisme (LBC/FT). Un établissement de paiement devrait avoir le droit de former un recours contre un refus d’un établissement de crédit auprès d’une autorité compétente désignée par un État membre. Afin de faciliter l’exercice de ce droit de recours, les établissements de crédit devraient motiver par écrit et de manière détaillée tout refus de fournir un compte ou toute clôture ultérieure d’un compte. Cette motivation devrait faire mention d’éléments particuliers relatifs à l’établissement de paiement concerné, et non de considérations générales ou génériques. Afin de faciliter le traitement par les autorités compétentes des recours formés contre un refus d’ouverture de compte ou une clôture de compte et contre la motivation de l’une ou de l’autre décision, l’ABE devrait élaborer des normes techniques d’exécution harmonisant la présentation de ces motivations.

(37)

Afin de faire des choix éclairés et de pouvoir choisir facilement leur prestataire de services de paiement au sein de l’Union, les utilisateurs de services de paiement devraient recevoir des informations comparables et claires sur les services de paiement. Afin que les utilisateurs de services de paiement reçoivent les informations nécessaires, suffisantes et compréhensibles relatives tant au contrat de services de paiement qu’aux opérations de paiement elles-mêmes, il convient de préciser et d’harmoniser les obligations des prestataires de services de paiement en ce qui concerne la fourniture d’informations aux utilisateurs de services de paiement.

(38)

Lorsqu’ils fournissent les informations requises aux utilisateurs de services de paiement, les prestataires de services de paiement devraient tenir compte des besoins des utilisateurs de services de paiement ainsi que des aspects pratiques et du rapport coût-efficacité en fonction du contrat de services de paiement concerné. Les prestataires de services de paiement devraient soit communiquer activement les informations au moment opportun, sans autre sollicitation de la part de l’utilisateur de services de paiement, soit mettre ces informations à la disposition des utilisateurs de services de paiement à leur demande. Dans la seconde situation, les utilisateurs de services de paiement devraient prendre activement des mesures afin d’obtenir les informations, notamment en les réclamant explicitement aux prestataires de services de paiement, en consultant leur compte bancaire en ligne ou en introduisant leur carte bancaire dans un appareil imprimant les extraits de comptes bancaires. À ces fins, les prestataires de services de paiement devraient veiller à ce qu’il soit possible d’avoir accès aux informations et à ce que ces informations soient mises à la disposition des utilisateurs de services de paiement.

(39)

Ne se trouvant pas dans la même situation de vulnérabilité, consommateurs et entreprises n’ont pas besoin du même niveau de protection. Alors qu’il importe de garantir les droits des consommateurs au moyen de dispositions auxquelles il n’est pas possible de déroger par contrat, il est judicieux de laisser les entreprises et les organisations en décider autrement lorsqu’elles n’ont pas affaire à des consommateurs. Ces décisions pourraient déterminer si l’authentification forte du client (AFC) s’applique ou non. Les microentreprises, au sens de la recommandation 2003/361/CE de la Commission (15), peuvent être traitées de la même manière que les consommateurs. Certaines règles devraient toujours s’appliquer, quel que soit le statut de l’utilisateur.

(40)

Afin de maintenir un niveau élevé de protection des consommateurs, ceux-ci devraient avoir le droit de recevoir gratuitement des informations sur les conditions et les prix des services avant d’être liés par un quelconque contrat de services de paiement. Afin de permettre aux consommateurs de comparer les services et les conditions proposés par les prestataires de services de paiement et, en cas de litige, de vérifier leurs droits et obligations contractuels, les consommateurs devraient être en mesure de demander ces informations et le contrat-cadre sur support papier, sans frais et à tout moment au cours de la relation contractuelle.

(41)

Afin d’accroître le niveau de transparence, les prestataires de services de paiement devraient communiquer au consommateur des informations de base sur les opérations de paiement effectuées, sans frais supplémentaires. Dans le cas d’une opération de paiement isolée, le prestataire de services de paiement ne devrait pas facturer ces informations séparément. De même, les prestataires de services de paiement devraient fournir gratuitement et mensuellement les informations ultérieures relatives aux opérations de paiement au titre d’un contrat-cadre. Cependant, compte tenu de l’importance que revêt la transparence en matière de tarification et des besoins différents des clients, les parties contractantes devraient pouvoir, d’un commun accord, fixer les frais qu’entraînerait la communication d’informations supplémentaires ou plus fréquentes.

(42)

Les instruments de paiement relatifs à des montants de faible valeur devraient constituer un moyen simple et bon marché de régler des biens et des services de faible prix et ne devraient pas être soumis à des exigences excessives. Les exigences d’information et les règles relatives à l’exécution qui leur sont applicables devraient donc être limitées aux informations essentielles, compte tenu également des capacités techniques que l’on est en droit d’attendre d’instruments spécialisés dans les paiements de faible valeur. Malgré ce régime allégé, les utilisateurs de services de paiement devraient bénéficier d’une protection adéquate étant donné les risques limités que présentent ces instruments de paiement, en particulier en ce qui concerne les instruments de paiement prépayés.

(43)

Pour les opérations de paiement isolées, les informations essentielles devraient toujours être communiquées à l’initiative des prestataires de services de paiement. Comme les payeurs sont en général présents lorsqu’ils donnent l’ordre de paiement, il ne devrait pas être nécessaire que les informations soient toujours fournies sur support papier ou sur un autre support durable. Les prestataires de services de paiement devraient pouvoir communiquer les informations verbalement ou les rendre aisément accessibles d’une autre manière, y compris en affichant les conditions sur un panneau d’information dans leurs locaux. Il conviendrait également d’indiquer où il est possible de trouver d’autres informations plus détaillées, notamment sur le site internet. Toutefois, lorsque le consommateur en fait la demande, les prestataires de services de paiement devraient également fournir les informations essentielles sur support papier ou sur un autre support durable.

(44)

Les informations requises devraient être proportionnées aux besoins des utilisateurs. Les exigences d’information applicables à une opération de paiement isolée devraient être différentes de celles applicables à un contrat-cadre prévoyant une série d’opérations de paiement.

(45)

Pour pouvoir choisir en connaissance de cause, les utilisateurs de services de paiement devraient être en mesure de comparer les frais des distributeurs automatiques de billets (DAB) avec ceux pratiqués par d’autres prestataires. Afin d’accroître la transparence des frais de DAB facturés aux utilisateurs de services de paiement, les prestataires de services de paiement devraient fournir à ces utilisateurs , dès l’initiation d’une opération, des informations sur tous les frais applicables aux retraits effectués aux DAB de l’Union dans différentes situations, en fonction du DAB auquel les utilisateurs de services de paiement retirent des espèces. En particulier, les DAB exploités par des établissements de crédit devraient afficher sous forme monétaire les frais fixes qu’un utilisateur devra payer pour retirer des espèces au DAB de l’établissement de crédit en question. Ces frais fixes devraient être affichés avant le moment ou au moment où l’utilisateur insère sa carte ou la passe devant le lecteur du DAB pour initier le processus de retrait d’espèces. Une plus grande transparence passe également par une meilleure information sur le taux de change de la part du prestataire de services de paiement, le cas échéant.

(46)

Les contrats-cadres et les opérations de paiement auxquels ils s’appliquent sont plus courants et plus importants du point de vue économique que les opérations de paiement isolées. S’il existe un compte de paiement ou un instrument de paiement spécifique, un contrat-cadre s’impose. Dès lors, les exigences relatives aux informations préalables sur les contrats-cadres devraient être détaillées, et ces informations devraient toujours être fournies sur support papier ou sur un autre support durable. Toutefois, les prestataires de services de paiement et les utilisateurs de services de paiement devraient pouvoir arrêter, dans le contrat-cadre, les modalités de la transmission des informations fournies par la suite sur les opérations de paiement effectuées.

(47)

Les dispositions contractuelles ne devraient pas introduire de discriminations en raison de la nationalité ou du lieu de résidence à l’égard de consommateurs qui résident légalement dans l’Union. Lorsqu’un contrat-cadre prévoit le droit de bloquer un instrument de paiement pour des raisons objectivement motivées, le prestataire de services de paiement ne devrait pas pouvoir invoquer ce droit simplement parce que l’utilisateur de services de paiement a changé de lieu de résidence dans l’Union.

(48)

Afin de garantir un niveau élevé de protection des consommateurs, les États membres devraient être en mesure, dans l’intérêt du consommateur, d’introduire ou de maintenir des restrictions ou des interdictions concernant les modifications unilatérales des termes d’un contrat-cadre, par exemple lorsqu’une modification n’est pas justifiée.

(49)

Afin de faciliter la mobilité des utilisateurs de services de paiement, ces derniers devraient pouvoir résilier sans frais un contrat-cadre. Cependant, pour les contrats résiliés par les utilisateurs de services de paiement moins de six mois après leur entrée en vigueur, les prestataires de services de paiement devraient être autorisés à imputer des frais en fonction des coûts dus à la résiliation du contrat-cadre par l’utilisateur. Lorsque, en vertu d’un contrat-cadre, des services de paiement sont proposés conjointement avec des services techniques qui soutiennent la prestation de services de paiement, tels que la location de terminaux utilisés pour les services de paiement, les utilisateurs de services de paiement ne devraient pas être prisonniers de leur prestataire de services de paiement au moyen de conditions plus onéreuses fixées dans les clauses contractuelles régissant les services techniques. Afin de préserver la concurrence, ces clauses contractuelles devraient être soumises aux mêmes exigences relatives aux frais de résiliation que le contrat-cadre. Pour les consommateurs, le délai de préavis convenu ne devrait pas être supérieur à un mois et, pour les prestataires de services de paiement, ce délai ne devrait pas être inférieur à deux mois. Ces règles devraient être sans préjudice de l’obligation qui est faite au prestataire de services de paiement de résilier le contrat de services de paiement dans des situations exceptionnelles en application d’une autre législation du droit de l’Union ou de droit national pertinente, telle que les législations relatives à la lutte contre le blanchiment de capitaux ou le financement du terrorisme, ou toute action visant au gel de fonds, ou toute mesure particulière liée à la prévention d’infractions ou aux enquêtes en la matière.

(50)

Pour permettre la comparabilité, les frais de conversion monétaire estimés pour les virements et les transmissions de fonds effectués au sein de l’Union et de l’Union vers un pays tiers devraient être exprimés de la même manière, à savoir en marge de pourcentage sur un taux de change de référence conforme au règlement (UE) 2016/1011 du Parlement européen et du Conseil (16) , et les frais de conversion monétaire qui en résultent, indiqués sous forme d’un montant monétaire dans la monnaie utilisée par le client pour initier la conversion monétaire. L’exactitude et l’intégrité de ces indices de référence, qui sont garanties par le régime applicable aux administrateurs d’indices de référence instauré par ledit règlement, protège les intérêts des clients des prestataires de services de paiement et des parties fournissant des services de conversion monétaire. Un prestataire de services de paiement devrait utiliser le même indice de référence de manière cohérente et pour les échanges effectués dans les deux sens. Lorsqu’il est fait référence aux «frais» dans le présent règlement, cela devrait également englober, s’il y a lieu, les frais de «conversion monétaire».

(51)

L’expérience a montré que le partage des frais entre payeur et bénéficiaire constituait la solution la plus efficiente, car elle facilite le traitement entièrement automatisé des paiements. Il conviendrait donc de prévoir que les frais sont directement prélevés sur le payeur et le bénéficiaire par leurs prestataires de services de paiement respectifs. Le montant des frais prélevé peut aussi être nul car les règles appliquées ne devraient pas avoir d’incidence sur la pratique selon laquelle un prestataire de services de paiement ne facture pas aux consommateurs le fait de créditer leur compte. De même, selon les clauses du contrat, un prestataire de services de paiement peut ne facturer l’utilisation du service de paiement qu’au bénéficiaire, auquel cas aucun frais n’est imputé au payeur. Il est possible que les systèmes de paiement imposent des frais au moyen d’une cotisation d’abonnement. Les dispositions concernant le montant transféré ou les frais prélevés n’ont aucun effet direct sur les tarifs appliqués entre les prestataires de services de paiement ou les autres intermédiaires.

(52)

La surfacturation consiste en des frais que les commerçants facturent aux consommateurs en plus du prix demandé pour les biens et les services lorsque les consommateurs utilisent un certain mode de paiement. L’une des raisons de la surfacturation est d’orienter les consommateurs vers des instruments de paiement moins chers ou plus efficaces, favorisant ainsi la concurrence entre différents modes de paiement. Dans le cadre du régime instauré par la directive (UE) 2015/2366, les bénéficiaires ont été empêchés d’appliquer des frais pour l’utilisation d’instruments de paiement pour lesquels les commissions d’interchange sont régies par le chapitre II du règlement (UE) 2015/751, c’est-à-dire pour les cartes de débit et de crédit des consommateurs émises dans le cadre de schémas de cartes quadripartites, et pour les services de paiement auxquels s’applique le règlement (UE) no 260/2012 du Parlement européen et du Conseil (17), c’est-à-dire pour les opérations de virement et de prélèvement libellées en euros au sein de l’Union. Les États membres étaient autorisés par la directive (UE) 2015/2366 à continuer d’interdire ou de limiter le droit du bénéficiaire d’appliquer des frais compte tenu de la nécessité d’encourager la concurrence et de favoriser l’utilisation de moyens de paiement efficaces. Il est nécessaire d’harmoniser cette approche afin de favoriser des conditions de concurrence équitables dans l’Union et, par conséquent, de promulguer une interdiction totale de la surfacturation dans l’ensemble de l’Union.

(53)

▌ Lors de son réexamen de la directive (UE) 2015/2366, la Commission a constaté un manque d’harmonisation permettant la surfacturation pour les instruments de paiement et des interprétations divergentes concernant les instruments de paiement soumis à l’interdiction de surfacturation. Il est donc nécessaire d’étendre explicitement l’interdiction de surfacturation à tous les instruments de paiement, y compris les virements et prélèvements, et pas seulement à ceux auxquels s’applique le règlement (UE) no 260/2012, comme c’était le cas dans le cadre de la directive (UE) 2015/2366.

(54)

Les services d’information sur les comptes et les services d’initiation de paiement, souvent dénommés collectivement «services de banque ouverte», sont des services de paiement qui supposent l’accès aux données d’un utilisateur de services de paiement de la part de prestataires de services de paiement qui ne détiennent pas les fonds du titulaire du compte ni ne gèrent de comptes de paiement. Les services d’information sur les comptes permettent, à la demande d’un utilisateur de services de paiement, d’agréger en un seul endroit les données de ce dernier provenant de différents prestataires de services de paiement gestionnaires de comptes. Les services d’initiation de paiement permettent d’initier un paiement à partir du compte de l’utilisateur, tel qu’un virement ou un prélèvement, d’une manière pratique pour l’utilisateur et le bénéficiaire, sans recourir à un instrument tel qu’une carte de paiement.

(55)

Les prestataires de services de paiement gestionnaires de comptes devraient permettre aux prestataires de services d’information sur les comptes et de services d’initiation de paiement d’avoir accès aux données relatives aux comptes de paiement si l’utilisateur de services de paiement peut accéder au compte de paiement en ligne et qu’il a accordé une permission pour cet accès. La directive (UE) 2015/2366 était fondée sur le principe de l’accès aux données relatives aux comptes de paiement sans qu’il soit nécessaire d’établir une relation contractuelle entre le prestataire de services de paiement gestionnaire du compte et les prestataires de services d’information sur les comptes et de services d’initiation de paiement, ce qui a eu pour effet d’empêcher, dans la pratique, la facturation de l’accès aux données. Depuis l’application de la directive (UE) 2015/2366, l’accès aux données dans le cadre de la banque ouverte s’effectue sur une telle base non contractuelle et sans frais. Si les services réglementés d’accès aux données devaient être soumis à des frais, alors qu’il n’y avait pas de frais jusqu’à présent, l’incidence sur la poursuite de la prestation de ces services, partant sur la concurrence et l’innovation sur les marchés des paiements, pourrait être très importante. Ce principe devrait dès lors être maintenu. Le maintien de cette approche est conforme aux chapitres III et IV de la proposition de règlement fixant des règles harmonisées pour l’équité de l’accès aux données et de l’utilisation des données (règlement sur les données) (18), en particulier à l’article 9, paragraphe 3, de ladite proposition sur la compensation, que le présent règlement ne remet pas en cause. La proposition de règlement de la Commission sur l’accès aux données financières (FIDA) prévoit une possibilité de compensation pour l’accès aux données relevant du règlement FIDA. Ce régime serait donc différent de celui réglé par le présent règlement. Cette différence de traitement est justifiée par le fait que, contrairement à l’accès aux données relatives aux comptes de paiement, qui est réglementé par le droit de l’Union depuis l’entrée en vigueur de la directive (UE) 2015/2366, l’accès aux autres données financières n’est pas encore soumis à la réglementation de l’Union. Il n’y a donc pas de risque de perturbation car, contrairement à l’accès aux données relatives aux comptes de paiement, il s’agit d’un marché émergent, qui sera réglementé pour la première fois par le règlement FIDA.

(56)

Les prestataires de services de paiement gestionnaires de comptes et les prestataires de services d’information sur les comptes et de services d’initiation de paiement peuvent établir une relation contractuelle, y compris dans le cadre d’un accord contractuel multilatéral (par exemple un schéma), avec possibilité de compensation, pour encadrer l’accès aux données relatives aux comptes de paiement et la prestation de services de banque ouverte autres que ceux requis par le présent règlement. Un exemple de ces services à valeur ajoutée proposés au moyen d’interfaces de programmation d’applications (API) dites «premium» est la possibilité de programmer des paiements récurrents variables futurs. Toute compensation pour ces services devrait être conforme aux chapitres III et IV de la proposition de règlement sur les données une fois que ce texte sera entré en application, notamment en ce qui concerne l’article 9, paragraphes 1 et 2, sur la compensation. Il devrait toujours être possible, pour les prestataires de services d’information sur les comptes et de services d’initiation de paiement, d’avoir accès aux données relatives aux comptes de paiement régies par le présent règlement sans obligation de relation contractuelle, et dès lors sans frais, même dans les cas où un accord contractuel multilatéral (par exemple un schéma) existe et où les mêmes données sont également disponibles dans le cadre dudit accord.

(57)

Afin de garantir un niveau élevé de sécurité en matière d’accès aux données et d’échange de données, l’accès aux comptes de paiement et aux données qu’ils contiennent devrait, sauf circonstances particulières, être accordé aux prestataires de services d’information sur les comptes et de services d’initiation de paiement par l’intermédiaire d’une interface conçue et spécifique à des fins de banque ouverte, telle qu’une API. À cette fin, le prestataire de services de paiement gestionnaire du compte devrait établir une communication sécurisée avec les prestataires de services d’information sur les comptes et de services d’initiation de paiement. Afin d’éviter toute incertitude concernant l’identité des personnes qui ont accès aux données de l’utilisateur de services de paiement, l’interface spécifique devrait permettre aux prestataires de services d’information sur les comptes et de services d’initiation de paiement de s’identifier auprès du prestataire de services de paiement gestionnaire du compte et de recourir à toutes les procédures d’authentification que le prestataire de services de paiement gestionnaire du compte propose à l’utilisateur de services de paiement. Les prestataires de services d’information sur les comptes et les prestataires de services d’initiation de paiement devraient, en règle générale, utiliser l’interface spécifique pour accéder aux données et ne devraient donc pas utiliser l’interface client d’un prestataire de services de paiement gestionnaire du compte pour accéder à ces données, sauf en cas de défaillance ou d’indisponibilité de l’interface spécifique dans les conditions énoncées dans le présent règlement. En pareilles circonstances, la continuité de leurs activités serait compromise par leur incapacité à accéder aux données pour lesquelles ils ont obtenu une permission. Il est indispensable que les prestataires de services d’information sur les comptes et de services d’initiation de paiement soient à tout moment en mesure d’accéder aux données dont ils ont impérativement besoin pour offrir des services à leurs clients.

(57 bis)

Les prestataires de services de paiement gestionnaires de comptes ne devraient pas être tenus d’offrir, lorsque l’interface spécialisée n’est pas disponible, une autre interface que l’interface que le prestataire de services de paiement gestionnaire de comptes utilise pour l’authentification et la communication avec ses utilisateurs pour l’accès aux données des comptes de paiement.

(58)

Afin de faciliter la bonne utilisation de l’interface spécifique, ses spécifications techniques devraient être dûment documentées et un résumé devrait être mis à la disposition du public par le prestataire de services de paiement gestionnaire du compte. Afin de permettre aux prestataires de services de banque ouverte de préparer correctement leur accès futur et de résoudre tout problème technique éventuel, le prestataire de services de paiement gestionnaire du compte devrait permettre aux prestataires de services d’information sur les comptes et de services d’initiation de paiement de tester une interface avant la date d’activation de cette interface. Seuls les prestataires agréés de services d’information sur les comptes et de services d’initiation de paiement devraient avoir accès aux données relatives aux comptes de paiement au moyen de cette interface, mais les demandeurs d’agrément en tant que prestataires de services d’information sur les comptes et de prestataires de services d’initiation de paiement devraient pouvoir consulter les spécifications techniques. Afin de garantir l’interopérabilité des différentes solutions de communication technologiques, l’interface devrait utiliser des normes de communication mises au point par des organisations européennes ou internationales de normalisation telles que le Comité européen de normalisation (CEN) ou l’Organisation internationale de normalisation (ISO).

(59)

Pour que les prestataires de services d’information sur les comptes et de services d’initiation de paiement assurent à tout moment la continuité de leurs activités et puissent fournir des services de haute qualité à leurs clients, l’interface spécifique qu’ils sont censés utiliser doit satisfaire à des exigences élevées sur le plan des performances et des fonctionnalités. Elle devrait au minimum garantir la «parité des données» avec l’interface client que le prestataire de services de paiement gestionnaire de comptes fournit à ses utilisateurs et, par conséquent, inclure les données relatives aux comptes de paiement qui sont également à la disposition des utilisateurs de services de paiement dans l’interface qui leur est fournie par le prestataire de services de paiement gestionnaire de comptes. En ce qui concerne les services d’initiation de paiement, l’interface spécifique devrait permettre non seulement l’initiation de paiements isolés, mais aussi d’ordres permanents et de prélèvements. Des exigences plus détaillées relatives aux interfaces spécifiques devraient être définies dans les normes techniques de réglementation élaborées par l’ABE.

(60)

Compte tenu de l’incidence catastrophique qu’une indisponibilité prolongée d’une interface spécifique aurait sur la continuité des activités des prestataires de services d’information sur les comptes et de services d’initiation de paiement, les prestataires de services de paiement gestionnaires de comptes devraient remédier à une telle indisponibilité sans tarder. Les prestataires de services de paiement gestionnaires de comptes devraient informer, dans les plus brefs délais, les prestataires de services d’information sur les comptes et de services d’initiation de paiement de toute indisponibilité de leur interface spécifique et des mesures prises pour y remédier. En cas d’indisponibilité d’une interface spécifique et lorsque le prestataire de services de paiement gestionnaire du compte ne propose aucune autre solution efficace, les prestataires de services d’information sur les comptes et de services d’initiation de paiement devraient être en mesure de préserver la continuité de leurs activités. Ils devraient être autorisés à demander à leur autorité compétente nationale de pouvoir utiliser l’interface que le prestataire de services de paiement gestionnaire de comptes fournit à ses utilisateurs jusqu’à ce que l’interface spécifique soit à nouveau disponible. L’autorité compétente devrait prendre sa décision sans tarder après réception de la demande. Dans l’attente de la décision de l’autorité, les prestataires de services d’information sur les comptes et de services d’initiation de paiement dont émane la demande devraient être autorisés à utiliser temporairement l’interface que le prestataire de services de paiement gestionnaire de comptes fournit à ses utilisateurs. L’autorité compétente concernée devrait fixer un délai au prestataire de services de paiement gestionnaire de comptes pour qu’il rétablisse le bon fonctionnement de l’interface spécifique et prévoir la possibilité de sanctions en cas de non-respect de ce délai. Tous les prestataires de services d’information sur les comptes et de services d’initiation de paiement, et pas seulement ceux qui ont introduit la demande, devraient être autorisés à avoir accès aux données dont ils ont besoin pour assurer la continuité de leurs activités.

(61)

Un tel accès direct temporaire ne devrait pas avoir d’effet négatif sur les consommateurs. Aussi les prestataires de services d’information sur les comptes et de services d’initiation de paiement devraient-ils toujours dûment s’identifier et respecter toutes leurs obligations, telles que les limites de la permission qui leur a été accordée, et ne devraient notamment accéder qu’aux données dont ils ont besoin pour satisfaire à leurs obligations contractuelles et fournir le service réglementé. Il ne devrait jamais être possible d’avoir accès aux données relatives aux comptes de paiement sans identification correcte (c’est-à-dire en pratiquant ce que l’on appelle la «capture de données d’écran» ou le «screen scraping»).

(62)

Étant donné que la mise en place d’une interface spécifique pourrait, pour certains prestataires de services de paiement gestionnaires de comptes, être considérée comme une charge disproportionnée, une autorité compétente nationale devrait être en mesure d’exempter un prestataire de services de paiement gestionnaire de comptes, à sa demande, de l’obligation de disposer d’une interface spécifique d’accès aux données, et de l’autoriser soit à ne proposer un accès aux données de paiement que par l’intermédiaire de son «interface client», soit à ne proposer aucune interface d’accès aux données de banque ouverte. L’accès aux données par l’intermédiaire de l’interface client (sans interface spécifique) peut être approprié dans le cas d’un prestataire de services de paiement gestionnaire de comptes de très petite taille, pour lequel une interface spécifique représenterait une charge financière et une charge en ressources importantes. Le fait d’être exempté de l’obligation de maintenir une interface d’accès aux données nécessaires à la banque ouverte peut se justifier lorsque le prestataire de services de paiement gestionnaire de comptes a un modèle économique particulier, dans le cadre duquel, par exemple, les services de banque ouverte ne présenteraient pas d’intérêt pour ses clients. Des critères détaillés concernant l’octroi de ces différents types de décisions d’exemption devraient être définis dans les normes techniques de réglementation élaborées par l’ABE.

(63)

Pour exploiter pleinement le potentiel de la banque ouverte dans l’Union, il est essentiel d’empêcher tout traitement discriminatoire des prestataires de services d’information sur les comptes et de services d’initiation de paiement par les prestataires de services de paiement gestionnaires de comptes. Lorsque l’utilisateur de services de paiement décide d’avoir recours aux services d’un prestataire de services d’information sur les comptes ou d’un prestataire de services d’initiation de paiement, le prestataire de services de paiement gestionnaire du compte devrait traiter cet ordre de la même manière qu’il traiterait une telle demande si elle était faite directement par l’utilisateur de services de paiement dans son «interface client», à moins que le prestataire de services de paiement gestionnaire du compte n’ait des raisons objectives de traiter différemment cette demande d’accès au compte, notamment des soupçons sérieux de fraude.

(64)

En ce qui concerne la prestation de services d’initiation de paiement, le prestataire de services de paiement gestionnaire du compte devrait fournir au prestataire de services d’initiation de paiement toutes les informations dont il dispose sur l’exécution de l’opération de paiement immédiatement après la réception de l’ordre de paiement. Il arrive parfois que le prestataire de services de paiement gestionnaire du compte prenne connaissance d’informations supplémentaires après avoir reçu l’ordre de paiement, mais avant d’avoir exécuté l’opération de paiement. Lorsque ces informations supplémentaires présentent un intérêt pour l’ordre de paiement et pour l’exécution de l’opération de paiement, le prestataire de services de paiement gestionnaire du compte devrait les communiquer au prestataire de services d’initiation de paiement. Le prestataire de services d’initiation de paiement ne devrait bénéficier que des informations nécessaires pour évaluer les risques de non-exécution de l’opération initiée. Ces informations sont indispensables pour permettre au prestataire de services d’initiation de paiement d’offrir au bénéficiaire pour le compte duquel il initie l’opération un service dont la qualité puisse concurrencer d’autres moyens de paiement électronique mis à la disposition du bénéficiaire, dont les cartes de paiement.

(65)

Pour renforcer la confiance dans la banque ouverte, il est essentiel que les utilisateurs de services de paiement qui utilisent les services d’information sur les comptes et d’initiation de paiement aient la pleine maîtrise de leurs données et aient accès à des informations claires sur les permissions d’accès aux données qu’ils ont accordées aux prestataires de services de paiement, notamment la finalité de la permission et les catégories de données relatives aux comptes de paiement qui sont concernées, telles que les données d’identité du compte, l’opération et le solde du compte. Les prestataires de services de paiement gestionnaires de comptes devraient par conséquent mettre à la disposition des utilisateurs de services de paiement qui recourent à ces services un «tableau de bord» pour qu’ils puissent contrôler et retirer ▌l’accès aux données qu’ils ont accordé aux prestataires de services de «banque ouverte». Les permissions d’initiation de paiements isolés ne devraient pas figurer sur ce tableau de bord. Un tableau de bord peut ne pas permettre à un utilisateur de services de paiement d’établir de nouvelles permissions d’accès aux données en faveur d’un prestataire de services d’information sur les comptes ou de services d’initiation de paiement auquel aucun accès aux données n’a été accordé antérieurement. Les prestataires de services de paiement gestionnaires de comptes devraient informer rapidement les prestataires de services d’information sur les comptes et de services d’initiation de paiement de tout retrait de leur accès aux données. Les prestataires de services d’information sur les comptes et de services d’initiation de paiement devraient informer rapidement les prestataires de services de paiement gestionnaires de comptes des permissions d’accès aux données, nouvelles ou rétablies, accordées par les utilisateurs de services de paiement, y compris de la durée de validité de la permission et de la finalité de celle-ci (en particulier si les données sont consolidées dans l’intérêt de l’utilisateur ou en vue de leur transmission à un tiers). Un prestataire de services de paiement gestionnaire du compte ne devrait, en aucune façon, encourager un utilisateur de services de paiement à retirer les permissions qu’il a accordées à des prestataires de services d’information sur les comptes et de services d’initiation de paiement. Le tableau de bord devrait avertir l’utilisateur de services de paiement par une formule type du risque d’éventuelles conséquences contractuelles en cas de retrait de l’accès aux données accordé à un prestataire de services de banque ouverte, étant donné que le tableau de bord ne gère pas la relation contractuelle entre l’utilisateur et un prestataire de services de banque ouverte mais qu’il appartient à l’utilisateur de services de paiement de vérifier ce risque. Un tableau de bord des permissions devrait donner aux clients les moyens de gérer, de manière éclairée et impartiale, les permissions qu’ils accordent et donner aux clients un haut niveau de maîtrise de la manière dont leurs données à caractère personnel et non personnel sont utilisées. Un tableau de bord des permissions devrait tenir compte, s’il y a lieu, des exigences en matière d’accessibilité prévues par la directive (UE) 2019/882 du Parlement européen et du Conseil.

(65 bis)

Le terme «permission» employé dans le présent règlement ne devrait pas s’entendre au sens du terme «consentement» défini dans le règlement (UE) 2016/679, auquel s’appliquent les exigences de ce règlement. Une «permission» en vertu du présent règlement désigne l’autorisation donnée par un utilisateur de services de paiement en vue d’exécuter une opération de paiement ou d’accéder aux données relatives aux informations sur un compte. Cette exigence est sans préjudice de l’application du règlement (UE)2016/679 et de la directive 2005/29/CE du Parlement européen et du Conseil (19) .

(65 ter)

L’ABE devrait élaborer un projet de normes techniques de réglementation dans lequel elle établirait une liste normalisée de catégories d’informations à communiquer sur le tableau de bord.

(66)

Le réexamen de la directive (UE) 2015/2366 a révélé que les prestataires de services d’information sur les comptes et de services d’initiation de paiement étaient toujours exposés à de nombreux obstacles injustifiés, malgré le niveau d’harmonisation atteint et l’interdiction de ces obstacles imposée par l’article 32, paragraphe 3, du règlement délégué (UE) 2018/389 de la Commission (20). Ces obstacles entravent encore considérablement l’exploitation du plein potentiel de la banque ouverte dans l’Union. Ils sont régulièrement signalés par les prestataires de services d’information sur les comptes et de services d’initiation de paiement aux autorités de surveillance et de régulation et à la Commission. Ils ont été analysés par l’ABE dans son avis de juin 2020 intitulé «Opinion of the European Banking Authority on obstacles under Article 32(3) of the RTS on SCA and CSC» . Malgré les efforts de clarification entrepris, de nombreuses incertitudes subsistent, tant sur le marché qu’au sein des autorités de surveillance, sur ce qui constitue une «entrave interdite» aux services de banque ouverte réglementés. Il est donc indispensable de fournir une liste claire et non exhaustive de ces entraves interdites à la banque ouverte, en s’appuyant notamment sur les travaux menés par l’ABE.

(67)

L’obligation de préserver la sécurité des données de sécurité personnalisées est cruciale pour protéger les fonds de l’utilisateur de services de paiement et pour limiter les risques liés à la fraude et à l’accès non autorisé aux comptes de paiement. Cependant, les conditions et autres obligations imposées aux utilisateurs de services de paiement par les prestataires de services de paiement pour ce qui est de préserver la sécurité des données de sécurité personnalisées ne devraient pas être libellées de telle façon que les utilisateurs de services de paiement seraient empêchés de profiter des services proposés par d’autres prestataires de services de paiement, y compris des services d’initiation de paiement et des services d’information sur les comptes. Les conditions en question ne devraient contenir aucune disposition qui compliquerait d’une quelconque façon l’utilisation des services de paiement d’autres prestataires de services de paiement agréés ou enregistrés en vertu de la directive (UE) XXX (DSP3). Il convient en outre de préciser qu’en ce qui concerne les activités des prestataires de services d’initiation de paiement et des prestataires de services d’information sur les comptes, le nom du titulaire du compte et le numéro de compte ne constituent pas des données de paiement sensibles.

(68)

Pour atteindre entièrement ses objectifs, la «banque ouverte» nécessite un contrôle rigoureux et effectif du respect des règles qui régissent cette activité. Étant donné qu’il n’existe pas d’autorité unique au niveau de l’Union pour faire respecter les droits et obligations liés à la «banque ouverte», les autorités compétentes nationales sont le premier niveau de contrôle du respect des règles en matière de banque ouverte. Il est donc essentiel que les autorités compétentes nationales veillent de manière proactive et rigoureuse au respect du cadre réglementé de l’Union en matière de «banque ouverte». Un contrôle insuffisant par les autorités compétentes du respect de ces règles est régulièrement présenté par les opérateurs de banque ouverte comme l’une des raisons de son adoption encore limitée dans l’Union. Les autorités compétentes nationales devraient disposer des ressources appropriées pour s’acquitter de manière efficace et efficiente de leurs tâches de contrôle du respect. Les autorités compétentes nationales devraient promouvoir et faciliter un dialogue fluide et régulier entre les différents acteurs de l’écosystème de la «banque ouverte». Les prestataires de services de paiement gestionnaires de comptes et les prestataires de services d’information sur les comptes et de services d’initiation de paiement qui ne respectent pas leurs obligations devraient faire l’objet de sanctions appropriées. La surveillance régulière du marché de la «banque ouverte» dans l’Union par les autorités compétentes, coordonnées par l’ABE, devrait faciliter le contrôle du respect de la législation, et la collecte de données sur le marché de la «banque ouverte» comblera une lacune dans les données qui existe actuellement et qui empêche de mesurer efficacement l’adoption effective de la «banque ouverte» dans l’Union. Les prestataires de services de paiement gestionnaires de comptes et les prestataires de services d’information sur les comptes et de services d’initiation de paiement devraient avoir accès aux organismes de règlement des litiges, conformément à l’article 10 de la proposition de règlement sur les données, lorsque ledit règlement sera entré en vigueur.

(69)

L’utilisation parallèle des termes «consentement explicite» dans la directive (UE) 2015/2366 et dans le règlement (UE) 2016/679 du Parlement européen et du Conseil (21) a donné lieu à des interprétations erronées. L’objet du consentement explicite au sens de l’article 94, paragraphe 2, de la directive (UE) 2015/2366 est la permission d’obtenir l’accès à ces données à caractère personnel afin de pouvoir traiter et stocker les données à caractère personnel qui sont nécessaires aux fins de la prestation du service de paiement. Il conviendrait par conséquent d’apporter une clarification afin d’accroître la sécurité juridique et d’établir une distinction claire avec les règles relatives à la protection des données. Là où les termes «consentement explicite» ont été employés dans la directive (UE) 2015/2366, c’est le terme «permission» qu’il conviendrait d’employer dans le présent règlement. Lorsqu’il est fait référence à une «permission», cette référence devrait s’entendre sans préjudice des obligations incombant aux prestataires de services de paiement en application de l’article 6 du règlement (UE) 2016/679. La permission ne devrait, dès lors, pas être interprétée exclusivement comme un «consentement» ou un «consentement explicite» au sens du règlement (UE) 2016/679.

(70)

Pour accroître la confiance des utilisateurs de services de paiement dans les virements et faire en sorte qu’ils les utilisent, il est essentiel de garantir la sécurité de ces virements. Lorsqu’un payeur souhaite envoyer un virement à un bénéficiaire donné, il peut arriver qu’il fournisse, à la suite d’une fraude ou par erreur, un identifiant unique qui n’est pas celui d’un compte détenu par ce bénéficiaire. Afin de contribuer à la réduction des fraudes et des erreurs, les utilisateurs de services de paiement devraient bénéficier d’un service permettant de vérifier si l’identifiant unique du bénéficiaire et le nom, ou un autre identifiant tel qu’un numéro fiscal, un identifiant unique européen tel que visé à l’article 16, paragraphe 1, deuxième alinéa, de la directive (UE) 2017/1132 du Parlement européen et du Conseil (22) , ou un identifiant d’entité juridique (IEJ), qui identifie sans ambiguïté le bénéficiaire, fournis par le payeur concordent, et de notifier à ce payeur toute divergence éventuellement détectée. L’identifiant unique ne doit pas nécessairement être le numéro de compte bancaire international (IBAN). Ces services, dans les pays où ils existent, ont eu une incidence positive considérable sur le niveau de fraude et d’erreurs. Compte tenu de l’importance de ce service pour la prévention des fraudes et des erreurs, il devrait être mis gratuitement à la disposition des consommateurs. Afin que le traitement de l’opération ne soit pas indûment bloqué ou retardé, le prestataire de services de paiement du payeur devrait émettre cette notification en l’espace de quelques secondes seulement à compter du moment où le payeur a saisi les informations relatives au bénéficiaire. Le prestataire de services de paiement du payeur devrait donner notification au payeur avant que ce dernier n’autorise l’opération envisagée, afin qu’il puisse décider s’il convient ou non de procéder à celle-ci. Certaines solutions d’initiation de virement peuvent être mises à la disposition des payeurs pour leur permettre de passer un ordre de paiement sans qu’ils aient à saisir eux-mêmes l’identifiant unique. En effet, ces éléments de données sont fournis par le fournisseur de cette solution d’initiation. En pareils cas, un service de vérification de la concordance entre l’identifiant unique et le nom du bénéficiaire n’est pas nécessaire, étant donné que le risque de fraude ou d’erreurs est considérablement réduit.

(71)

Le règlement (UE) XXX modifiant le règlement (UE) no 260/2012 prévoit qu’un service de vérification de la concordance entre l’identifiant unique et le nom ou un autre identifiant du bénéficiaire doit être proposé aux utilisateurs de virements instantanés en euros. Afin d’obtenir un cadre cohérent pour l’ensemble des virements tout en évitant tout chevauchement indu, le service de vérification prévu dans le présent règlement ne devrait s’appliquer qu’aux virements qui ne relèvent pas du règlement (UE) XXX modifiant le règlement (UE) no 260/2012.

(72)

Certaines caractéristiques du nom du bénéficiaire sur le compte duquel le payeur souhaite faire un virement peuvent accroître la probabilité que le prestataire de services de paiement détecte une divergence, notamment la présence de signes diacritiques ou l’existence de plusieurs translittérations possibles du nom dans différents alphabets, le fait que le nom d’usage diffère du nom indiqué sur les documents d’identité officiels dans le cas d’une personne physique, ou le fait que le nom commercial diffère de la dénomination sociale dans le cas d’une personne morale. Afin d’éviter que le traitement de virements ne soit indûment bloqué et de faciliter la décision du payeur de procéder ou non à l’opération envisagée, les prestataires de services de paiement devraient préciser le degré de cette divergence, en indiquant dans la notification s’il y a absence de concordance ou «quasi»-concordance.

(73)

Le fait d’autoriser une opération de paiement bien que le service de vérification de la concordance ait détecté une divergence et l’ait notifiée à l’utilisateur de services de paiement peut conduire à ce que les fonds soient virés au mauvais bénéficiaire. Les prestataires de services de paiement devraient informer les utilisateurs de services de paiement des conséquences possibles de leur choix de ne pas tenir compte de la divergence notifiée et de procéder à l’exécution de l’opération. Tout au long de leur relation contractuelle avec un prestataire de services de paiement, les utilisateurs de services de paiement devraient avoir la possibilité de renoncer à utiliser un tel service. Après avoir renoncé à ce service, les utilisateurs de services de paiement devraient avoir la possibilité d’y avoir de nouveau recours.

(74)

L’utilisateur de services de paiement devrait notifier dès que possible au prestataire de services de paiement toute contestation relative à des opérations de paiement prétendument non autorisées ou mal exécutées ou à des virements autorisés alors que le service de vérification de la concordance dysfonctionnait, à condition que le prestataire de services de paiement ait satisfait à ses obligations d’information. Si l’utilisateur de services de paiement a respecté le délai de notification, il devrait pouvoir faire valoir ces réclamations sous réserve des délais nationaux de prescription. Cela ne devrait pas avoir d’incidence sur les autres litiges entre utilisateurs et prestataires de services de paiement.

(75)

Il y a lieu de prévoir la répartition des pertes en cas d’opérations de paiement non autorisées ou de certains virements autorisés. Des dispositions différentes peuvent s’appliquer à des utilisateurs de services de paiement qui ne sont pas des consommateurs, de tels utilisateurs étant généralement plus à même d’apprécier le risque de fraude et de prendre des mesures compensatoires. Afin de garantir un niveau élevé de protection des consommateurs, le payeur devrait toujours être en droit d’adresser sa demande de remboursement à son prestataire de services de paiement gestionnaire du compte, même lorsqu’un prestataire de services d’initiation de paiement intervient dans l’opération de paiement. Cette disposition serait sans préjudice de la répartition des responsabilités entre les prestataires de services de paiement.

(76)

Dans le cas des services d’initiation de paiement, la répartition des responsabilités entre le prestataire de services de paiement qui gère le compte et le prestataire de services d’initiation de paiement intervenant dans l’opération devrait contraindre ceux-ci à assumer la responsabilité des parties de l’opération qui sont sous leur contrôle respectif.

(76 bis)

Pour que l’utilisateur de services de paiement puisse avoir plus facilement accès au prestataire de services de paiement, ce dernier devrait créer et fournir un canal de communication pour permettre à l’utilisateur de services de paiement de procéder à une notification ou de demander le déblocage de l’instrument de paiement conformément au présent règlement. Ce canal devrait également permettre à l’utilisateur de services de paiement de procéder à une notification à propos d’une opération frauduleuse, de recevoir des conseils qualifiés lorsqu’il soupçonne d’être victime d’une attaque frauduleuse et de signaler les problèmes concernant les paiements effectués, tels que des erreurs commises par les machines de paiement lors de paiements.

(77)

En cas d’opération de paiement non autorisée, le prestataire de services de paiement devrait immédiatement rembourser le montant de cette opération au payeur. Toutefois, s’il existe de forts soupçons qu’une opération non autorisée résulte d’un comportement frauduleux du payeur et que ces soupçons reposent sur des raisons objectives qui sont communiquées à l’autorité nationale concernée par le prestataire de services de paiement, ce dernier devrait être en mesure de mener une enquête avant de rembourser le payeur. Le prestataire de services de paiement devrait, dans un délai de 14 jours ouvrables après avoir pris connaissance de l’opération ou après en avoir été informé, soit rembourser au payeur le montant de l’opération de paiement non autorisée, soit fournir au payeur les motifs et les éléments justifiant le refus de remboursement et indiquer les organismes que le payeur peut alors saisir s’il n’accepte pas les motifs invoqués. Afin de protéger le payeur contre tout préjudice, la date de valeur du remboursement ne devrait pas être postérieure à la date à laquelle le montant a été débité. Afin d’inciter l’utilisateur de services de paiement à signaler dans les meilleurs délais au prestataire de services de paiement le vol ou la perte d’un instrument de paiement et de limiter ainsi le risque d’opérations de paiement non autorisées, la responsabilité de l’utilisateur ne devrait être engagée, sauf agissement frauduleux ou négligence grave de sa part, qu’à concurrence d’un montant très limité. Dans ce contexte, un montant de 50 EUR semble adéquat pour garantir un niveau élevé et harmonisé de protection des utilisateurs dans l’Union. La responsabilité du payeur ne devrait pas être engagée lorsque celui-ci n’est pas en mesure de prendre conscience de la perte, du vol ou du détournement de l’instrument de paiement. En outre, une fois qu’il a informé le prestataire de services de paiement du risque d’utilisation frauduleuse de son instrument de paiement, l’utilisateur de services de paiement ne devrait pas être tenu de couvrir toute autre perte pouvant résulter de cette utilisation frauduleuse. Les prestataires de services de paiement devraient être responsables de la sécurité technique de leurs propres produits.

(78)

Des dispositions en matière de responsabilité dans le cas de virements autorisés pour lesquelles il y a eu une application incorrecte ou un dysfonctionnement du service de détection des divergences entre le nom ou un autre identifiant et l’identifiant unique d’un bénéficiaire créeraient des incitations appropriées pour que les prestataires de services de paiement fournissent un service pleinement opérationnel, dans le but de réduire le risque d’autorisations de paiement reposant sur une mauvaise information. Si le payeur a décidé de recourir à un tel service, son prestataire de services de paiement devrait être tenu pour responsable du montant total du virement dans les cas où ce prestataire de services de paiement a omis de notifier au payeur une divergence entre l’identifiant unique ou tout autre proxy défini par l’ABE et le nom du bénéficiaire fourni par le payeur alors qu’il aurait dû notifier cette divergence si le service avait correctement fonctionné, et où cette omission a causé un préjudice financier au payeur. Lorsque la responsabilité du prestataire de services de paiement du payeur est imputable au prestataire de services de paiement du bénéficiaire, ce dernier prestataire devrait indemniser le prestataire de services de paiement du payeur pour le préjudice financier subi. Ceci est conforme au règlement (UE) [202X/...] du Parlement européen et du Conseil du… modifiant les règlements (UE) no 260/2012 et (UE) 2021/1230 en ce qui concerne les virements instantanés en euros (23) .

(78 bis)

Si des divergences dans les paiements doivent être démontrées, il convient que le prestataire de services de paiement coopère à tout moment avec l’utilisateur de services de paiement.

(79)

Les utilisateurs de services de paiement devraient être protégés de manière adéquate dans le cadre de ce que l’on appelle la fraude par l’ingénierie sociale, dans laquelle le fraudeur manipule l’utilisateur de services de paiement pour l’amener à exécuter une certaine action, comme l’initiation d’une opération de paiement ou la transmission des données de sécurité de l’utilisateur de services de paiement aux fraudeurs. Le nombre de cas d’«ingénierie sociale» de ce type ▌a considérablement augmenté ces dernières années. Les cas d’usurpation d’identité («spoofing») dans lesquels les fraudeurs se font passer pour des employés d’un prestataire de services de paiement d’un client ou d’une entité concernée qui pourrait raisonnablement être liée à une source fiable du client, telle qu’une banque centrale ou une autorité gouvernementale , et utilisent frauduleusement le nom, l’adresse électronique ou le numéro de téléphone du prestataire de services de paiement pour gagner la confiance des clients et les inciter à réaliser certaines actions sont malheureusement de plus en plus répandus dans l’Union. Ces nouveaux types de fraude par usurpation d’identité rendent plus floue la différence qui existait dans la directive (UE) 2015/2366 entre les opérations autorisées et les opérations non autorisées. ▌Les conditions dans lesquelles le client a donné sa permission pour procéder à un paiement devraient être dûment prises en considération, y compris par les tribunaux, pour déterminer si une opération a été autorisée ou non. Une opération peut en effet avoir été autorisée dans des circonstances telles que l’autorisation accordée a reposé sur des prémisses viciées qui compromettent l’intégrité de la permission donnée. Il n’est donc plus possible, comme c’était le cas dans la directive (UE) 2015/2366, de limiter les remboursements aux seules opérations non autorisées. ▌

(79 bis)

En ce qui concerne l’autorisation des opérations de paiement, la permission devrait être l’expression de l’intention du payeur d’y procéder après avoir pris pleinement connaissance des éléments pertinents, dont le montant, le destinataire et la finalité de l’opération. L’intention du payeur, fondée sur la pleine connaissance des éléments pertinents, au moment de l’opération, devrait être appréciée conformément au droit national.

(80)

Les prestataires de services de paiement disposent de plus de moyens que les consommateurs pour mettre un terme aux cas d’usurpation d’identité , au moyen d’une prévention adéquate et de garanties techniques solides mises au point avec les prestataires de services de communications électroniques tels que les opérateurs de réseaux mobiles, les plates-formes internet, etc. Dans le cadre de la lutte contre la fraude, les prestataires de services de communications électroniques devraient avoir l’obligation de coopérer avec les prestataires de services de paiement. En cas de non-respect de cette obligation, ils devraient être conjointement tenus pour responsables en cas de fraude. Les fraudes par usurpation de l’identité d’employés de banque nuisent à la réputation de la banque ainsi que du secteur bancaire dans son ensemble et peuvent causer des préjudices financiers importants aux consommateurs de l’Union et saper leur confiance dans les paiements électroniques et dans le système bancaire. Un consommateur de bonne foi qui a été victime d’une telle fraude par usurpation d’identité dans laquelle les fraudeurs se font passer pour des employés du prestataire de services de paiement d’un client et utilisent frauduleusement le nom, l’adresse électronique ou le numéro de téléphone du prestataire de services de paiement devrait, par conséquent, avoir droit au remboursement par le prestataire de services de paiement de l’intégralité du montant de l’opération de paiement frauduleuse, sauf agissement frauduleux ou «négligence grave» de la part du payeur. Dès que le consommateur apprend qu’il a été victime de ce type de fraude par usurpation d’identité, il devrait signaler l’incident à la police dans les meilleurs délais, de préférence au moyen de procédures de réclamation en ligne, lorsqu’elles sont mises à disposition par la police, et à son prestataire de services de paiement, en fournissant tous les éléments de preuve nécessaires à l’appui. ▌

(81)

Compte tenu de leurs obligations de garantir la sécurité de leurs services conformément à la directive 2002/58/CE du Parlement européen et du Conseil (24), les prestataires de services de communications électroniques ont la capacité de contribuer à la lutte collective contre la fraude par usurpation d’identité. Dès lors, et sans préjudice des obligations prévues par le droit national transposant ladite directive, les prestataires de services de communications électroniques devraient également, le cas échéant, être tenus pour responsables et coopérer avec les prestataires de services de paiement en vue de prévenir de nouveaux cas de fraude de ce type, notamment en agissant rapidement pour faire en sorte que des mesures organisationnelles et techniques appropriées soient mises en place pour préserver la sécurité et la confidentialité des communications conformément à la directive 2002/58/CE. Toute réclamation pour fraude contre d’autres prestataires, tels que des prestataires de services de communications électroniques ou des plates-formes en ligne , portant sur un préjudice financier causé dans le cadre de ce type de fraude devrait être introduite conformément au présent règlement .

(81 bis)

Les plates-formes en ligne peuvent également contribuer à augmenter le nombre de cas de fraude. Par conséquent, et sans préjudice des obligations qui leur incombent en vertu du règlement (UE) 2022/2065 du Parlement européen et du Conseil (25) (règlement sur les services numériques), ils devraient être tenus pour responsables lorsque la fraude résulte directement de l’utilisation frauduleuse de leur plate-forme par des fraudeurs au détriment des consommateurs, s’ils ont été informés de la présence de contenu frauduleux sur leur plate-forme et ne l’ont pas supprimé.

(82)

Afin d’évaluer l’éventualité d’une négligence ou d’une négligence grave de la part de l’utilisateur de services de paiement, il convient de tenir compte de toutes les circonstances. Les preuves et le degré de négligence allégué devraient en général être évalués conformément au droit national. Toutefois, si la négligence implique un manquement au devoir de diligence, la «négligence grave» devrait impliquer plus que de la simple négligence et comporter un défaut de vigilance caractérisé, comme le serait le fait d’effectuer un paiement en faveur d’un fraudeur sans avoir de motif raisonnable de croire que le bénéficiaire à qui le paiement était destiné est légitime, de conserver les données utilisées pour autoriser une opération de paiement à côté de l’instrument de paiement, sous une forme aisément accessible et reconnaissable par des tiers, de persuader une banque de lever un blocage imposé après une alerte à la fraude en agissant sur indication du premier venu, ou de donner à un tiers un téléphone intelligent déverrouillé.

(82 bis)

Le terme «négligence grave» étant interprété de façons très diverses au sein de l’Union, l’ABE devrait publier des orientations sur l’interprétation qui doit être faite de ce concept aux fins du présent règlement.

(83)

Les clauses et conditions contractuelles concernant la mise à disposition et l’utilisation d’un instrument de paiement qui auraient pour effet d’alourdir la charge de la preuve incombant au consommateur ou d’alléger la charge de la preuve pesant sur l’émetteur devraient être considérées comme nulles et non avenues. En outre, dans des situations spécifiques et en particulier lorsque l’instrument de paiement n’est pas présent au point de vente, par exemple dans le cas de paiements en ligne, il convient d’exiger du prestataire de services de paiement qu’il apporte la preuve de la négligence alléguée, le payeur n’ayant, dans ce cas, que des moyens très limités de le faire.

(84)

Les consommateurs sont particulièrement vulnérables dans le cas d’opérations de paiement liées à une carte où le montant exact de l’opération n’est pas connu au moment où le payeur donne la permission d’exécuter l’opération de paiement, par exemple dans les stations-service automatiques ou dans le cas de contrats de location de voiture ou de réservations d’hôtel. Le prestataire de services de paiement du payeur devrait pouvoir bloquer un montant de fonds sur le compte de paiement du payeur en proportion du montant de l’opération de paiement auquel le payeur peut raisonnablement s’attendre, et uniquement si le payeur a donné son accord pour que ce montant précis soit bloqué. Ces fonds devraient être débloqués immédiatement après réception des informations sur le montant final exact de l’opération de paiement et au plus tard immédiatement après la réception de l’ordre de paiement. Afin de garantir un déblocage rapide de la différence entre le montant bloqué et le montant exact de l’opération de paiement, le bénéficiaire devrait informer le prestataire de services de paiement immédiatement après la livraison du service ou des biens au payeur.

(85)

D’anciens schémas de prélèvement dans des devises autres que l’euro continuent d’exister dans les États membres dont la monnaie n’est pas l’euro. Ces schémas sont efficaces et assurent le même niveau élevé de protection du payeur par d’autres garde-fous qui ne sont pas toujours fondés sur un droit inconditionnel au remboursement. Dans ce cas, le payeur devrait être protégé par la règle générale du remboursement lorsque l’opération de paiement exécutée dépasse le montant auquel on aurait pu raisonnablement s’attendre. Par ailleurs, les États membres devraient avoir la possibilité d’édicter, en matière de droit au remboursement, des règles plus favorables pour le payeur que celles prévues dans le présent règlement. Il serait approprié de permettre que le payeur et son prestataire de services de paiement conviennent dans un contrat-cadre que le payeur n’a pas droit à un remboursement dans les cas où il est protégé, soit parce que le payeur a donné la permission d’exécuter une opération directement à son prestataire de services de paiement, y compris lorsque le prestataire de services de paiement agit pour le compte du bénéficiaire, soit parce que les informations relatives à la future opération de paiement ont été fournies au payeur ou mises à sa disposition de la manière convenue, quatre semaines au moins avant l’échéance, par le prestataire de services de paiement ou par le bénéficiaire. En tout état de cause, le payeur devrait être protégé par la règle générale de remboursement en cas d’opérations de paiement non autorisées ou mal exécutées ou de virements autorisés ayant fait l’objet d’une application incorrecte du service de vérification de la concordance ou en cas de fraude par usurpation de l’identité du prestataire de services de paiement.

(86)

Afin de pouvoir établir leur programmation financière et remplir leurs obligations de paiement en temps utile, les consommateurs et les entreprises ont besoin de connaître avec certitude la durée d’exécution d’un ordre de paiement. Il est donc nécessaire de préciser le moment où les droits et obligations prennent effet, c’est-à-dire lorsque le prestataire de services de paiement reçoit l’ordre de paiement, y compris lorsqu’il a eu la possibilité de le recevoir via les moyens de communication convenus dans le contrat de services de paiement, nonobstant toute participation antérieure au processus ayant conduit à la formulation et à la transmission de l’ordre de paiement, notamment les vérifications de la sécurité et de la disponibilité des fonds, les informations sur l’utilisation du numéro d’identification personnel (PIN) ou la délivrance d’une promesse de paiement. En outre, la réception d’un ordre de paiement devrait intervenir lorsque le prestataire de services de paiement du payeur reçoit l’ordre de paiement devant être débité du compte du payeur. Le moment où un bénéficiaire transmet des ordres de paiement au prestataire de services de paiement en vue de la collecte, par exemple, de paiements par carte ou de prélèvements ou le moment où le bénéficiaire se voit accorder par le prestataire de services de paiement une avance sur les montants concernés (une somme étant créditée de manière conditionnelle sur le compte) ne devrait aucunement entrer en ligne de compte à cet égard. Les utilisateurs devraient pouvoir être assurés de la bonne exécution d’un ordre de paiement dûment complété et valide si le prestataire de services de paiement ne peut faire état d’un motif de refus contractuel ou légal. Si le prestataire de services de paiement refuse un ordre de paiement, il devrait en informer le plus rapidement possible l’utilisateur de services de paiement en lui précisant les raisons de ce refus, dans le respect des exigences du droit de l’Union et du droit national. Lorsque le contrat-cadre prévoit que le prestataire de services de paiement peut imputer des frais pour le refus, ceux-ci devraient être objectivement justifiés et aussi peu élevés que possible.

(87)

Vu la rapidité avec laquelle les systèmes de paiement entièrement automatisés permettent de traiter les opérations de paiement, qui implique que, passé un certain délai, les ordres de paiement ne peuvent être révoqués sans coûts d’intervention manuelle élevés, il est nécessaire de fixer clairement un délai de révocation du paiement. Cependant, selon le type de service de paiement et d’ordre de paiement, le délai de révocation du paiement devrait pouvoir varier si les parties concernées en conviennent. La révocation dans un tel contexte devrait s’appliquer uniquement entre l’utilisateur de services de paiement et le prestataire de services de paiement, et elle ne devrait pas remettre en cause le caractère irrévocable et définitif des opérations de paiement effectuées dans les systèmes de paiement.

(88)

L’irrévocabilité d’un ordre de paiement ne devrait pas porter atteinte aux droits ou aux obligations d’un prestataire de services de paiement prévus par les législations des États membres, en application du contrat-cadre du payeur ou des lois, réglementations, lignes directrices ou dispositions administratives nationales, de rembourser au payeur le montant de l’opération de paiement exécutée, en cas de litige entre le payeur et le bénéficiaire. Un tel remboursement devrait être considéré comme un nouvel ordre de paiement. À l’exception de ces cas, les litiges découlant de la relation sous-jacente à l’ordre de paiement devraient être réglés uniquement entre le payeur et le bénéficiaire.

(89)

Aux fins du traitement pleinement intégré et automatisé des paiements, comme aux fins de la sécurité juridique quant à l’exécution de toute obligation sous-jacente entre utilisateurs de services de paiement, il est essentiel que l’intégralité de la somme transférée par le payeur soit créditée sur le compte du bénéficiaire. En conséquence, aucun des intermédiaires intervenant dans l’exécution des opérations de paiement ne devrait avoir la faculté d’opérer des déductions sur les montants transférés. Le bénéficiaire devrait cependant avoir la faculté de conclure, avec son prestataire de services de paiement, un accord autorisant ce dernier à prélever ses propres frais. Néanmoins, afin de permettre au bénéficiaire de vérifier que la somme due est correctement payée, les informations ultérieures relatives à l’opération de paiement devraient mentionner, outre le montant intégral des fonds transférés, le montant des frais éventuels qui ont été déduits.

(90)

Afin d’améliorer l’efficience des paiements dans toute l’Union, il conviendrait de fixer un délai d’exécution d’un jour maximum pour tous les ordres de paiement initiés par le payeur et libellés en euros ou dans la devise d’un État membre dont la monnaie n’est pas l’euro, y compris les virements et transmissions de fonds non instantanés. Pour tous les autres paiements, tels que les paiements initiés par un bénéficiaire ou par son intermédiaire, y compris les prélèvements et les paiements par carte, en l’absence d’accord entre le prestataire de services de paiement et le payeur prévoyant expressément un délai d’exécution plus long, le même délai d’un jour devrait s’appliquer. Il devrait être possible de prolonger ces délais d’un jour ouvrable lorsqu’un ordre de paiement est donné sur support papier, afin que des services de paiement puissent continuer d’être fournis aux consommateurs habitués à n’utiliser que des documents sur support papier. Lorsqu’un système de prélèvement est utilisé, le prestataire de services de paiement du bénéficiaire devrait transmettre l’ordre de débit dans les délais dont le bénéficiaire et le prestataire de services de paiement sont convenus, afin de rendre possible un règlement à l’échéance convenue. Les limites de dépenses devraient être précisées dans le contrat conclu entre le prestataire de services de paiement et le payeur, mais elles peuvent être modifiées. Il devrait être possible de maintenir ou d’établir des règles prévoyant un délai d’exécution inférieur à un jour ouvrable.

(91)

Les règles relatives à l’exécution du montant intégral et au délai d’exécution devraient constituer des bonnes pratiques lorsque l’un des prestataires de services de paiement n’est pas situé dans l’Union. Lorsqu’il effectue un virement ou une transmission de fonds en faveur d’un bénéficiaire situé en dehors de l’Union, le prestataire de services de paiement du payeur devrait fournir au payeur une estimation du délai nécessaire pour que les fonds virés ou transmis soient crédités au prestataire de services de paiement du bénéficiaire situé en dehors de l’Union. On ne saurait attendre d’un prestataire de services de paiement établi dans l’Union qu’il évalue le délai nécessaire à un prestataire de services de paiement établi en dehors de l’Union pour créditer ces fonds sur le compte du bénéficiaire après réception de ceux-ci.

(92)

Pour renforcer leur confiance à l’égard des marchés des paiements, il est essentiel que les utilisateurs de services de paiement aient connaissance des frais réels des services de paiement qui leur seront appliqués. En conséquence, l’emploi de méthodes de tarification non transparentes devrait être interdit car il est communément admis que, avec de telles méthodes, l’utilisateur a le plus grand mal à déterminer le prix réel du service de paiement. En particulier, l’utilisation de dates de valeur défavorables à l’utilisateur ne devrait pas être autorisée.

(93)

Le prestataire de services de paiement devrait avoir la possibilité de préciser clairement les informations exigées aux fins de l’exécution correcte d’un ordre de paiement. Le prestataire de services de paiement du payeur devrait agir avec toute la diligence requise et, lorsque cela est techniquement possible et ne nécessite pas d’intervention manuelle, vérifier la cohérence de l’identifiant unique, et, s’il apparaît que cet identifiant unique n’est pas cohérent, refuser l’ordre de paiement et en informer le payeur.

(94)

Le fonctionnement harmonieux et efficient des systèmes de paiement dépend de la confiance que peut avoir l’utilisateur dans le fait que le prestataire de services de paiement va exécuter l’opération de paiement correctement et dans le délai convenu. En général, le prestataire de services de paiement est en mesure d’apprécier les risques associés à une opération de paiement. C’est lui qui fournit le système de paiement, qui prend les dispositions nécessaires pour rappeler des fonds erronément alloués et qui choisit, dans la plupart des cas, les intermédiaires intervenant dans l’exécution d’une opération de paiement. Eu égard à l’ensemble de ces considérations, il convient que, sauf en cas de situations anormales et imprévisibles, le prestataire de services de paiement soit tenu pour responsable de l’exécution de toute opération de paiement qu’il a acceptée d’un utilisateur, sauf en cas d’actes et d’omissions du prestataire de services de paiement du bénéficiaire, dont le choix dépend du seul bénéficiaire. Toutefois, afin de ne pas laisser le payeur sans protection dans la situation, peu probable, où il ne serait pas évident que le montant du paiement a bien été reçu par le prestataire de services de paiement du bénéficiaire, la charge de la preuve correspondante devrait incomber au prestataire de services de paiement du payeur. D’une manière générale, il peut être supposé que l’établissement intermédiaire, habituellement un organisme impartial tel qu’une banque centrale ou un organisme de compensation, chargé du transfert du montant du paiement entre le prestataire de services de paiement émetteur et le prestataire de services de paiement destinataire, conservera les données relatives au compte et sera en mesure de les fournir, si nécessaire. Lorsque le montant du paiement est crédité sur le compte du prestataire de services de paiement destinataire, le bénéficiaire devrait avoir immédiatement le droit d’exiger du prestataire de services de paiement que la somme soit créditée sur son compte.

(95)

Le prestataire de services de paiement du payeur, à savoir le prestataire de services de paiement gestionnaire du compte ou, le cas échéant, le prestataire de services d’initiation de paiement, devrait être tenu pour responsable de l’exécution correcte de l’opération de paiement, notamment de son exécution pour son montant intégral et du respect du délai d’exécution, et sa pleine responsabilité devrait être engagée pour toute défaillance d’une autre partie intervenant dans la chaîne de paiement jusqu’au compte du bénéficiaire inclus. Il résulte de cette responsabilité que, lorsque le montant intégral n’est pas porté au crédit du prestataire de services de paiement du bénéficiaire ou qu’il l’est avec retard, le prestataire de services de paiement du payeur devrait corriger l’opération de paiement ou rembourser au payeur dans les meilleurs délais le montant correspondant de l’opération, sans préjudice de tout autre recours susceptible d’être formé conformément au droit national. Du fait de la responsabilité du prestataire de services de paiement, le payeur ou le bénéficiaire ne devraient supporter aucun coût lié à l’exécution incorrecte d’un paiement. En cas de non-exécution, de mauvaise exécution ou d’exécution tardive d’opérations de paiement, la date de valeur des paiements correctifs effectués par les prestataires de services de paiement devrait toujours être identique à ce qu’aurait été la date de valeur en cas d’exécution correcte.

(96)

Le bon fonctionnement des virements et des autres services de paiement requiert que les prestataires de services de paiement et leurs intermédiaires, notamment les responsables du traitement, soient liés par des contrats définissant leurs droits et obligations réciproques. Les questions de responsabilité constituent une partie essentielle de ces contrats. Pour assurer la confiance mutuelle entre les prestataires de services de paiement et les intermédiaires participant à une opération de paiement, la sécurité juridique doit être garantie afin qu’un prestataire de services de paiement qui n’est pas responsable obtienne, au titre des règles en matière de responsabilité, une indemnisation pour les pertes subies ou les sommes payées. Les autres droits et la teneur détaillée du recours (action récursoire) ainsi que les modalités de traitement des réclamations à l’égard du prestataire de services de paiement ou de l’intermédiaire concernant une opération de paiement mal exécutée devraient faire l’objet d’une convention.

(97)

La prestation de services de paiement par les prestataires de services de paiement peut comporter le traitement de données à caractère personnel. Il ne devrait être possible de procéder à ce traitement qu’avec l’autorisation de l’utilisateur de services de paiement. La prestation de services d’information sur les comptes peut comporter le traitement de données à caractère personnel relatives à une personne concernée qui n’est pas l’utilisateur d’un prestataire de services de paiement donné, mais dont le traitement des données à caractère personnel par ledit prestataire est nécessaire aux fins de l’exécution d’un contrat entre ce prestataire et l’utilisateur de services de paiement. Lorsque des données à caractère personnel font l’objet d’un traitement, ce traitement devrait être conforme au règlement (UE) 2016/679 et au règlement (UE) 2018/1725 du Parlement européen et du Conseil (26), notamment aux principes de limitation de la finalité, de minimisation des données et de limitation de la conservation des données. La protection des données dès la conception et la protection des données par défaut devraient être intégrées dans tous les systèmes de traitement des données mis au point et utilisés dans le cadre du présent règlement. En conséquence, les autorités de contrôle prévues par le règlement (UE) 2016/679 et le règlement (UE) 2018/1725 devraient être responsables du contrôle du traitement des données à caractère personnel effectué dans le cadre du présent règlement.

(98)

Comme la Commission le reconnaît dans sa communication sur une stratégie en matière de paiements de détail pour l’Union, le bon fonctionnement des marchés des paiements de l’Union revêt un intérêt public important. En conséquence, lorsque cela est nécessaire dans le cadre du présent règlement aux fins de la prestation de services de paiement et du respect du présent règlement, les prestataires de services de paiement et les opérateurs de systèmes de paiement devraient pouvoir traiter des catégories particulières de données à caractère personnel au sens de l’article 9, paragraphe 1, du règlement (UE) 2016/679 et de l’article 10, paragraphe 1, du règlement (UE) 2018/1725. Lorsque des catégories particulières de données à caractère personnel font l’objet d’un traitement, les prestataires de services de paiement et les opérateurs de systèmes de paiement devraient mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les libertés et droits fondamentaux des personnes physiques. Ces mesures devraient inclure des limitations techniques à la réutilisation des données et le recours aux mesures techniques les plus avancées de sécurité et de protection de la vie privée, notamment , sans toutefois s’y limiter, la pseudonymisation ou le chiffrement, afin de garantir le respect des principes de limitation de la finalité, de minimisation des données et de limitation de la conservation des données, énoncés dans le règlement (UE) 2016/679. Les prestataires de services de paiement et les opérateurs de systèmes de paiement devraient également mettre en œuvre des mesures d’organisation spéciales, notamment une formation au traitement de ces données, la limitation de l’accès aux catégories particulières de données et l’enregistrement de cet accès.

(99)

La communication aux personnes d’informations sur le traitement des données à caractère personnel devrait être effectuée conformément au règlement (UE) 2016/679 et au règlement (UE) 2018/1725.

(100)

Les fraudeurs prennent souvent pour cibles les personnes les plus vulnérables de notre société. La détection en temps utile des opérations de paiement frauduleuses est essentielle et le contrôle des opérations joue un rôle important dans cette détection. Il convient donc d’exiger des prestataires de services de paiement qu’ils disposent de mécanismes de contrôle des opérations à la hauteur de la contribution essentielle que ces mécanismes apportent à la prévention de la fraude, en allant au-delà de la protection offerte par l’authentification forte du client en ce qui concerne les opérations de paiement, y compris celles qui font appel à des services d’initiation de paiement. Lorsque les prestataires de services de paiement n’instaurent pas les mécanismes adéquats de prévention de la fraude, ils devraient être tenus pour responsables des pertes financières qui en résultent pour les utilisateurs de services de paiement.

(100 bis)

Les États membres devraient coopérer avec les prestataires de services de paiement et les prestataires de services de communications électroniques afin de financer des campagnes d’éducation qui ciblent les citoyens et qui expliquent comment repérer la fraude aux paiements et éviter d’être victime d’une escroquerie liée aux paiements. À cet égard, les prestataires de services de paiement et les prestataires de services de communications électroniques devraient coopérer gratuitement avec les États membres.

(101)

L’ABE devrait élaborer des projets de normes techniques de réglementation relatives aux exigences techniques particulières liées aux mécanismes de contrôle des opérations. Ces exigences devraient s’appuyer sur la valeur ajoutée découlant des caractéristiques environnementales et comportementales liées aux habitudes de paiement de l’utilisateur de services de paiement.

(102)

Afin que les mécanismes de contrôle des opérations fonctionnent efficacement de manière à permettre aux prestataires de services de paiement de détecter et de prévenir les fraudes, notamment en détectant une utilisation atypique de services de paiement qui pourrait indiquer une opération potentiellement frauduleuse, les prestataires de services de paiement devraient être en mesure de traiter les informations relatives aux opérations de leurs clients et à leurs comptes de paiement. Les prestataires de services de paiement devraient toutefois fixer des durées de conservation appropriées pour les différents types de données utilisés à des fins de prévention de la fraude. Ces durées de conservation devraient être strictement limitées à la durée nécessaire pour détecter les comportements atypiques et potentiellement frauduleux, et les prestataires de services de paiement devraient régulièrement supprimer les données qui ne sont plus nécessaires à la détection et à la prévention de la fraude. Les données traitées à des fins de contrôle des opérations ne devraient pas être utilisées après que l’utilisateur de services de paiement a cessé d’être un client du prestataire de services de paiement.

(103)

La fraude en matière de virements possède une capacité intrinsèque d’adaptation et comprend une diversité illimitée de pratiques et de techniques, telles que le vol de données de sécurité d’authentification, la falsification de factures et la manipulation sociale. Dès lors, pour pouvoir prévenir des types de fraude toujours nouveaux, il conviendrait d’améliorer constamment le contrôle des opérations en tirant pleinement parti de technologies telles que l’intelligence artificielle. Un prestataire de services de paiement ne dispose souvent pas d’une vue d’ensemble complète de tous les éléments susceptibles de conduire à une détection rapide de la fraude. Toutefois, il peut gagner en efficacité grâce à une plus grande quantité d’informations sur les activités potentiellement frauduleuses émanant d’autres prestataires de services de paiement. Il devrait donc être obligatoire , pour les prestataires de services de paiements, de se communiquer toutes les informations utiles. Pour mieux détecter les opérations de paiement frauduleuses et protéger leurs clients, les prestataires de services de paiement devraient, aux fins du contrôle des opérations, exploiter les données relatives à la fraude aux paiements partagées par d’autres prestataires de services de paiement de manière multilatérale, par exemple sur les plates-formes informatiques spécialisées fondées sur des dispositifs de partage d’informations. Afin d’améliorer la protection des payeurs contre la fraude aux virements, les prestataires de services de paiement devraient pouvoir s’appuyer sur des informations aussi exhaustives et à jour que possible, notamment en faisant un usage collectif des informations concernant les identifiants uniques, les techniques de manipulation et d’autres circonstances associées aux virements frauduleux recensées individuellement par chaque prestataire de services de paiement. Avant d’adopter un dispositif de partage d’informations, les prestataires de services de paiement devraient procéder à une analyse d’impact relative à la protection des données, conformément à l’article 35 du règlement (UE) 2016/679. Lorsqu’il ressort de l’analyse d’impact relative à la protection des données que, en l’absence de garanties, de mesures de sécurité et de mécanismes pour atténuer le risque, le traitement présenterait un risque élevé pour les droits et libertés des personnes physiques, les prestataires de services de paiement devraient consulter l’autorité chargée de la protection des données concernée conformément à l’article 36 dudit règlement. Une nouvelle analyse d’impact ne devrait pas être requise lorsqu’un prestataire de services de paiement adhère à un dispositif de partage d’informations existant pour lequel une analyse d’impact relative à la protection des données a déjà été réalisée. Le dispositif de partage d’informations devrait prévoir des mesures techniques et organisationnelles destinées à protéger les données à caractère personnel. Il devrait définir les rôles et les responsabilités de tous les prestataires de services de paiement au titre de la législation sur la protection des données, y compris dans le cas de responsables conjoints du traitement.

(103 bis)

L’ABE devrait créer une plate-forme informatique consacrée à l’échange d’informations sur les comptes frauduleux.

(103 ter)

Lorsque les mécanismes de contrôle fournissent des preuves solides permettant de soupçonner une opération frauduleuse ou qu’un rapport de police est notifié par l’utilisateur au prestataire de services de paiement, ce dernier devrait avoir le droit de bloquer l’exécution d’un ordre de paiement ou de bloquer et de récupérer les fonds concernés. On entend par preuves des raisons objectivement motivées relatives à la sécurité de l’opération de paiement et au soupçon d’opérations frauduleuses ou non autorisées. Si un prestataire de services de paiement ne bloque pas l’exécution d’un ordre de paiement, il devrait couvrir toutes les pertes financières qui en résultent pour l’utilisateur de services de paiement si ce dernier a été victime d’une telle fraude.

▌

(104 bis)

En vertu du présent règlement, l’identifiant unique devrait être vérifié lors de chaque virement.

(104 ter)

L’ABE devrait élaborer des projets de normes techniques de réglementation précisant quels identifiants autres que l’IBAN devraient être acceptés comme identifiants uniques.

(105)

Afin d’empêcher que des échanges légitimes d’informations sur des activités potentiellement frauduleuses conduisent à une «réduction des risques» injustifiée ou à un retrait injustifié des services de comptes de paiement de certains utilisateurs de services de paiement sans explication ni recours, il convient d’instituer des garanties. Les données relatives à la fraude aux paiements communiquées au sein d’un dispositif multilatéral de partage d’informations qui peut entraîner la divulgation de données à caractère personnel, y compris d’identifiants uniques de bénéficiaires potentiellement impliqués dans une fraude aux virements, ne devraient être utilisées par les prestataires de services de paiement qu’aux fins de l’amélioration du contrôle des opérations. Les prestataires de services de paiement devraient instituer des garanties supplémentaires, telles que la prise de contact avec le client s’il est le payeur d’un virement dont on peut supposer qu’il est frauduleux et le contrôle plus approfondi d’un compte lorsque l’identifiant unique signalé comme potentiellement frauduleux désigne un client de ce prestataire de services de paiement. Les données relatives à la fraude aux paiements que les prestataires de services de paiement se communiquent dans le cadre de tels dispositifs ne devraient pas constituer un motif de retrait des services bancaires sans enquête approfondie.

(106)

La fraude aux paiements devient de plus en plus sophistiquée, les fraudeurs utilisant des techniques de manipulation et d’usurpation d’identité qui sont difficiles à détecter pour les utilisateurs de services de paiement qui ne sont pas suffisamment sensibilisés à la fraude ni suffisamment informés sur cette problématique. Les prestataires de services de paiement peuvent jouer un rôle important dans le renforcement de la prévention de la fraude en prenant régulièrement toutes les initiatives nécessaires pour que leurs utilisateurs de services de paiement comprennent mieux les risques et tendances de fraude en matière de paiement et y soient davantage sensibilisés. En particulier, les prestataires de services de paiement devraient mener des programmes et des campagnes de sensibilisation appropriés sur les tendances et risques de fraude à l’intention de leurs clients et des employés des prestataires de services de paiement, dans le but d’aider les clients à se rendre compte qu’ils sont victimes d’une tentative de fraude. Les prestataires de services de paiement devraient communiquer à leurs consommateurs, par divers supports, des informations adaptées sur la fraude, en leur envoyant des messages et des avertissements clairs et en les aidant à réagir correctement lorsqu’ils sont exposés à des situations potentiellement frauduleuses. L’ABE devrait élaborer des orientations concernant les différents types de programmes que les prestataires de services de paiement doivent mettre au point sur les risques de fraude aux paiements, en tenant compte de l’évolution constante de la nature des risques liés à la fraude.

(107)

La sécurité des paiements électroniques est fondamentale pour garantir la protection des utilisateurs et le développement d’un environnement sain pour le commerce électronique. Tous les services de paiement proposés par voie électronique devraient être sécurisés, grâce à des technologies permettant de garantir une authentification sûre de l’utilisateur et de réduire, dans toute la mesure du possible, les risques de fraude. Dans le domaine de la fraude, la principale innovation de la directive (UE) 2015/2366 a été l’introduction de l’authentification forte du client. Dans son évaluation de la mise en œuvre de la directive (UE) 2015/2366, la Commission a conclu que l’authentification forte du client avait déjà été très efficace pour réduire la fraude.

(107 bis)

Afin que les consommateurs puissent bénéficier sans interruption d’une solide authentification forte du client, et pour que cette authentification reste un outil efficace dans la lutte contre la fraude liée aux paiements électroniques, il convient que l’application de l’authentification forte du client soit fondée sur les risques. À leur tour, les règles en matière d’authentification forte du client devraient offrir une flexibilité suffisante en faveur de l’innovation au sein du secteur des paiements, y compris pour le développement de nouvelles solutions d’authentification forte du client.

(108)

L’authentification forte du client ne devrait pas être contournée, notamment par un recours injustifié aux dérogations à l’authentification forte du client. Il convient que l’ABE introduise des définitions claires des opérations initiées par les commerçants et des ordres de paiement passés par courrier ou par téléphone, étant donné que ces notions, qui peuvent être invoquées pour justifier la non-application de l’authentification forte du client, sont diversement comprises et appliquées et sont parfois invoquées d’une manière abusive. En ce qui concerne les opérations initiées par les commerçants, l’authentification forte du client devrait être appliquée lors de l’établissement du mandat initial, sans qu’il soit nécessaire d’appliquer l’authentification forte du client pour les opérations de paiement ultérieures initiées par les commerçants. En ce qui concerne les ordres de paiement passés par courrier ou par téléphone, seule l’initiation d’opérations de paiement, et non leur exécution, devrait être non numérique pour qu’une opération soit considérée comme un ordre de paiement passé par courrier ou par téléphone et, partant, ne relève pas de l’obligation d’appliquer l’authentification forte du client. Toutefois, les opérations de paiement fondées sur des ordres de paiement passés par le payeur sur support papier, par courrier ou par téléphone devraient toujours comporter des exigences de sécurité et des vérifications par le prestataire de services de paiement du payeur permettant l’authentification de l’opération de paiement. L’authentification forte du client ne devrait pas non plus être contournée par des pratiques telles que le recours à un acquéreur établi en dehors de l’Union en vue d’échapper aux exigences en matière d’authentification forte du client. Par ailleurs, l’authentification forte du client devrait toujours être gratuite.

(109)

Étant donné que le prestataire de services de paiement qui devrait appliquer l’authentification forte du client est celui qui délivre les données de sécurité personnalisées, les opérations de paiement qui ne sont pas initiées par le payeur mais uniquement par le bénéficiaire ne devraient pas être soumises à une authentification forte du client dans la mesure où ces opérations sont initiées sans aucune interaction avec le payeur ni intervention de celui-ci. L’approche réglementaire ▌des prélèvements ▌devrait être harmonisée et bénéficier des mêmes mesures de protection des consommateurs, dont les remboursements.

(109 bis)

Dans le contexte des paiements interentreprises ou entre les entreprises et le secteur public, l’authentification forte du client devrait être adaptée au niveau de risque de ces opérations, en tenant compte notamment des contrôles et des vérifications qui existent déjà parmi ces opérateurs. Afin de réduire la charge administrative, l’authentification forte du client ne devrait pas être exigée pour chacune de ces opérations et devrait être adaptée à une approche fondée sur les risques.

(110)

Afin d’améliorer l’inclusion financière, et conformément à la directive (UE) 2019/882 du Parlement européen et du Conseil (27) relative aux exigences en matière d’accessibilité applicables aux produits et services, tous les utilisateurs de services de paiement, y compris les personnes handicapées, les personnes âgées, les personnes ayant de faibles compétences numériques et celles qui n’ont pas accès à des appareils numériques tels que les téléphones intelligents, devraient bénéficier de la protection contre la fraude procurée par l’authentification forte du client, en particulier en ce qui concerne l’utilisation des opérations de paiement numériques à distance et l’accès en ligne aux comptes de paiement en tant que services financiers fondamentaux. Avec l’introduction de l’authentification forte du client, il est devenu impossible, pour certains consommateurs de l’Union, d’effectuer des opérations en ligne en raison de leur incapacité matérielle de réaliser l’authentification forte du client. C’est pourquoi les prestataires de services de paiement devraient veiller à ce que leurs clients puissent bénéficier de diverses méthodes d’exécution de l’authentification forte du client qui soient adaptées à leurs besoins et à leur situation. Ces méthodes ne devraient pas imposer l’utilisation d’une seule technologie, d’un seul dispositif ou mécanisme, ni la possession d’un téléphone intelligent ou d’un autre dispositif intelligent .

(111)

Les portefeuilles européens d’identité numérique mis en œuvre en vertu du règlement (UE) no 910/2014 (28) du Parlement européen et du Conseil, tel que modifié par le règlement (UE) [XXX], sont des moyens d’identification électronique qui offrent des outils d’identification et d’authentification permettant l’accès transfrontière à des services financiers, y compris aux services de paiement. L’introduction du portefeuille européen d’identité numérique rendrait encore plus aisées l’identification et l’authentification numériques transfrontières pour les paiements numériques sécurisés et faciliterait le développement d’un paysage paneuropéen des paiements numériques.

(112)

La croissance du commerce électronique et des paiements par téléphone mobile devrait aller de pair avec un renforcement généralisé des mesures de sécurité. En cas d’initiation à distance d’une opération de paiement, c’est-à-dire lorsqu’un ordre de paiement est passé sur l’internet, l’authentification des opérations devrait s’appuyer sur des codes dynamiques afin que l’utilisateur soit à tout moment conscient du montant et du bénéficiaire de l’opération qu’il autorise.

(113)

L’obligation d’appliquer l’authentification forte du client aux opérations de paiement à distance au moyen de codes qui établissent un lien dynamique entre l’opération, d’une part, et un montant et un bénéficiaire donnés, d’autre part, devrait être le reflet de la croissance des paiements par téléphone mobile et de l’apparition d’une variété de modèles au moyen desquels ces paiements sont exécutés.

(114)

Étant donné que l’établissement d’un lien dynamique permet de parer aux risques de falsification du nom du bénéficiaire et du montant donné de l’opération entre le moment où un ordre de paiement est passé et où les paiements sont authentifiés, mais aussi, plus généralement, de parer au risque de fraude pour les paiements par téléphone mobile pour lesquels l’exécution d’une authentification forte du client nécessite l’utilisation de l’internet sur le dispositif du payeur, les prestataires de services de paiement devraient également appliquer des éléments qui établissent un lien dynamique entre l’opération, d’une part, et un montant et un bénéficiaire donnés, d’autre part, ou des mesures de sécurité harmonisées d’effet identique, qui garantissent la confidentialité, l’authenticité et l’intégrité de l’opération au cours de toutes les phases de l’initiation du paiement.

(115)

En vertu de la dérogation à l’authentification forte du client prévue à l’article 18 du règlement délégué (UE) 2018/389, les prestataires de services de paiement étaient autorisés à ne pas appliquer l’authentification forte du client lorsque le payeur initiait une opération de paiement électronique à distance que le prestataire de services de paiement considérait comme présentant un faible niveau de risque en s’appuyant sur les mécanismes de contrôle des opérations. Les réactions du marché ont toutefois montré que, pour qu’un plus grand nombre de prestataires de services de paiement mettent en œuvre l’analyse des risques liés à l’opération, il était nécessaire d’adopter des règles appropriées sur la portée d’une telle analyse, qui introduisent des exigences claires en matière d’audit, fournissent davantage de détails et de meilleures définitions concernant les exigences en matière de suivi des risques et les données à partager, et d’évaluer les avantages potentiels qu’il y aurait à autoriser les prestataires de services de paiement à signaler les opérations frauduleuses dont ils sont seuls responsables. L’ABE devrait élaborer des projets de normes techniques de réglementation établissant des règles relatives à l’analyse des risques liés aux opérations. Afin d’accroître le recours à la dérogation relative à l’analyse des risques liés aux opérations, les projets de normes techniques de réglementation devraient envisager des seuils supplémentaires pour cette dérogation. En outre, ils devraient déterminer s’il est nécessaire de préciser si les prestataires de services de paiement devraient tenir compte uniquement de la responsabilité envers le payeur dans leurs taux de fraude.

(116)

Les mesures de sécurité devraient être compatibles avec le niveau de risque associé aux services de paiement. Afin de permettre le développement de moyens de paiement accessibles et faciles à utiliser pour les paiements présentant peu de risques, tels que les paiements de faible valeur sans contact au point de vente ou les paiements effectués dans le cadre d’une entreprise par un payeur de l’entreprise , que ces paiements soient ou non fondés sur la téléphonie mobile, les dérogations à l’application des exigences de sécurité devraient être précisées dans les normes techniques de réglementation. La sécurité de l’utilisation des données de sécurité personnalisées doit être assurée afin de limiter les risques d’usurpation d’identité («spoofing»), d’hameçonnage («phishing») et d’autres activités frauduleuses. L’utilisateur devrait pouvoir s’en remettre à l’adoption de mesures qui protègent la confidentialité et l’intégrité des données de sécurité personnalisées.

(117)

Les prestataires de services de paiement devraient appliquer l’authentification forte du client lorsque, entre autres, l’utilisateur de services de paiement exécute, grâce à un moyen de communication à distance, une action susceptible de comporter un risque de fraude en matière de paiements ou de toute autre utilisation frauduleuse. Les prestataires de services de paiement devraient mettre en place des mesures de sécurité adéquates pour protéger la confidentialité et l’intégrité des données de sécurité personnalisées des utilisateurs de services de paiement.

(118)

Les acteurs du marché des différents États membres ne comprennent pas de la même manière les exigences en matière d’authentification forte du client applicables à l’enregistrement d’instruments de paiement, en particulier de cartes de paiement, dans des portefeuilles numériques. La création d’un jeton ou son remplacement peut donner lieu à un risque de fraude aux paiements ou à d’autres abus. La création ou le remplacement d’un jeton d’instrument de paiement, qui se fait grâce à un moyen de communication à distance avec la participation de l’utilisateur de services de paiement, devrait donc nécessiter l’application de l’authentification forte du client par le prestataire de services de paiement de l’utilisateur de services de paiement lors de l’émission ou du remplacement du jeton. En appliquant l’authentification forte du client au stade de la création ou du remplacement du jeton, le prestataire de services de paiement devrait vérifier à distance que l’utilisateur de services de paiement est l’utilisateur légitime de l’instrument de paiement et associer l’utilisateur et la version numérisée de l’instrument de paiement au dispositif correspondant.

(119)

Les opérateurs de portefeuilles numériques de type «pass-through» (à transfert direct) qui vérifient les éléments de l’authentification forte du client lorsque des instruments tokenisés stockés dans les portefeuilles numériques sont utilisés à des fins de paiement devraient être tenus de conclure des accords d’externalisation avec les prestataires de services de paiement des payeurs afin d’autoriser ces prestataires à continuer d’effectuer ces vérifications, tout en leur imposant de se conformer aux exigences essentielles en matière de sécurité. Les prestataires de services de paiement du payeur devraient, en application de ces accords, assumer l’entière responsabilité de tout défaut d’application, par les opérateurs de portefeuilles de type «pass-through» (à transfert direct), de l’authentification forte du client et avoir le droit de réaliser un audit des dispositions de sécurité de l’opérateur du portefeuille et de contrôler celles-ci.

(120)

Lorsque les prestataires de services techniques ou les opérateurs de schémas de paiement fournissent des services aux bénéficiaires ou aux prestataires de services de paiement des bénéficiaires ou des payeurs, ils devraient rendre possible l’application d’une authentification forte du client dans le cadre de leur rôle dans l’initiation ou l’exécution des opérations de paiement. Étant donné le rôle qu’ils jouent pour ce qui est d’assurer la bonne mise en œuvre des exigences essentielles en matière de sécurité concernant les paiements de détail, notamment en fournissant des solutions informatiques appropriées, les prestataires de services techniques et les opérateurs de schémas de paiement devraient être tenus pour responsables du préjudice financier direct causé au bénéficiaire ou au prestataire de services de paiement du bénéficiaire ou du payeur pour ne pas avoir fourni, dans le cadre de leur relation contractuelle, les services nécessaires pour permettre l’application d’une authentification forte du client , de façon proportionnée à ce manquement et pour un montant n’excédant pas le montant de l’opération en question .

(121)

Les États membres devraient désigner les autorités compétentes pour l’octroi d’agrément aux établissements de paiement et pour l’accréditation et le suivi des procédures de règlement extrajudiciaire des litiges.

(122)

Sans préjudice du droit de recours juridictionnel des consommateurs, les États membres devraient veiller à ce qu’il existe des procédures aisément accessibles, adéquates, indépendantes, impartiales, transparentes et efficaces de règlement extrajudiciaire des litiges opposant prestataires de services de paiement et utilisateurs de services de paiement. Le règlement (CE) no 593/2008 du Parlement européen et du Conseil (29) prévoit que la protection offerte au consommateur par les dispositions impératives de la loi du pays dans lequel il a sa résidence habituelle ne doit pas être remise en cause du fait d’une clause contractuelle relative à la loi applicable au contrat. En vue d’instaurer une procédure de règlement des litiges efficiente et efficace, les États membres devraient veiller à ce que les prestataires de services de paiement adhèrent à une procédure de règlement extrajudiciaire des litiges conformément aux exigences de qualité énoncées dans la directive 2013/11/UE du Parlement européen et du Conseil (30), pour régler les litiges avant la saisie d’une juridiction. Les autorités compétentes désignées devraient notifier à la Commission le nom d’une ou plusieurs entités de règlement extrajudiciaire des litiges de qualité compétentes sur leur territoire pour régler les litiges nationaux et transfrontières et coopérer en ce qui concerne les litiges relatifs aux droits et obligations prévus par le présent règlement. Les procédures de règlement extrajudiciaire des litiges devraient être obligatoires pour les prestataires de services de paiement.

(123)

Les consommateurs devraient être autorisés à faire respecter leurs droits en lien avec les obligations imposées aux prestataires de services de paiement et de services de monnaie électronique dans le cadre du présent règlement, au moyen d’actions représentatives conformément à la directive (UE) 2020/1828 du Parlement européen et du Conseil (31).

(124)

Il convient d’instaurer des procédures appropriées pour donner suite aux réclamations introduites contre les prestataires de services de paiement qui ne se conforment pas à leurs obligations et de veiller, s’il y a lieu, à ce que des sanctions effectives, proportionnées et dissuasives soient infligées. Afin de garantir le respect effectif du présent règlement, les États membres devraient désigner des autorités compétentes qui remplissent les conditions fixées par le règlement (UE) no 1093/2010 du Parlement européen et du Conseil (32) et qui agissent indépendamment des prestataires de services de paiement. Les États membres devraient notifier à la Commission les autorités qui ont été désignées et lui communiquer une description précise des missions de ces autorités.

(125)

Sans préjudice du droit de recours juridictionnel en vue de garantir le respect du présent règlement, les autorités compétentes devraient exercer les pouvoirs nécessaires accordés par le présent règlement, notamment le pouvoir d’enquêter sur les manquements allégués, d’infliger des sanctions administratives et d’imposer des mesures administratives, lorsque le prestataire de services de paiement ne se conforme pas aux droits et obligations définis par le présent règlement, en particulier s’il existe un risque de récidive ou une autre menace pour les intérêts collectifs des consommateurs. Les autorités compétentes devraient mettre en place des mécanismes efficaces pour encourager le signalement des infractions potentielles ou réelles. Ces mécanismes devraient être sans préjudice des droits de défense garantis à tout accusé.

(126)

Les États membres devraient être tenus de prévoir des sanctions et mesures administratives effectives, proportionnées et dissuasives en cas d’infraction aux dispositions du présent règlement. Ces sanctions administratives, astreintes et mesures administratives devraient satisfaire à certaines exigences minimales, concernant notamment les pouvoirs minimaux que les autorités compétentes devraient se voir conférer pour être en mesure de les imposer et les critères que les autorités compétentes devraient prendre en considération dans leur application, pour leur publication et lorsqu’elles en rendent compte. Les États membres devraient établir des règles spéciales et des mécanismes efficaces concernant l’application des astreintes.

(127)

Les autorités compétentes devraient être habilitées à infliger des sanctions pécuniaires administratives suffisamment élevées pour contrebalancer les avantages attendus de l’infraction et avoir un effet dissuasif même pour les établissements de plus grande taille.

(128)

Lorsqu’elles imposent des sanctions administratives et des mesures administratives, les autorités compétentes devraient tenir compte de toute sanction pénale antérieure qui aurait été infligée à la même personne physique ou morale responsable de la même infraction, lorsqu’elles déterminent le type de sanctions administratives ou d’autres mesures administratives et le niveau des sanctions pécuniaires administratives. Il s’agit de faire en sorte que la sévérité de toutes les sanctions et autres mesures administratives imposées à des fins punitives, en cas de cumul de poursuites de nature administrative et de poursuites de nature pénale, soit limitée à ce que requiert la gravité de l’infraction.

(129)

Un système de surveillance efficace exige que les autorités de surveillance soient conscientes des lacunes que présentent les prestataires de services de paiement en matière de respect des règles du présent règlement. Il importe donc que les autorités de surveillance puissent s’informer mutuellement des sanctions et mesures administratives imposées aux prestataires de services de paiement lorsque ces informations sont également utiles à d’autres autorités de surveillance.

(130)

L’efficacité du cadre de l’Union relatif aux services de paiement dépend de la coopération entre de multiples autorités compétentes, notamment des autorités nationales chargées de la fiscalité, de la protection des données, de la concurrence, de la protection des consommateurs, de l’audit, de la police et d’autres autorités chargées de faire respecter la législation. Les États membres devraient veiller à ce que leur cadre juridique permette et facilite cette coopération en tant que de besoin pour atteindre les objectifs du cadre de l’Union relatif aux services de paiement, y compris par la bonne application de ses règles. Cette coopération devrait comprendre l’échange d’informations ainsi que l’assistance mutuelle en vue de l’application effective des sanctions administratives, en particulier dans le cadre du recouvrement transfrontière des sanctions pécuniaires.

(131)

Quelle que soit leur dénomination en droit national, des formes de procédure d’exécution accélérée ou d’accord transactionnel existent dans de nombreux États membres et sont utilisées comme alternative à une procédure formelle pour parvenir à une adoption plus rapide d’une décision visant à imposer une sanction administrative ou une mesure administrative ou pour mettre fin à l’infraction alléguée et à ses conséquences avant l’ouverture d’une procédure formelle de sanction. S’il ne semble pas approprié de chercher à harmoniser au niveau de l’Union les méthodes visant à faire respecter la réglementation qu’ont établies de nombreux États membres, en raison des approches juridiques très variées adoptées au niveau national, il convient de reconnaître que ces méthodes permettent aux autorités compétentes qui peuvent les mettre en œuvre de traiter les dossiers d’infraction d’une manière plus rapide, moins coûteuse et globalement efficace dans certaines circonstances, et qu’elles devraient, dès lors, être encouragées. Toutefois, les États membres ne devraient pas être tenus d’introduire de telles méthodes dans leur cadre juridique ni de contraindre les autorités compétentes à y recourir si elles ne le jugent pas approprié.

(132)

Actuellement, les sanctions et mesures administratives instituées par les États membres en cas d’infraction aux principales dispositions régissant la prestation de services de paiement sont diversifiées et les approches concernant les enquêtes sur les violations de ces dispositions et les sanctions en la matière manquent de cohérence. Le fait de ne pas définir plus clairement quelles dispositions essentielles doivent déclencher des mesures d’exécution suffisamment dissuasives partout dans l’Union irait à l’encontre de la réalisation du marché unique des services de paiement et risquerait d’encourager le «forum shopping» dans la mesure où les autorités compétentes sont inégalement équipées pour réprimer rapidement et avec le même effet dissuasif ces infractions dans les États membres.

(133)

Étant donné que l’objet des astreintes est de contraindre les personnes physiques ou morales qui sont identifiées comme responsables d’une infraction en cours ou qui se voient imposer de se conformer à une injonction de l’autorité compétente chargée de l’enquête, à se conformer à cette injonction ou à mettre fin à l’infraction en cours, l’application d’astreintes ne devrait pas faire obstacle à ce que les autorités compétentes infligent ultérieurement des sanctions administratives à raison de la même infraction.

(134)

Sauf disposition contraire prévue par les États membres, les astreintes devraient être calculées sur une base journalière.

(135)

Les autorités compétentes devraient être habilitées par les États membres à imposer ces sanctions et mesures administratives aux prestataires de services de paiement ou à d’autres personnes physiques ou morales, s’il y a lieu, afin de remédier à la situation en cas d’infraction. Cet ensemble de sanctions et de mesures devrait être suffisamment vaste pour permettre aux États membres et aux autorités compétentes de tenir compte des différences existant entre les prestataires de services de paiement, en particulier entre les établissements de crédit et les autres établissements de paiement, au regard de leur taille, de leurs caractéristiques et de leur domaine d’activité.

(136)

La publication d’une sanction administrative ou d’une mesure administrative pour infraction aux dispositions du présent règlement peut avoir un effet dissuasif important sur la récidive d’une telle infraction. La publication permet en outre non seulement d’informer les autres entités des risques associés au prestataire de services de paiement sanctionné avant qu’elles ne s’engagent dans une relation d’affaires, mais aussi d’aider les autorités compétentes des autres États membres en ce qui concerne les risques associés à un prestataire de services de paiement lorsque celui-ci opère dans ces autres États membres dans un contexte transfrontière. Pour ces raisons, la publication des décisions relatives aux sanctions et mesures administratives devrait être autorisée pour autant qu’elle concerne des personnes morales. Lorsqu’elles décident de publier une sanction administrative ou une mesure administrative, les autorités compétentes devraient tenir compte de la gravité de l’infraction et de l’effet dissuasif que cette publication est susceptible de produire. Toutefois, toute publication de ce type faisant référence à des personnes physiques peut empiéter de manière disproportionnée sur les droits qui résultent de la charte des droits fondamentaux et de la législation de l’Union applicable en matière de protection des données. En conséquence, la publication devrait avoir lieu de manière anonymisée, à moins que l’autorité compétente ne juge nécessaire de publier des décisions contenant des données à caractère personnel aux fins de l’application effective du présent règlement, y compris dans les cas de déclarations publiques ou d’interdictions temporaires. En pareils cas, l’autorité compétente devrait justifier sa décision.

(137)

Afin de recueillir des informations plus précises sur le niveau de conformité avec le droit de l’Union sur le terrain, tout en donnant plus de visibilité au contrôle du respect de la législation assuré par les autorités compétentes, il est nécessaire d’élargir le champ d’application et d’améliorer la qualité des données que les autorités compétentes communiquent à l’ABE. Il conviendrait d’anonymiser les informations à communiquer afin de respecter les règles en vigueur en matière de protection des données, et de les fournir sous une forme agrégée afin de respecter les règles en matière de secret professionnel et de confidentialité en ce qui concerne les procédures. L’ABE devrait rendre compte régulièrement à la Commission de l’état d’avancement des mesures visant à faire respecter la réglementation dans les États membres.

(138)

Il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne pour mettre à jour, afin de tenir compte de l’inflation, les montants à concurrence desquels un payeur peut être tenu de supporter les pertes liées à toute opération de paiement non autorisée résultant de l’utilisation d’un instrument de paiement perdu ou volé ou du détournement d’un instrument de paiement. Il convient que, lorsqu’elle prépare des actes délégués, la Commission veille à ce que les documents pertinents soient transmis simultanément, en temps utile et de façon appropriée, au Parlement européen et au Conseil.

(139)

Afin de garantir une application cohérente du présent règlement, la Commission devrait pouvoir s’appuyer sur l’expertise et le soutien de l’ABE, laquelle devrait être chargée d’élaborer des orientations et des projets de normes techniques de réglementation et d’exécution. La Commission devrait être habilitée à adopter ces projets de normes techniques de réglementation. Lorsqu’elle élabore des orientations, des projets de normes techniques de réglementation et des projets de normes techniques d’exécution en application du présent règlement et conformément au règlement (UE) no 1093/2010, l’ABE devrait consulter toutes les parties concernées, notamment sur le marché des services de paiement, qui représentent tous les intérêts en présence.

(140)

L’ABE devrait, conformément à l’article 9, paragraphe 5, du règlement (UE) no 1093/2010, se voir accorder des pouvoirs d’intervention sur les produits afin de pouvoir temporairement interdire ou restreindre dans l’Union un type ou une fonctionnalité spécifique de service de paiement ou de service de monnaie électronique dont il est établi qu’il est susceptible de léser les consommateurs et qu’il menace le bon fonctionnement et l’intégrité des marchés financiers. Il y a donc lieu de modifier le règlement (UE) no 1093/2010 en conséquence. Avant d’exercer ces pouvoirs, l’ABE devrait s’assurer d’avoir consulté, dans la mesure du possible, les prestataires de services de paiement ou les prestataires tiers.

(140 bis)

L’ABE devrait disposer de toutes les ressources nécessaires, y compris les ressources humaines, afin de remplir son mandat au titre du présent règlement.

(141)

Il convient de modifier l’annexe du règlement (UE) 2017/2394 du Parlement européen et du Conseil (33) pour y insérer une référence au présent règlement, de manière à faciliter la coopération transfrontière pour ce qui concerne l’exécution du présent règlement.

(142)

Étant donné que l’objectif du présent règlement, à savoir une intégration plus poussée d’un marché intérieur des services de paiement, ne peut pas être atteint de manière suffisante par les États membres, puisqu’il suppose d’harmoniser plusieurs règles différentes du droit de l’Union et du droit national, mais qu’il peut, en raison de ses dimensions et de ses effets, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre cet objectif.

(143)

Étant donné que le présent règlement et la directive (UE) XXX (DSP3) établissent le cadre juridique régissant la prestation de services de paiement de détail et de services de monnaie électronique dans l’Union, afin de garantir la sécurité juridique et la cohérence du cadre juridique de l’Union, le présent règlement devrait s’appliquer à partir de la même date que la date d’application des dispositions législatives, réglementaires et administratives que les États membres sont tenus d’adopter pour se conformer à la directive (UE) XXX (DSP3). Toutefois, les dispositions imposant aux prestataires de services de paiement de vérifier les divergences entre le nom et l’identifiant unique d’un bénéficiaire en cas de virement et le régime de responsabilité correspondant devraient s’appliquer à partir de 24 mois après la date d’entrée en vigueur du présent règlement, ce qui laisserait aux prestataires de services de paiement suffisamment de temps pour prendre les mesures nécessaires pour adapter leurs systèmes internes afin de se conformer à ces exigences.

(144)

Conformément aux principes d’amélioration de la réglementation, le présent règlement devrait être réexaminé afin de déterminer s’il a atteint ses objectifs de manière efficace et efficiente. Le réexamen devrait avoir lieu suffisamment longtemps après la date d’application du présent règlement afin qu’il existe des éléments probants appropriés sur lesquels fonder ce réexamen. Une période de cinq ans est considérée comme une période appropriée. S’il convient que le réexamen porte sur le présent règlement dans son ensemble, une attention particulière devrait être accordée à certains sujets, à savoir le fonctionnement de la banque ouverte, la tarification des services de paiement et la proposition de solutions supplémentaires pour lutter contre la fraude. En ce qui concerne le champ d’application du présent règlement, il convient toutefois qu’un réexamen ait lieu plus tôt, à savoir trois ans après son entrée en application, compte tenu de l’importance attachée à cette question à l’article 58, paragraphe 2, du règlement (UE) 2022/2554 du Parlement européen et du Conseil (34). Ce réexamen du champ d’application devrait porter à la fois sur l’éventuelle extension de la liste des services de paiement couverts à des services tels que ceux fournis par les systèmes de paiement et les schémas de paiement, et sur l’éventuelle inclusion dans le champ d’application de certains services techniques actuellement exclus.

(145)

Le présent règlement respecte les droits fondamentaux et observe les principes reconnus par la charte des droits fondamentaux de l’Union européenne, notamment le droit au respect de la vie privée et familiale, le droit à la protection des données à caractère personnel, la liberté d’entreprise, le droit à un recours effectif et le droit à ne pas être jugé ou puni pénalement deux fois pour une même infraction. Le présent règlement doit être appliqué dans le respect de ces droits et de ces principes.

(146)

Les références à des montants en euros s’entendent comme la contre-valeur en monnaie nationale définie par chaque État membre dont la monnaie n’est pas l’euro.

(146 bis)

Les consommateurs devraient avoir accès à des recours proportionnés et effectifs, dont la réparation du préjudice subi. Ces recours devraient être sans préjudice de l’application d’autres recours dont disposent les consommateurs en vertu du droit de l’Union ou du droit national.

(147)

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (35) et a rendu un avis le [XX XX 2023] (36),

1)

«État membre d’origine», l’un des États membres suivants:

2)

«État membre d’accueil», l’État membre, autre que l’État membre d’origine, dans lequel un prestataire de services de paiement a un agent ou un distributeur ou détient une succursale ou fournit des services de paiement;

3)

«service de paiement», une ou plusieurs des activités énumérées à l’annexe I exercées à titre professionnel;

4)

«établissement de paiement», une personne morale qui, conformément à l’article 13 de la directive (UE) [DSP3], a obtenu un agrément l’autorisant à fournir des services de paiement ou des services de monnaie électronique dans toute l’Union;

5)

«opération de paiement», une action consistant à verser, à transférer ou à retirer des fonds, sur le fondement d’un ordre de paiement passé par le payeur ou pour son compte, ou par le bénéficiaire ou pour son compte, indépendamment de toute obligation sous-jacente entre le payeur et le bénéficiaire;

6)

«initiation d’une opération de paiement», les étapes nécessaires pour préparer l’exécution d’une opération de paiement, notamment la passation d’un ordre de paiement et l’achèvement du processus d’authentification;

7)

«initiation à distance d’une opération de paiement», une opération de paiement pour laquelle un ordre de paiement est passé par l’internet;

8)

«exécution d’une opération de paiement», le processus commençant une fois que l’initiation d’une opération de paiement est achevée et prenant fin une fois que les fonds versés, retirés ou transférés sont à la disposition du bénéficiaire;

9)

«système de paiement», un système permettant de transférer des fonds régi par des procédures formelles standardisées et des règles communes pour le traitement, la compensation ou le règlement d’opérations de paiement;

10)

«opérateur de système de paiement», l’entité juridique légalement responsable de l’exploitation d’un système de paiement;

11)

«payeur», une personne physique ou morale qui est titulaire d’un compte de paiement et passe un ordre de paiement à partir de ce compte de paiement, ou, en l’absence de compte de paiement, une personne physique ou morale qui passe un ordre de paiement;

12)

«bénéficiaire», une personne physique ou morale qui est le destinataire prévu de fonds faisant l’objet d’une opération de paiement;

13)

«utilisateur de services de paiement», une personne physique ou morale qui utilise un service de paiement ou un service de monnaie électronique en qualité de payeur, de bénéficiaire ou des deux;

14)

«prestataire de services de paiement», une entité visée à l’article 2, paragraphe 1, ou une personne physique ou morale bénéficiant d’une dérogation en vertu des articles 34, 36 ou 38 de la directive (UE) [DSP3];

15)

«compte de paiement», un compte détenu par un prestataire de services de paiement au nom d’un ou de plusieurs utilisateurs de services de paiement, qui est utilisé aux fins de l’exécution d’une ou de plusieurs opérations de paiement et qui permet d’envoyer et de recevoir des fonds à destination et en provenance de tiers;

16)

«ordre de paiement», une instruction d’un payeur ou d’un bénéficiaire à son prestataire de services de paiement demandant l’exécution d’une opération de paiement;

17)

«mandat», l’expression de l’autorisation donnée par le payeur au bénéficiaire et (directement ou indirectement par l’intermédiaire du bénéficiaire) au prestataire de services de paiement du payeur permettant au bénéficiaire d’initier une opération de paiement en vue de débiter le compte de paiement spécifié du payeur et permettant au prestataire de services de paiement du payeur de se conformer à ces instructions;

18)

«instrument de paiement», un ou plusieurs dispositifs individualisés et/ou un ensemble de procédures convenu entre l’utilisateur de services de paiement et le prestataire de services de paiement permettant l’initiation d’une opération de paiement;

19)

«prestataire de services de paiement gestionnaire du compte», un prestataire de services de paiement qui fournit et gère un compte de paiement pour un payeur;

20)

«service d’initiation de paiement», un service consistant à passer un ordre de paiement à la demande du payeur ou du bénéficiaire concernant un compte de paiement détenu auprès d’un autre prestataire de services de paiement;

21)

«service d’information sur les comptes», un service en ligne consistant à collecter, directement ou par l’intermédiaire d’un prestataire de services techniques, et à consolider des informations concernant un ou plusieurs comptes de paiement détenus par un utilisateur de services de paiement auprès d’un ou de plusieurs prestataires de services de paiement gestionnaires de comptes;

22)

«prestataire de services d’initiation de paiement», un prestataire de services de paiement fournissant des services d’initiation de paiement;

23)

«prestataire de services d’information sur les comptes», un prestataire de services de paiement fournissant des services d’information sur les comptes;

24)

«consommateur», une personne physique qui, dans le cadre des contrats de services de paiement régis par le présent règlement, agit dans un but autre que son activité commerciale ou professionnelle;

25)

«contrat-cadre», un contrat de services de paiement qui régit l’exécution future d’opérations de paiement particulières et successives et peut énoncer les obligations et les conditions liées à l’ouverture d’un compte de paiement;

26)

«transmission de fonds» (money remittance), un service de paiement pour lequel les fonds sont reçus de la part d’un payeur, sans création de comptes de paiement au nom du payeur ou du bénéficiaire, à la seule fin de transférer un montant correspondant vers un bénéficiaire ou un autre prestataire de services de paiement agissant pour le compte du bénéficiaire, ou pour lequel de tels fonds sont reçus pour le compte du bénéficiaire et mis à la disposition de celui-ci;

27)

«prélèvement», un service de paiement visant à débiter le compte de paiement d’un payeur, lorsqu’une opération de paiement est initiée par le bénéficiaire sur le fondement d’un mandat donné par le payeur au bénéficiaire, au prestataire de services de paiement du bénéficiaire ou au propre prestataire de services de paiement du payeur;

28)

«virement», un service de paiement, y compris les virements instantanés, fourni par le prestataire de services de paiement qui détient le compte de paiement du payeur ou par le prestataire de services de paiement qui détient le compte de paiement du bénéficiaire et consistant à créditer, sur le fondement d’une instruction du payeur, le compte de paiement d’un bénéficiaire par une opération ou une série d’opérations de paiement réalisées à partir du compte de paiement du payeur;

29)

«virement instantané», un virement qui est exécuté immédiatement, quels que soient le jour ou l’heure;

30)

«fonds», la monnaie de banque centrale émise pour une utilisation de détail, la monnaie scripturale et la monnaie électronique;

31)

«date de valeur», la date de référence utilisée par un prestataire de services de paiement pour calculer les intérêts applicables aux fonds débités d’un compte de paiement ou crédités sur un compte de paiement;

32)

«taux de change de référence», le taux de change qui sert de base pour calculer les coûts de conversion monétaire et qui est communiqué par le prestataire de services de paiement ou provient d’une source accessible au public;

33)

«taux d’intérêt de référence», le taux d’intérêt qui sert de base pour calculer les intérêts à appliquer et qui provient d’une source accessible au public pouvant être vérifiée par les deux parties à un contrat de services de paiement;

34)

«authentification», une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement particulier, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur;

34 bis)

«autorisation», une permission accordée dans le cadre d’une procédure où l’utilisateur de services de paiement authentifie une opération donnée librement et en toute connaissance de cause;

35)

«authentification forte du client», une authentification qui repose sur l’utilisation de deux éléments ou plus appartenant aux catégories «connaissance» (quelque chose que seul l’utilisateur connaît), «possession» (quelque chose que seul l’utilisateur possède) et «inhérence» (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification;

36)

«prestataire de services techniques», un prestataire qui fournit des services à l’appui de la prestation de services de paiement, sans entrer à aucun moment en possession des fonds à transférer;

37)

«données de sécurité personnalisées», des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification;

38)

«données de paiement sensibles», des données qui sont susceptibles d’être utilisées pour commettre une fraude, y compris les données de sécurité personnalisées;

39)

«identifiant unique», la combinaison de lettres, de chiffres ou de symboles indiquée par le prestataire de services de paiement à l’utilisateur de services de paiement , ou un proxy qui est associé de manière unique à cette combinaison , que l’utilisateur de services de paiement doit fournir pour permettre l’identification certaine d’un autre utilisateur de services de paiement ou du compte de paiement de cet autre utilisateur de services de paiement pour une opération de paiement;

40)

«moyen de communication à distance», toute méthode qui peut être utilisée pour la conclusion d’un contrat de services de paiement sans la présence physique simultanée du prestataire de services de paiement et de l’utilisateur de services de paiement;

41)

«support durable», tout instrument permettant à l’utilisateur de services de paiement de stocker les informations qui lui sont personnellement adressées d’une manière telle que ces informations puissent être consultées ultérieurement pendant une période adaptée à leur finalité et reproduites à l’identique;

42)

«microentreprise», une entreprise qui, au moment de la conclusion du contrat de service de paiement, est une entreprise au sens de l’article 1er et de l’article 2, paragraphes 1 et 3, de l’annexe de la recommandation 2003/361/CE;

43)

«jour ouvrable», un jour au cours duquel le prestataire de services de paiement du payeur ou du bénéficiaire intervenant dans l’exécution d’une opération de paiement exerce une activité permettant d’exécuter des opérations de paiement;

44)

«agent», une personne physique ou morale qui agit pour le compte d’un établissement de paiement pour la fourniture des services de paiement, à l’exclusion des services de monnaie électronique;

45)

«succursale», un siège d’exploitation autre que l’administration centrale qui constitue une partie d’un établissement de paiement, qui n’a pas de personnalité juridique et qui effectue directement, en tout ou en partie, les opérations inhérentes à l’activité d’un établissement de paiement; l’ensemble des sièges d’exploitation créés dans le même État membre par un établissement de paiement ayant son administration centrale dans un autre État membre sont considérés comme une seule succursale;

46)

«groupe», un groupe d’entreprises qui sont liées entre elles par une relation au sens de l’article 22, paragraphe 1, 2) ou 7) , de la directive 2013/34/UE du Parlement européen et du Conseil (40) ou d’établissements visés aux articles 4, 5, 6 et 7 du règlement délégué (UE) no 241/2014 (41) de la Commission qui sont liés entre eux par une relation au sens de l’article 10, paragraphe 1, de l’article 113, paragraphe 6, premier alinéa, ou de l’article 113, paragraphe 7, premier alinéa, du règlement (UE) no 575/2013;

47)

«contenu numérique», des biens ou des services qui sont produits et fournis sous forme numérique, dont l’utilisation ou la consommation est limitée à un dispositif technique et qui ne prévoient en aucune façon l’utilisation ou la consommation de biens et de services physiques;

48)

«acquisition d’opérations de paiement», un service de paiement fourni par un prestataire de services de paiement convenant par contrat avec un bénéficiaire d’accepter et de traiter des opérations de paiement, de telle sorte que les fonds soient transférés au bénéficiaire;

49)

«émission d’instruments de paiement», un service de paiement fourni par un prestataire de services de paiement convenant par contrat de fournir au payeur un instrument de paiement en vue d’initier et de traiter les opérations de paiement du payeur;

50)

«monnaie électronique», une valeur monétaire qui est stockée sous une forme électronique, y compris magnétique, représentant une créance sur l’émetteur, qui est émise contre la remise de fonds aux fins d’opérations de paiement et qui est acceptée par des personnes physiques ou morales autres que l’émetteur;

51)

«distributeur», une personne physique ou morale qui distribue ou rembourse de la monnaie électronique pour le compte d’un établissement de paiement;

52)

«services de monnaie électronique», l’émission de monnaie électronique, la tenue de comptes de paiement stockant des unités de monnaie électronique et le transfert d’unités de monnaie électronique;

53)

«dénomination commerciale», le nom communément utilisé par le bénéficiaire , dans le cadre des échanges commerciaux et de la publicité de son entreprise, pour s’identifier auprès du payeur;

54)

«fournisseurs de distributeurs automatiques de billets (DAB)», les opérateurs de distributeurs automatiques de billets qui ne détiennent pas de comptes de paiement;

55)

«établissement de paiement fournissant des services de monnaie électronique», un établissement de paiement qui fournit des services d’émission de monnaie électronique, de tenue de comptes de paiement stockant des unités de monnaie électronique, et de transfert d’unités de monnaie électronique, qu’il fournisse ou non l’un des services énumérés à l’annexe I;

55 bis)

«prestataire de services de communications électroniques», tout prestataire relevant du champ d’application:

a)

par dérogation aux articles 19, 20 et 24, le prestataire de services de paiement fournit au payeur uniquement des informations sur les principales caractéristiques du service de paiement, y compris la manière dont l’instrument de paiement peut être utilisé, la responsabilité, les frais perçus et d’autres informations concrètes nécessaires au payeur pour prendre une décision en connaissance de cause, ainsi qu’une indication de l’endroit où les autres informations et conditions prévues à l’article 20 sont disponibles de manière aisée;

b)

il peut être convenu entre les parties au contrat-cadre que, par dérogation à l’article 22, le prestataire de services de paiement n’est pas tenu de proposer une modification des clauses du contrat-cadre de la manière prévue à l’article 19, paragraphe 1;

c)

il peut être convenu par les parties au contrat-cadre que, par dérogation aux articles 25 et 26, après exécution d’une opération de paiement:

a)

une confirmation de la réussite de la passation de l’ordre de paiement auprès du prestataire de services de paiement gestionnaire du compte du payeur;

b)

une référence permettant au payeur et au bénéficiaire d’identifier l’opération de paiement et, le cas échéant, permettant au bénéficiaire d’identifier le payeur, ainsi que toute information communiquée lors de l’opération de paiement;

c)

le montant de l’opération de paiement;

d)

s’il y a lieu, le montant des frais payables au prestataire de services d’initiation de paiement pour l’opération de paiement et, le cas échéant, la ventilation des montants de ces frais.

a)

une référence permettant au payeur d’identifier l’opération de paiement ainsi que les informations nécessaires pour permettre l’identification certaine du bénéficiaire, y compris une référence à sa dénomination commerciale;

b)

le montant de l’opération de paiement exprimé dans la devise utilisée dans l’ordre de paiement;

c)

le montant des frais imputables au payeur pour l’opération de paiement et, le cas échéant, la ventilation des montants de ces frais;

d)

le cas échéant, le taux de change appliqué à l’opération de paiement par le prestataire de services de paiement du payeur ou une référence à ce taux, lorsqu’il est différent de celui prévu conformément à l’article 13, paragraphe 1, point e), et le montant de l’opération de paiement après cette conversion monétaire;

e)

la date de réception de l’ordre de paiement.

a)

une référence permettant au bénéficiaire d’identifier l’opération de paiement et, le cas échéant, le payeur, ainsi que toute information communiquée lors de l’opération de paiement;

b)

le montant de l’opération de paiement dans la devise dans laquelle les fonds sont à la disposition du bénéficiaire;

c)

le montant des frais imputables au bénéficiaire pour l’opération de paiement et, le cas échéant, la ventilation des montants de ces frais;

d)

le cas échéant, le taux de change appliqué à l’opération de paiement par le prestataire de services de paiement du bénéficiaire et le montant de l’opération de paiement avant cette conversion monétaire;

e)

la date de valeur du crédit.

a)

sur le prestataire de services de paiement:

b)

sur l’utilisation du service de paiement:

c)

sur les frais, les taux d’intérêt et les taux de change:

d)

sur la communication:

e)

sur les mesures de protection et les mesures correctives:

f)

sur la modification et la résiliation d’un contrat-cadre:

g)

sur les recours:

a)

le délai d’exécution maximal;

b)

les frais qui doivent être payés par le payeur , exprimés dans la devise de paiement et, le cas échéant, la marge de pourcentage sur les taux de change applicables par rapport au taux de change de référence conformément au règlement (UE) 2016/1011 ;

c)

le cas échéant, la ventilation des montants de ces frais avant que le payeur n’exécute le paiement .

a)

il communique de manière sécurisée avec les prestataires de services d’initiation de paiement;

b)

immédiatement après avoir reçu l’ordre de paiement d’un prestataire de services d’initiation de paiement, il fournit au prestataire de services d’initiation de paiement, ou met à sa disposition, toutes les informations sur l’initiation de l’opération de paiement et toutes les informations auxquelles il a lui-même accès concernant l’exécution de l’opération de paiement;

c)

il traite les ordres de paiement transmis grâce aux services d’un prestataire de services d’initiation de paiement comme si ces ordres de paiement avaient été transmis directement par le payeur ou le bénéficiaire, en particulier en ce qui concerne le délai, la priorité ou les frais.

a)

utilise l’instrument de paiement conformément aux conditions régissant l’émission et l’utilisation de cet instrument de paiement, qui sont objectives, non discriminatoires et proportionnées;

b)

lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de l’instrument de paiement ou des données de sécurité personnalisées concernées , en informe dans les meilleurs délais le prestataire de services de paiement ou l’entité désignée par celui-ci.