L'activité de processeur d'opérations de paiement d'importance systémique est réglementée par la loi du 24 mars 2017 relative à la surveillance des processeurs d'opérations de paiement (la "Loi"), entrée en vigueur le 24 avril 2017. Cette loi est applicable aux processeurs qui interviennent dans les opérations dans lesquelles tant l'initiateur du paiement (le "payeur") que son destinataire (le "bénéficiaire") opèrent en Belgique, quel que soit le lieu d'établissement du processeur.
Contexte
Des incidents ayant bloqué le système de paiement par carte bancaire en Belgique, notamment le 23 décembre 2013 – l'un des jours de commerce les plus intenses de l'année – ont amené le législateur belge à compléter le cadre réglementaire par une loi "afin de déterminer clairement quelles sont les parties responsables du traitement d'opérations de paiement en Belgique et offrir un meilleur ancrage légal aux instruments dont dispose la Banque nationale de Belgique [(la "BNB")] pour exercer concrètement sa mission de surveillance".
Pour l'instant, le principal outil réglementaire est constitué par les 24 "Principles for financial market infrastructures (PFMI)" adoptés par la BRI et IOSCO en avril 2012. D'autres réglementations existent ("soft law" ou "hard law"), comme le règlement de la BCE 795/2014 du 3 juillet 2014 concernant les exigences de surveillance applicables aux systèmes de paiement d'importance systémique et la directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur ("PSD II"), mais ces textes ont un autre objet. Le règlement BCE est applicable aux systèmes de paiement d'importance systémique. PSD II ne sera en principe pas applicable aux processeurs d'opérations de paiements, dans la mesure où ils n'offrent leurs services qu'à des prestataires de services de paiements.
Les processeurs d'opérations de paiement d'importance systémique
Un processeur est "toute personne physique ou morale qui propose des services de traitement d'opérations de paiement". La Loi exclut cependant certains processeurs, essentiellement ceux qui traitent des instruments de paiement sous format papier (chèques, lettre de change, titres de service, mandat postal) et ceux qui traitent des opérations de paiement dans le cadre d'opérations sur titres (qui sont éventuellement visés par le règlement UE/909/2014 concernant l'amélioration du règlement de titres dans l'Union européenne et les dépositaires centraux de titres – voir Eubelius Spotlights septembre 2014).
Le traitement d'opérations de paiement est "la mise en œuvre des processus techniques qui sont nécessaires et spécialement destinés à l'exécution d'une opération de paiement". Le simple service de messagerie financière (par exemple SWIFT) ne constitue pas, selon les travaux préparatoires, un "traitement" au sens de la Loi.
Une opération de paiement est "une action, initiée par le payeur ou le bénéficiaire, consistant à transférer de la monnaie scripturale, indépendamment de toute obligation sous-jacente entre le payeur et le bénéficiaire, et dans le cadre de laquelle (a) l'opération de paiement est effectuée entre des prestataires de services de paiement différents et (b) tant le prestataire de services de paiement du payeur que celui du bénéficiaire opèrent en Belgique".
Un processeur est d'importance systémique et est soumis aux règles prudentielles fixées par la Loi dès lors qu'il a traité plus de 125 millions d'opérations de paiement (au sens précisé ci-dessus) par an, au moyen d'un schéma de paiement déterminé ("payment scheme", par exemple Visa ou MasterCard) et qu'il a reçu notification par la BNB de cette qualification.
Obligations des exploitants de schémas de paiement
La Loi oblige également les exploitants de schéma de paiement de veiller avec la "diligence requise" ("due diligence") à ce que les processeurs d'importance systémique auxquels ils ont recours respectent les dispositions de la Loi.
Ils doivent en outre transmettre à la BNB, avant le 1er avril de chaque année, les informations nécessaires à celle-ci afin d'identifier les processeurs qui interviennent dans le traitement d'opérations de paiement dans leur schéma en Belgique et déterminer si ceux-ci sont d'importance systémique.
Règles prudentielles
Tout processeur d'importance systémique est tenu de respecter les règles suivantes, fondés notamment sur les principes 2, 3 et 17 et l'Annexe F des PFMIs dans l'exercice de son activité :
- identifier les causes vraisemblables de risques opérationnels internes et externes pour le traitement des transactions de paiement;
- disposer d'une politique de gestion des risques et de procédures et systèmes lui permettant de maîtriser les risques qui surviennent ou qu'il supporte;
- mettre en œuvre une gestion de la continuité des activités et disposer de plans de continuité des activités; et
- mettre en œuvre les stratégies et procédures appropriées, ainsi que les ressources suffisantes pour assurer la confidentialité et l'intégrité des informations, ainsi que la disponibilité continue de la fourniture de ses services.
Les processeurs d'importance systémique doivent, en cas d'indisponibilité de leurs services de traitement des opérations de paiement pendant un jour ouvrable, avertir la BNB dans les 15 minutes de la détection de l'incident ou, si cet incident a lieu en dehors d'un jour ouvrable ou après 20h le soir et avant 8h le matin, dans les meilleurs délais après la détection de l'incident. Il doit ensuite faire un rapport exhaustif de l'incident à la BNB. Une interruption ne peut durer plus de 30 minutes ou 60 minutes selon le moment où a lieu l'incident (avant ou après 20h). Sur un trimestre, elle ne peut durer cumulativement plus de 30 minutes ou 120 minutes.
Les principes en matière d'externalisation de "tâches opérationnelles importantes relatives au traitement d'opérations de paiement" sont comparables à ceux applicables aux établissements de crédit. En outre, une telle externalisation doit être autorisée par la BNB, ce qui constitue une contrainte nouvelle importante.
Les fusions entre processeurs d'importance systémique et entre ces processeurs et d'autres entreprises sont soumises à l'autorisation préalable de la BNB.
Surveillance de la BNB
La BNB exerce une surveillance sur les schémas de paiement et leur exploitant ainsi que sur les processeurs d'importance systémique.
Dans ce cadre, la BNB peut exiger des exploitants et des processeurs d'importance systémique la remise de "tous renseignements sur leur organisation, fonctionnement, situation financière et les opérations de paiement traitées", et imposer "que des données chiffrées ou d'autres documents et explications lui soient fournis régulièrement". La BNB peut également procéder à des inspections auprès des exploitants et des processeurs.
Injonctions administratives – sanctions
La BNB "peut, lorsqu'elle constate qu'un processeur d'importance systémique n'agit pas en conformité avec les dispositions de la loi ou que l'exercice de son activité présente une menace pour la stabilité et la continuité des paiements en Belgique, fixer un délai dans lequel il doit être remédié à cette situation ou dans lequel le processeur doit se conformer à des dispositions précises de la […] loi […]".
En cas de non-respect de ce délai, la BNB peut infliger une astreinte au processeur "qui ne pourra excéder 50.000 euros par jour, ni 2.500.000 euros au total". Elle peut par ailleurs rendre public que le processeur ne s'est pas conformé à ses injonctions. Il s'agit de mesures administratives et non de sanctions.
En cas d'infraction à certaines obligations énoncées par la loi, la BNB peut prononcer une amende administrative à l'encontre d'un processeur d'importance systémique ou de l'exploitant d'un schéma de paiement. Ces amendes ne peuvent "être inférieure à 25.000 euros, ni dépasser le montant le plus élevé de 25.000.000 euros ou 10% du chiffre d'affaires annuel de l'exercice comptable précédent". Un recours devant la Cour d'appel de Bruxelles est possible contre une telle sanction.
Enfin, la BNB peut interdire à l'exploitant d'un schéma de paiement de faire appel aux services d'un processeur ayant fait l'objet d'une amende administrative.