Les FinTechs en droit des services de paiement : une opportunité sous contrôle

30 mars 2017 : Date de la première décision de l’ACPR concernant une FinTech en droit des services de paiement. Première décision et première sanction pécuniaire : Lemon Way est condamnée à payer 80 000 euros d’amende. A cette occasion, revenons sur ce petit monde numérique en ébullition depuis 2008. Perçues comme autant d’innovations, les FinTechs ne restent pas moins des acteurs du marché agissant dans des secteurs régulés/contrôlés : le monde bancaire et financier.

Photo by CafeCredit under CC 2.0

Les FinTechs

Victor Hugo résumait l’innovation à l’audace. Pour progresser, il faut oser. [1]

De la hardiesse ou du culot, quelques traders en ont eu. Alors que la crise économique et financière de 2008 avait ravagé les marchés financiers et le monde bancaire, ces derniers n’ont pas hésité. Ni une, ni deux, ils ont démissionné et se sont lancés dans une nouvelle aventure : l’aventure entrepreneuriale.

Ainsi, la crise financière de 2008 a indirectement engendré l’essor de multiples entreprises/start-up. Ces jeunes pouces ont fleuri et se sont développées. Elles sont aujourd’hui regroupées sous la dénomination « FinTech ».

.

Que sont les FinTech ? Les FinTechs, contraction de « technologie financière », désignent les acteurs spécialisés dans la mise en œuvre d’innovations numériques et technologiques pour la sphère financière, qu’il s’agisse de la prestation de services extérieurs à des clients particuliers (nouvelles solutions de paiement, financement participatif, etc.) ou de processus internes (big data, blockchain)[2].

Intéressons-nous plus spécifiquement aux services de paiement et donc au droit des services de paiement.

.

Les FinTechs en droit des services de paiement

Le droit des services de paiement est un sous-ensemble du droit bancaire et concerne spécifiquement les services de paiement. Un service de paiement est toute activité visant à intermédier des fonds appartenant à un tiers (ex : versements et retraits d’espèces sur le compte, émission d’instruments de paiement, …)

Ce droit d’origine européenne[3] crée un marché unique des services de paiement. Il vise à trouver un équilibre entre offrir un cadre juridique aux consommateurs aussi protecteur que celui dont ils disposaient (protection du consommateur), garantir une stabilité du système de paiement (stabilité et sécurité du système de paiement) et faire profiter les acteurs français des opportunités d’ouverture du marché (ouverture du marché aux nouveaux acteurs).

Ainsi, l’intérêt est également de permettre l’apparition d’acteurs externes maîtrisant les nouvelles technologies (FinTech) et ayant la capacité d’exercer une concurrence sur le marché.

Cette concurrence peut avoir des effets bénéfiques pour les consommateurs (baisse de prix, innovation, …). Toutefois, cette ouverture est encadrée. C’est pourquoi, un des enjeux de la seconde directive sur les services de paiement (DSP 2) est de poser des normes adaptées aux nouveaux acteurs issus des FinTechs (comme les plate-formes de paiement en ligne).

.

Incidence des FinTechs sur la régulation : entre adaptation et fermeté

Les FinTechs permettent la désintermédiation des acteurs bancaires traditionnels et tendent ainsi à la facilitation de la relation client et à l’allègement de « lourdeurs réglementaires »[4].

Partant de ce constat, les FinTechs peuvent être une source de risques nouveaux (notamment en terme de blanchiment de capitaux et de financement du terrorisme)[5]. Nous ne parlerons pas ici de la régulation des FinTechs tenant à la protection des données à caractères personnel, ni de la réglementation de celles-ci vis-à-vis de la Blockchain[6].

Les régulateurs nationaux (ACPR et AMF) entendent s’adapter à ces nouveaux acteurs afin d’instaurer un dialogue[7]. Cette volonté est d’autant plus témoignée que les droits nationaux entrent en concurrence sur ce point. L’avenir incertain de la place financière londonienne, suite au vote du Brexit, n’a fait qu’accroître cette compétition. En effet, Paris, Dublin ou Berlin bataillent pour attirer les FinTechs (à la clés : innovations, emplois et croissance)[8]

Néanmoins, il n’est pas question d’accorder des faveurs à ces FinTechs du droit des services de paiement auxquelles les acteurs traditionnels n’auraient pas droit[9]. Cela créerait une distorsion de concurrence. Ainsi, au-delà d’un ensemble de règles communes s’imposant aux acteurs du marché, des normes spécifiques s’appliquent aux FinTechs. Elles visent l’identification des clients des FinTechs par celles-ci. Les dispositions, obligeant la FinTech à connaître et à vérifier l’identité de son client, entendent lutter, entre autres, contre le blanchiment d’argent et le financement du terrorisme.

A titre d’exemple, prenons le cas récent de Lemon Way.

.

Lemon Way et l’ACPR : une sanction riche d’enseignements

Fondée en 2008, Lemon Way est une FinTech fournissant une solution de conversion de monnaies entre opérateurs de Bitcoins.

Le Bitcoin[10] est une monnaie virtuelle (ou crypto-monnaie) décentralisée (si seulement on admet qu’il s’agisse d’une monnaie). Cela signifie qu’il n’y a pas de banque centrale[11], son fonctionnement est donc supporté par des échanges de pair-à-pair et sur des algorithmes de chiffrement cryptés.

L’absence d’autorité monétaire centralisée accorde à ces monnaies une dimension internationale. Ainsi, le Bitcoin peut faire l’objet d’échanges à travers le monde, à faible coût (coût de la connexion internet) et de manière anonyme et instantanée.

Outre ces aspects, le Bitcoin présente un fort risque de change (fluctuations importantes du cours du Bitcoin par rapport à une autre valeur)[12]. Cette caractéristique a donné un certain attrait au Bitcoin. Ce risque de change est utilisé par les agents économiques à des fins spéculatives (anticipation d’une évolution du cours afin d’en tirer une plus-value). Plusieurs moyens existent pour obtenir des Bitcoins (minage, transaction, …), le plus répandu reste celui de l’échange d’une devise traditionnelle (euro, dollar, …) contre son équivalent en Bitcoins.

.

Cet échange a lieu sur des plate-formes dites d’échange de Bitcoins et c’est justement ce qu’effectue Lemon Way.

.

Étant entendu que le Bitcoin ne connaît pas de banque centrale et que cette dernière a pour but de surveiller les systèmes de paiement, le Bitcoin pourrait être un moyen de rémunérer des activités illicites. Afin d’éviter cela, la Banque de France, le 5 déc 2013, avait rendu un document public expliquant que l’activité de change/conversion de monnaies virtuelles en devises ayant un cours légal entre dans le champ de la réglementation française[13]. Il s’agit donc d’un service de paiement au sens de l’article L 314-1 du CMF. Dès lors, les sociétés désirant exercer en France une activité rentrant dans le champ de l’article du code monétaire et financier doivent recevoir un agrément délivré par l’ACPR (autorité administrative indépendante compétente dans ce domaine),  l’agrément d’une société par l’ACPR valant pour tous les États membres de l’Union Européenne[14].

En schématisant, cet agrément agit comme une qualification : cela permet de placer la société sous un régime juridique (ensemble de règles donnant des droits et des obligations à la personne visée). C’est pourquoi, outre le contrôle d’une personne morale par l’ACPR a priori (soit avant l’attribution de l’agrément), d’autres contrôles de cette même personne morale, visant à vérifier la conformité de ses comportements vis à vis des normes qui lui sont applicables, peuvent être réalisés par le gendarme bancaire (contrôle après l’attribution de l’agrément).

.

C’est à la suite d’un contrôle de Lemon Way a posteriori, contrôle s’étant révélé insuffisant, que la commission des sanctions de l’ACPR a rendu sa décision[15].

.

Avant sa décision concernant Lemon Way, l’ACPR avait prévenu les FinTechs. En effet, dans une décision en date du 8 déc. 2016[16], la commission des sanctions souligne le risque que représente les Bitcoins par rapport aux dispositifs LCB-FT (lutte contre le blanchiment d’argent et de financement du terrorisme).

Ce dispositif impose à certains professionnels (dont les établissements de paiement) de  déclarer à TRACFIN[17] toutes les sommes ou les opérations portant sur des sommes dont ils savent ou soupçonnent qu’elles proviennent d’une infraction passible d’une peine de prison supérieure à un an ou participent au financement des activités terroristes[18]. Concrètement, les établissements de paiement fixent des seuils au-delà desquels TRACFIN est alerté.

.

Dans sa décision Lemon Way, l’ACPR relève que l’entreprise avait posé des seuils trop élevés (100 000 euros sur un an par utilisateur), ce qui rend inefficace le dispositif LCB-FT. Par ailleurs, le gendarme bancaire a mis en lumière l’inexistence d’une procédure de vérification (contrôle) de l’identité des utilisateurs de la FinTech.

.

Des seuils trop élevés rendant le dispositif LCB-FT inefficace, des procédures d’identification non automatisées … La commission des sanctions a tranché et une sanction pécuniaire a été prononcée.

.

Première décision de l’ACPR concernant les FinTechs et première sanction. Alors que cette décision en inaugure d’autres[19], celle-ci est riche d’enseignements.

.

Tout d’abord, le premier enseignement est général. En France, il n’y a pas de sandbox. Les FinTechs connaissent le même régime que leurs concurrents-partenaires (banques). L’approche adoptée par l’ACPR est effectivement proportionnelle puisqu’elle sanctionne la FinTech pour ses manquements à hauteur de son assise financière. Cette sanction est la première dans le monde des FinTechs. Elle a donc une valeur symbolique et pédagogique : c’est un avertissement pour les nouveaux acteurs.

Ensuite, le second enseignement est celui de la start-up. Lemon Way a très vite communiqué sur cette décision[20]. La jeune pousse assure avoir renforcé ses équipes de contrôle (portant ses effectifs jusqu’à 20 salariés, soit 1/4 de la masse salariale de l’entreprise) et créé une procédure d’automatisation du contrôle d’identité. Elle a également réduit ses seuils d’avertissement. Enfin, la FinTech entend « faire du respect des contraintes réglementaires son cœur de métier ».

Finalement, cette décision aura au moins eu pour conséquence positive d’inciter Lemon Way à investir un nouveau marché : celui des RegTechs (branche des FinTechs aidant les acteurs financiers à gérer les contraintes réglementaires de manière innovante afin de réduire leurs coûts).

François Galéa

M1 Droit des Affaires, Paris-Saclay


Sources : 

[1]Les Contemplations, Victor Hugo, 1856 : « Osez ; le progrès est à ce prix »

[2]Revue de la stabilité financière, 20 avril 2016, p. 184

[3]Droit apparu depuis la Directive SEPA de 2007, transposé en droit interne par l’ordonnance du 15 juillet 2009 relative aux conditions régissant la fourniture de services de paiement. La Directive DSP 2 a été votée par le Parlement Européen, la Loi Sapin II relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, entrée en vigueur le 11 déc 2016, habilite le gouvernement à transposer cette seconde directive par voie d’ordonnance. La date d’entrée en vigueur des dispositions mis en place par cette nouvelle directive est fixée au 13 janvier 2018.

[4]L’apport des FinTechs au droit des services de paiement, Étude par Pierre STORRER avocat au barreau de Paris, Kramer Levin Naftalis & Frankel LLP, Revue de Droit bancaire et financier n°1, Janvier 2017, dossier 6

[5]Tracfin, Tendances et analyse des risques de blanchiment de capitaux et de financement du terrorisme en 2015, p. 62

[6]Pour plus d’informations sur la Blockchain : Fonctionnement de la Blockchain – Compatibilité avec un environnement réglementé : que peut-on et que doit-on réglementer dans une Blockchain ? Étude par Isabelle Renard Avocat – Cabinet Irenard, Revue de Droit bancaire et financier n° 1, Janvier 2017, dossier 3

[7]En ce sens, l’ACPR et l’AMF ont crée respectivement un pôle ACPR-FinTech et une division Innovation-Compétitivité dédiés aux FinTech. Ces deux département se regroupant au sein d’un forum-FinTech.

[8]Les Echos, Brexit : les places financières européennes courtisent la fintech londonienne

[9]Il s’agit d’une volonté des régulateurs dans la majorité des pays dont la France. Néanmoins, dans d’autres (Royaume-Uni, Singapour, Hong Kong, …), les FinTech jouissent d’une politique particulière, Sandbox ou théorie du bac à sable, leur offrant un cadre juridique allégé. En France, les régulateurs ont adopté une approche proportionnelle. Cela signifie que la conformité d’un comportement vis à vis d’une norme est appréciée en prenant en compte la taille de l’entité contrôlée.

[10]Pour plus d’informations : Bitcoin et Blockchain : quelles opportunités ?, Jean-Marc Fgue,  Revue d’économie financière, 2016 n°3

[11]Le rôle d’une banque centrale est de mener une politique monétaire, de surveiller les systèmes de paiement et d’assurer la stabilité du système bancaire en cas de risque systémique en étant un prêteur de dernier ressort.

[12]https://www.abcbourse.com/

[13]Les dangers liés au développement des monnaies virtuelles, Banque de France, 5 déc 2013

[14]C’est une conséquence du Passeport Européen. Une société ayant obtenu un agrément par l’autorité de son pays d’origine peut exercer ses activités dans toute l’UE ou dans un État partie à l’accord sur l’Espace économie européen. Appliqué aux Fintech, le Passeport Européen conduit les régulateurs des États membres à se coordonner et à adopter une approche similaire pour une même question.

[15]Décision de l’ACPR du 30 mars 2017, Lemon Way

[16]Décision de l’ACPR du 8 décembre 2016, Axa France-Vie

[17]Traitement du renseignement et action contre les circuits financiers clandestins, organisme du ministère de l’économie et des finances chargé de la lutte contre le blanchiment d’argent

[18]Article L 526-2-1° bis du code monétaire et financier

[19]D’autres contrôles de FinTech ont été entrepris depuis 2016 par l’ACPR.

[20]Contrôle de l’ACPR : Lemon Way en tire tous les enseignements, disponible sur https://www.lemonway.com/fr

MasterIPIT

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.