B. LA RÉVISION DES CONDITIONS D'AGRÉMENT ET D'EXERCICE DES SERVICES DE PAIEMENT
La directive fixe les conditions d'octroi et de retrait d'agrément des prestataires de services de paiement ainsi que les conditions d'exercice de ces services.
Elle reprend largement à cet égard la directive précédente 8 ( * ) et la complète, en particulier les conditions de délivrance des agréments. Elle révise également le capital initial minimum, prévoit un contrôle de l'actionnariat en cas de cession d'une participation qualifiée, fixe le mode calcul des fonds propres, définit les exigences de protection des fonds reçus des utilisateurs des services de paiement ou d'autres prestataires de services de paiement et précise les règles comptables applicables.
Elle définit en outre les activités complémentaires que les établissements de paiement sont autorisés à exercer et encadre l'externalisation de leurs activités.
C. LA SURVEILLANCE PRUDENTIELLE COORDONNÉE DES ÉTABLISSEMENTS DE PAIEMENT
La directive précise par ailleurs les modalités de surveillance prudentielle des établissements de paiement et organise les échanges d'informations entre les autorités nationales compétentes pour cette surveillance. Pour faciliter la coordination et renforcer la réactivité de la surveillance transfrontalière, elle laisse la possibilité aux États membres d'exiger des établissements de paiement exerçant sur leur territoire en vertu du droit d'établissement qu'ils désignent un point de contact central sur leur territoire.
Par ailleurs, elle instaure un système de règlement des différends entre les autorités nationales de supervision et leur ouvre la possibilité de demander l'assistance de l'Autorité bancaire européenne (ABE).
Enfin, elle étend les pouvoirs des États membres d'accueil en cas de non-conformité des établissements de paiement aux règles générales s'imposant à eux.
D. LE RENFORCEMENT DES EXIGENCES DE SÉCURITÉ DES DONNÉES
La directive prévoit des normes techniques de sécurité exigeantes comme l'« authentification forte » des clients, qui combine plusieurs éléments d'authentification afin de mieux protéger les consommateurs lorsqu'ils effectuent des paiements ou des transactions électroniques, par exemple dans le cadre de l'utilisation des services de banque en ligne ou lors d'achats en ligne.
Sauf dérogation, les prestataires de services de paiement devront prouver qu'ils ont mis en oeuvre, testé et vérifié ces mesures de sécurité.
E. LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL DES CLIENTS
Les données à caractère personnel sont strictement protégées 9 ( * ) . L'accès à ces données, leur utilisation et leur traitement ne sont en effet possibles qu'avec l'autorisation expresse préalable du client. Les prestataires de services de paiement tiers ne peuvent donc pas accéder à des données du compte de paiement autres que celles qui ont fait l'objet d'une telle autorisation.
En outre, une fois que des interfaces de programme sécurisées 10 ( * ) auront été mises en place par les établissements de paiement, ces prestataires ne devraient plus pouvoir accéder aux données du client par le recours aux techniques de capture de données d'écran (« screen scraping »), qui utilisent les données de sécurité communiquées par le client du client et qu'elles pratiquent actuellement. Outre qu'elle impose une ressaisie fastidieuse des données, cette technique est peu sécurisée car elle donne accès à l'état des comptes sans véritable traçabilité ni encadrement, sans compter l'incertitude quant au régime de responsabilité afférent en cas de détournement des données.
* 8 Directive 2007/64/CE du 13 novembre 2007 concernant les services de paiement dans le marché intérieur.
* 9 Y compris le droit d'accès et le droit à l'oubli, conformément au Règlement général de protection des données personnelles (RGPDP).
* 10 Ou API (pour « application programming interface »).