24 MARS 2017. - Loi relative à la surveillance des processeurs d'opérations de paiement

CHAPITRE 1er. - Objectif. - Définitions. - Champ d'application

Article 1er. La présente loi règle une matière visée à l'article 74 de la Constitution.

Article 2. La présente loi règle la surveillance des activités des processeurs d'opérations de paiement, ainsi que le contrôle du respect des dispositions de la présente loi et des arrêtés et règlements adoptés aux fins de son exécution.

Les missions dévolues à la Banque par la présente loi font partie des missions visées à l'article 8 de la loi du 22 février 1998 fixant le statut organique de la Banque nationale de Belgique.

Article 3. Aux fins de l'application de la présente loi, il y a lieu d'entendre par:

1° traitement d'opérations de paiement: la mise en oeuvre des processus techniques qui sont nécessaires et spécialement destinés à l'exécution d'une opération de paiement;

2° processeur: toute personne physique ou morale qui propose des services de traitement d'opérations de paiement;

3° processeur d'importance systémique: tout processeur qui dépasse le seuil visé à l'article 5;

4° opération de paiement: une action, initiée par le payeur ou le bénéficiaire, consistant à transférer de la monnaie scripturale, indépendamment de toute obligation sous-jacente entre le payeur et le bénéficiaire, et dans le cadre de laquelle (a) l'opération de paiement est effectuée entre des prestataires de services de paiement différents et (b) tant le prestataire de services de paiement du payeur que celui du bénéficiaire opèrent en Belgique;

5° prestataire de services de paiement: les établissements et autorités visés à l'article 5 de la loi du 21 décembre 2009;

6° payeur: une personne physique ou morale qui est titulaire d'un compte de paiement et autorise un ordre de paiement à partir de ce compte de paiement, ou, en l'absence de compte de paiement, une personne physique ou morale qui donne un ordre de paiement;

7° bénéficiaire: une personne physique ou morale qui est le destinataire prévu de la monnaie scripturale ayant fait l'objet d'une opération de paiement;

8° compte de paiement: un compte qui est détenu au nom d'un ou de plusieurs utilisateurs de services de paiement et qui est utilisé aux fins de l'exécution d'opérations de paiement;

9° utilisateur de services de paiement: une personne physique ou morale qui utilise un service de paiement en qualité de payeur ou de bénéficiaire, ou des deux;

10° service de paiement: toute activité professionnelle visée à l'article 4, 1°, de la loi du 21 décembre 2009;

11° ordre de paiement: toute instruction d'un payeur ou d'un bénéficiaire à son prestataire de services de paiement demandant l'exécution d'une opération de paiement;

12° schéma de paiement: un ensemble unique, opérant en Belgique, de règles, de pratiques, de normes et/ou de lignes directrices pour l'exécution d'opérations de paiement, convenu entre des prestataires de services de paiement, distinct d'une infrastructure ou d'un système de paiement qui en soutient le fonctionnement;

13° exploitant d'un schéma de paiement: un organe décisionnel, un organisme ou une entité qui est juridiquement responsable du fonctionnement d'un schéma de paiement;

14° externalisation: tout accord, quelle que soit sa forme, entre un processeur et un prestataire de services en vertu duquel ce prestataire de services prend en charge un processus, un service ou une activité qui aurait autrement été pris en charge par le processeur lui-même;

15° tâche opérationnelle importante: toute tâche qui, en cas d'anomalie ou de défaillance dans son exercice, est susceptible de nuire sérieusement à la capacité du processeur de se conformer en permanence aux obligations qui lui incombent en vertu de la présente loi, ou à la continuité et à la stabilité de ses services et du circuit de paiement belge;

16° la Banque: l'organisme visé dans la loi du 22 février 1998;

17° virement: un service de paiement fourni par le prestataire de services de paiement qui détient le compte de paiement d'un payeur, visant à créditer, sur la base d'une instruction donnée par le payeur, le compte de paiement d'un bénéficiaire par une opération ou une série d'opérations de paiement, réalisées à partir du compte de paiement du payeur;

18° domiciliation: un service de paiement visant à débiter le compte de paiement d'un payeur, lorsqu'une opération de paiement est initiée par le bénéficiaire sur la base du consentement donné par le payeur au bénéficiaire, au prestataire de services de paiement du bénéficiaire ou au propre prestataire de services de paiement du payeur;

19° loi du 22 février 1998: la loi du 22 février 1998 fixant le statut organique de la Banque nationale de Belgique;

20° loi du 21 décembre 2009: la loi du 21 décembre 2009 relative au statut des établissements de paiement et des établissements de monnaie électronique, à l'accès à l'activité de prestataires de services de paiement, à l'activité d'émission de monnaie électronique et à l'accès aux systèmes de paiement;

21° jour ouvrable: tous les jours à l'exception des dimanches et jours fériés.

Article 4. La présente loi ne s'applique pas:

1° au traitement d'opérations de paiement fondées sur l'un des documents suivants, émis par le prestataire de services de paiement en vue de mettre de la monnaie scripturale à la disposition du bénéficiaire:

ii) une lettre de change sur support papier, visée à l'article 1er des lois coordonnées sur la lettre de change et le billet à ordre, insérées dans le titre VIII du livre Ier du Code de commerce, ainsi que toute autre forme similaire de lettre de change sur support papier qui, quelle que soit sa dénomination ou sa forme, est assortie des mêmes effets juridiques;

iii) un titre de service sur support papier, dont le titre-service sur support papier visé à l'article 2, 1°, de la loi du 20 juillet 2001 visant à favoriser le développement de services et d'emplois de proximité, ou un chèque-repas sur support papier;

iv) un chèque de voyage sur support papier;

2° au traitement d'opérations de paiement effectuées au sein d'un système de paiement ou de règlement d'opérations sur titres;

3° au traitement de virements et domiciliations.

CHAPITRE 2. - Seuil et obligations de notification

Article 5. Si un processeur a fourni des services aux fins du traitement d'un minimum de cent vingt-cinq millions d'opérations de paiement, calculées sur l'année antérieure, au moyen d'un schéma de paiement déterminé, ce processeur est considéré comme un processeur d'importance systémique à partir du moment auquel la notification visée à l'article 6, § 3 prend effet.

Sur avis de la Banque, le Roi est habilité à:

1° modifier le montant du seuil visé à l'alinéa 1er;

2° fixer des règles plus précises pour le calcul du seuil visé à l'alinéa 1er.

Article 6. § 1er. Tout exploitant d'un schéma de paiement transmet à la Banque, avant le 1er avril, les informations suivantes concernant chaque processeur auquel il fait appel:

1° le nom, les prénoms, le domicile et le lieu de résidence, ainsi que la date de naissance de tout processeur qui est une personne physique;

2° la dénomination sociale, la forme juridique et l'adresse du siège social ou du siège central du processeur qui est une personne morale;

3° le nombre d'opérations de paiement effectuées au moyen de son schéma de paiement au cours de l'année précédente, ainsi que la part dans ce nombre total d'opérations de paiement que représente chaque processeur auquel le schéma recourt.

§ 2. Tout processeur est tenu d'informer immédiatement la Banque et le schéma de paiement pour lequel il fournit des services en cas de dépassement du seuil visé à l'article 5.

§ 3. La Banque notifie à un processeur qui dépasse le seuil visé à l'article 5 sa qualification en tant que processeur d'importance systémique. La Banque peut, à cette fin, tenir compte de toute information qu'elle reçoit en vertu des paragraphes 1er et 2. La Banque peut toutefois aussi tenir compte de toute autre information dont elle dispose dans l'exercice de ses missions.

La Banque porte sa notification motivée à la connaissance du processeur et de l'exploitant du schéma de paiement concerné, soit par lettre recommandée à la poste, soit par courrier avec accusé de réception. Cette notification prend effet à compter de la date arrêtée par la Banque, mais au plus tôt un mois après la date de la notification, et ce jusqu'à ce que la Banque fournisse au processeur d'importance systémique une notification telle que visée au paragraphe 4.

§ 4. Un processeur n'est plus considéré comme un processeur d'importance systémique dès lors qu'il ne dépasse plus le seuil visé à l'article 5 et que la Banque le lui a notifié. La Banque peut procéder à cette notification:

1° de sa propre initiative, sur la base d'informations qu'elle reçoit en vertu du paragraphe 1er, ainsi que sur la base de toute autre information dont elle dispose dans l'exercice de ses missions;

2° sur demande d'un processeur d'importance systémique, auquel cas ce processeur joint à sa requête toutes les explications ou données chiffrées nécessaires. La Banque peut ensuite décider quelles données chiffrées ou explications sont requises.

Article 7. La Banque conserve une liste de tous les processeurs à qui elle a fourni une notification en vertu de l'article 6, § 3. La Banque publie cette liste sur son site internet. La Banque est tenue de mettre régulièrement à jour les informations figurant sur son site internet. Ces mises à jour tiennent notamment compte des notifications effectuées, le cas échéant, en vertu de l'article 6, § 4.

La liste visée à l'alinéa 1er doit mentionner au minimum les informations suivantes concernant chaque processeur:

1° la date à laquelle la notification a été transmise ainsi que la date à laquelle la notification prend effet, conformément à l'article 6, § 3, alinéa 2;

2° le nom, les prénoms, le domicile, le lieu de résidence, ainsi que la date de naissance de tout processeur qui est une personne physique;

3° la dénomination sociale, la forme juridique et l'adresse du siège social ou du siège central du processeur, qui est une personne morale.

CHAPITRE 3. - Exercice de l'activité

Article 8. Tout exploitant d'un schéma de paiement est tenu de s'assurer que tout processeur d'importance systémique auquel le schéma recourt est à même de respecter les dispositions du présent chapitre. L'exploitant du schéma de paiement fait preuve à cet égard de la diligence requise.

La Banque peut préciser par voie de règlement visé à l'article 8, § 2, de la loi du 22 février 1998, ce qu'il y a lieu d'entendre par les dispositions de l'alinéa 1er.

Article 9. Sont soumises à l'autorisation préalable de la Banque les fusions entre processeurs d'importance systémique et les fusions entre ces processeurs et d'autres entreprises.

Sont, pour l'application du présent article, assimilé à des fusions, les cessions de l'ensemble ou d'une partie de l'activité et les cessions de l'ensemble ou d'une partie du réseau.

En vue d'une gestion saine et prudente, d'une maîtrise adéquate des risques et de la continuité et de la stabilité des paiements en Belgique, la Banque peut soumettre les fusions visées à l'alinéa 1er à des conditions.

La Banque ne peut refuser son autorisation que dans les trois mois de la notification préalable qui lui a été faite du projet avec présentation d'un dossier complet, et pour des motifs relatifs à la gestion saine et prudente du processeur d'importance systémique et à l'incidence de la proposition sur la continuité et la stabilité des paiements en Belgique. Si elle n'intervient pas dans le délai fixé ci-dessus, l'autorisation est réputée acquise.

Article 10. Un processeur d'importance systémique ne peut externaliser des tâches opérationnelles importantes relatives au traitement d'opérations de paiement à un prestataire de services qu'aux conditions suivantes:

1° l'autorisation préalable de la Banque est requise;

2° l'externalisation n'entraîne aucune délégation de la responsabilité de la direction générale du processeur;

3° la relation et les obligations du processeur à l'égard des prestataires de services de paiement et des schémas de paiement ne sont pas modifiées;

4° le respect des conditions que le processeur est tenu de remplir en vertu de la présente loi n'est pas altéré;

5° l'externalisation ne peut pas être faite d'une manière qui nuise sérieusement à la qualité du contrôle interne du processeur et qui empêche la Banque de contrôler le respect, par le processeur, de ses obligations.

Eu égard à la nécessité d'une gestion saine et prudente, d'une maîtrise adéquate des risques et de la continuité et de la stabilité des paiements en Belgique, la Banque peut soumettre l'externalisation des tâches opérationnelles importantes à des conditions additionnelles.

Dans l'externalisation d'activités, le processeur d'importance systémique demeure entièrement responsable des actes posés par le prestataire de services.

Article 11. § 1er. Tout processeur d'importance systémique est tenu d'identifier les causes vraisemblables de risques opérationnels internes et externes pour le traitement des transactions de paiement et d'en limiter l'incidence au moyen d'une politique adéquate et de systèmes adéquats, de procédures et de contrôles adéquats. Les procédures de maîtrise des risques doivent être efficaces.

§ 2. Tout processeur d'importance systémique est tenu de concevoir ses systèmes de telle sorte qu'ils garantissent un degré élevé de sécurité, d'intégrité, de confidentialité, ainsi que de fiabilité, de stabilité et de continuité opérationnelles. Ces systèmes doivent posséder une capacité suffisante et évolutive.

§ 3. Tout processeur d'importance systémique est tenu de mettre en oeuvre une gestion de la continuité des activités et de disposer à cet égard de plans de continuité des activités. L'ensemble doit tendre vers une reprise rapide des activités et le respect de ses obligations en cas de perturbation du traitement des opérations de paiement.

§ 4. Tout processeur d'importance systémique est tenu de disposer d'une politique de gestion des risques et de procédures et systèmes lui permettant d'identifier, de mesurer, de suivre et de maîtriser les risques qui surviennent ou qu'il supporte.

Tout processeur d'importance systémique est tenu de disposer d'un cadre de maîtrise des risques clair et bien documenté, qui inclut sa politique de tolérance aux risques, qui assigne les responsabilités et la justification des décisions liées aux risques et qui décrit le processus de prise de décisions en périodes de crise et en situations d'urgence. Les modalités de gestion interne de tout processeur d'importance systémique sont tenues d'assurer, pour les fonctions de maîtrise des risques et de contrôle interne, une autorité, une indépendance, des ressources suffisantes et, le cas échéant, l'accès au conseil d'administration.

Les dispositifs de contrôle des risques doivent être soumis à une évaluation périodique.

§ 5. La Banque peut préciser par voie de règlement visé à l'article 8, § 2 de la loi du 22 février 1998, les modalités des obligations visées aux paragraphes 1er à 4.

Article 12. § 1er. Tout processeur d'importance systémique est tenu de mettre en oeuvre les stratégies et procédures appropriées, ainsi que les ressources suffisantes, pour assurer la confidentialité et l'intégrité des informations, ainsi que la disponibilité continue de la fourniture de ses services.

§ 2. Tout processeur d'importance systémique est tenu de mettre en oeuvre les stratégies et procédures appropriées, ainsi que les ressources suffisantes, pour assurer que la fourniture de ses services demeure disponible, fiable, dynamique et puissante.

§ 3. Tout processeur d'importance systémique est tenu de veiller à ce que les services de traitement des opérations de paiement ne soient indisponibles qu'au maximum durant 30 minutes entre 8 heures du matin et 20 heures, et 60 minutes entre 20 heures et 8 heures du matin, de sorte que la continuité et la stabilité des paiements en Belgique ne soient pas compromises.

L'indisponibilité cumulative des services de traitement des opérations de paiement ne peut pas dépasser 30 minutes par trimestre entre 8 heures du matin et 20 heures et 120 minutes par trimestre entre 20 heures et 8 heures du matin.

Sur avis de la Banque, le Roi est habilité à modifier la période d'indisponibilité visée à l'alinéa 1er et 2.

§ 4. Tout processeur d'importance systémique est tenu de disposer de méthodologies robustes afin de pouvoir planifier l'ensemble de la durée de vie des technologies utilisées et la sélection de normes technologiques.

§ 5. Tout processeur d'importance systémique, ou, si cela lui était impossible, l'exploitant du schéma de paiement visé à l'article 5, est tenu d'assurer une communication transparente sur les services de traitement des opérations de paiement à l'égard, le cas échéant, des prestataires de services de paiement, des schémas de paiement et des utilisateurs de services de paiement concernés, et est tenu de leur fournir des informations suffisantes.

En cas d'indisponibilité des services de traitement des opérations de paiement visés au paragraphe 3, ces informations doivent au moins porter sur les causes et conséquences, et leur durée prévue, ainsi que sur le délai de rétablissement prévu.

§ 6. La Banque peut préciser par voie de règlement visé à l'article 8, § 2 de la loi du 22 février 1998, les modalités des obligations visées aux paragraphes 1er à 5.

Article 13. § 1er. Tout processeur d'importance systémique est tenu d'informer la Banque pendant un jour ouvrable de l'indisponibilité des services de traitement des opérations de paiement dans les délais suivants:

1° dans les 15 minutes de la détection de l'incident si l'incident se produit entre 8 heures du matin et 20 heures;

2° dans les meilleurs délais, après 8 heures du matin si l'incident se produit entre 20 heures et 8 heures du matin.

Sur avis de la Banque, le Roi est habilité à:

1° modifier les délais visés à l'alinéa 1er;

2° fixer des modalités pour calculer les délais visés à l'alinéa 1er.

§ 2. Tout processeur d'importance systémique est tenu, le premier jour ouvrable suivant le constat d'un incident relatif à ou d'une infraction aux dispositions des articles 11 et 12, paragraphes 1er, 2, 4 et 5, d'en informer la Banque.

§ 3. La Banque peut préciser par voie de règlement visé à l'article 8, § 2 de la loi du 22 février 1998, la manière dont la notification figurant dans les dispositions des paragraphes 1er et 2 doit avoir lieu, ainsi que les données à fournir.