25 MAI 2025. - Loi relative à la surveillance des fournisseurs de services de messagerie financière

CHAPITRE 1er. - Objectif - définitions - champ d'application

Article 1er. La présente loi règle une matière visée à l'article 74 de la Constitution.

Article 2. § 1er. La présente loi règle, dans un but de protection du bon fonctionnement, de la solidité et de l'efficacité des systèmes de compensation, de règlement et de paiements ainsi que de la solidité du système financier en général, les activités et la surveillance par la Banque nationale de Belgique des fournisseurs de services de messagerie financière établis en Belgique.

§ 2. Les missions dévolues à la Banque nationale de Belgique par la présente loi relèvent des missions visées à l'article 8 de la loi du 22 février 1998 fixant le statut organique de la Banque nationale de Belgique.

§ 3. Sans préjudice des dispositions de l'article 8, § 2, de la loi du 22 février 1998 fixant le statut organique de la Banque nationale de Belgique, la Banque nationale de Belgique peut clarifier les attentes concernant le respect de la présente loi et des arrêtés et règlements adoptés aux fins de son exécution au moyen de communications, de recommandations et de circulaires.

Article 3. Aux fins de l'application de la présente loi, il y a lieu d'entendre par :

1° loi du 22 février 1998 : la loi du 22 février 1998 fixant le statut organique de la Banque nationale de Belgique ;

2° loi du 25 avril 2014 : la loi du 25 avril 2014 relative au statut et au contrôle des établissements de crédit ;

3° la Banque : la Banque nationale de Belgique, à savoir l'organisme dont le statut est régi par la loi du 22 février 1998, ci-après désignée "la Banque" ;

4° services de messagerie financière : services qui permettent aux entités financières et aux autorités publiques d'envoyer et de recevoir des messages contenant des informations relatives à des transactions financières, telles que les paiements et les transactions sur titres, y inclus des services opérationnels et des services auxiliaires qui y sont étroitement liés, se situent dans leur prolongement direct ou en constituent le complément ;

5° fournisseur : toute personne physique ou morale établie en Belgique qui fournit des services de messagerie financière ;

6° fournisseur d'importance systémique : tout fournisseur à qui une notification a été donnée en vertu de l'article 7, § 1er ;

7° direction effective : les personnes qui sont membres du conseil de direction et les personnes auxquelles la gestion journalière est déléguée ;

8° personnel de direction : personnel de direction au sens de l'article 4, 4°, de la loi du 4 décembre 2007 relative aux élections sociales ;

9° société ou personne liée : toute société ou personne liée à un fournisseur au sens de l'article 1:20 du Code des sociétés et des associations ;

10° fonctions de contrôle indépendantes : la fonction d'audit interne, la fonction de conformité (compliance) ou la fonction de gestion des risques ;

11° décision stratégique :

12° externalisation : tout accord, quelle que soit sa forme, entre un fournisseur d'importance systémique et un prestataire de services, y compris les prestataires tiers de services TIC, en vertu duquel ce prestataire de services prend en charge un processus, un service ou une activité aux fins de permettre au fournisseur d'importance systémique la fourniture de services de messagerie financière et qui aurait autrement été pris en charge par ce fournisseur lui-même ;

13° fonction critique ou importante : une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d'un fournisseur d'importance systémique, à la solidité ou à la continuité de ses services et activités ou à l'exécution de transactions financières nationales ou internationales, ou dont l'interruption, l'anomalie ou la défaillance est susceptible de nuire sérieusement à la capacité d'un fournisseur d'importance systémique de respecter en permanence les obligations découlant des dispositions de la présente loi ;

14° résilience opérationnelle numérique : la capacité d'un fournisseur d'importance systémique à développer, garantir et évaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l'intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d'information qu'il utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations ;

15° réseau et système d'information : un réseau et système d'information visé à l'article 8, 1°, de la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique ;

16° sécurité des réseaux et des systèmes d'information : la capacité des réseaux et des systèmes d'information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, ou des services que ces réseaux et systèmes d'information offrent ou rendent accessibles, y inclus la protection de l'infrastructure physique ;

17° risque lié aux TIC : toute circonstance raisonnablement identifiable liée à l'utilisation des réseaux et des systèmes d'information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d'information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l'environnement numérique ou physique ;

18° actifs de TIC : les actifs logiciel ou matériel dans les réseaux et les systèmes d'information utilisés par un fournisseur d'importance systémique ;

19° incident : un événement qui perturbe ou est susceptible de perturber la fourniture de services de messagerie financière, y compris, le cas échéant, un incident lié aux TIC ;

20° incident lié aux TIC : un événement ou une série d'événements liés entre eux que le fournisseur d'importance systémique n'a pas prévu qui compromet la sécurité des réseaux et des systèmes d'information, et a une incidence négative sur la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données ou sur les services fournis par le fournisseur ;

21° incident majeur : un incident qui a une incidence négative élevée sur le fonctionnement du fournisseur d'importance systémique ou sur les actifs ou les réseaux et les systèmes d'information qui soutiennent ses fonctions critiques ou importantes, y compris toute indisponibilité des services ;

22° cybermenace : une cybermenace au sens de l'article 2, point 8), du règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l'information et des communications, et abrogeant le règlement (UE) n° 526/2013 ;

23° cybermenace majeure : une cybermenace dont les caractéristiques techniques indiquent qu'elle pourrait donner lieu à un incident majeur ;

24° cyberattaque : un incident lié aux TIC malveillant causé par une tentative de destruction, d'exposition, de modification, de désactivation, de vol, d'utilisation non autorisée d'un actif ou d'accès non autorisé à celui-ci, perpétrée par un acteur de la menace ;

25° tests de pénétration fondés sur la menace (threat led penetration testing - TLPT) : un cadre simulant les tactiques, les techniques et les procédures d'acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements les systèmes critiques en environnement de production du fournisseur d'importance systémique ;

26° prestataire tiers de services TIC : une entreprise qui fournit des services TIC ;

27° services TIC : les services numériques et de données fournis de manière permanente par l'intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d'assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l'exclusion des services de téléphonie analogique traditionnels ;

28° liens étroits :

Article 4. La présente loi s'applique aux fournisseurs de services de messagerie financière établis en Belgique.

CHAPITRE 2. - Seuil et obligations de notification

Article 5. Si un fournisseur a traité au minimum 1 milliard de messages financiers par an, calculés comme la moyenne des trois années civiles antérieures, ce fournisseur est considéré comme un fournisseur d'importance systémique à partir du moment où la notification visée à l'article 7, § 1er, prend effet.

Sur avis de la Banque, le Roi est habilité à :

1° modifier le montant du seuil visé à l'alinéa 1er ;

2° fixer des règles plus précises pour le calcul du seuil visé à l'alinéa 1er.

Article 6. § 1er. Tout fournisseur transmet chaque année à la Banque, avant le 1er avril, les informations qu'elle estime nécessaires pour déterminer s'il a dépassé le seuil visé à l'article 5.

§ 2. Tout fournisseur est tenu d'immédiatement informer la Banque en cas de dépassement du seuil visé à l'article 5.

Article 7. § 1er. Lorsqu'un fournisseur a dépassé le seuil visé à l'article 5, la Banque prend une décision sur sa qualification de fournisseur d'importance systémique.

La Banque porte sa décision à la connaissance du fournisseur, soit par courrier recommandé, soit par courrier avec accusé de réception. Cette notification prend effet à compter de la date arrêtée par la Banque et au plus tôt six mois après la date de la notification.

§ 2. Lorsqu'un fournisseur d'importance systémique ne dépasse plus le seuil visé à l'article 5, la Banque prend une décision sur le retrait de sa qualification de fournisseur d'importance systémique. La Banque prend cette décision soit de sa propre initiative, soit sur demande du fournisseur d'importance systémique, auquel cas le fournisseur joint à sa demande toutes les explications et données nécessaires.

La Banque porte sa décision à la connaissance du fournisseur, soit par courrier recommandé, soit par courrier avec accusé de réception. Cette notification prend effet à compter de la date arrêtée par la Banque.

§ 3. Lors de la prise d'une décision sur la base de cet article, la Banque tient compte de toute information qu'elle reçoit en vertu de cet article et de l'article 6, ainsi que de toute information dont elle dispose dans l'exercice de ses missions.

Article 8. La Banque conserve une liste de tous les fournisseurs d'importance systémique. La Banque publie cette liste sur son site internet et la met à jour si besoin en est.

La liste visée à l'alinéa 1er mentionne au minimum les informations suivantes concernant chaque fournisseur d'importance systémique :

1° la date à laquelle la notification de qualification de fournisseur d'importance systémique prend effet, conformément à l'article 7, § 1er ;

2° la dénomination sociale, la forme juridique et l'adresse du siège du fournisseur d'importance sytémique.

CHAPITRE 3. - Organisation et administration

Section Ire. - Forme de société

Article 9. Chaque fournisseur d'importance systémique est constitué sous la forme d'une société coopérative ou d'une société anonyme de droit belge, moyennant le respect des exigences spécifiques prévues par la présente loi ou par la réglementation européenne.

Section II. - Organes sociétaires

Article 10. § 1er. L'administration d'un fournisseur d'importance systémique constitué sous la forme de société anonyme est assurée par un conseil de surveillance et un conseil de direction. Sans préjudice des dispositions prévues par la présente loi ou par les normes de droit européen directement applicables, les dispositions relatives à l'administration duale visées au livre 7, titre 4, chapitre 1er, section 3, du Code des sociétés et associations sont d'application.

§ 2. Les statuts d'un fournisseur d'importance systémique constitué sous la forme d'une société coopérative prévoient la constitution d'un conseil de surveillance et d'un conseil de direction. Sans préjudice des dispositions prévues par la présente loi ou par les normes de droit européen directement applicables, les dispositions relatives à l'administration duale visées au livre 7, titre 4, chapitre 1er, section 3, du Code des sociétés et associations sont d'application par analogie.

§ 3. La gestion journalière, lorsqu'elle est prévue par le Code des sociétés et des associations pour la forme sociétaire concernée, ne peut pas être confiée à un membre du conseil de surveillance.

Article 11. § 1er. Au moins un tiers mais pas moins de trois des membres du conseil de surveillance, dont le président, sont des administrateurs indépendants.

§ 2. Un administrateur est considéré être indépendant lorsqu'il ou elle :

1° a la capacité de former un jugement approfondi et objectif fondé sur une évaluation juste et proportionnée des intérêts de toutes les parties internes et externes impliquées, en tenant compte de toutes les informations pertinentes ;

2° a la capacité de prévenir et, le cas échéant, de résister à toute influence indue de la part de la direction effective ou du personnel de direction du fournisseur d'importance systémique ou de parties externes ;

3° durant une période de cinq années précédant sa nomination, n'a pas exercé auprès du fournisseur d'importance systémique un mandat de personne chargée de la direction effective, et n'a pas exercée auprès d'une société ou personne liée un mandat de membre du conseil de surveillance ou de l'organe d'administration, ni un mandat de personne chargée de la direction effective ;

4° durant une période de trois années précédant sa nomination, n'a pas fait partie du personnel du fournisseur d'importance systémique ;

5° n'entretient pas, ni a entretenu durant une période d'un an avant sa nomination, une relation d'affaires significative avec le fournisseur d'importance systémique ou avec une société ou personne liée ;

6° n'a pas été au cours des trois dernières années, membre de l'équipe d'audit du réviseur, actuel ou précédent, du fournisseur d'importance systémique ou d'une société ou personne liée ;

7° n'a au sein du fournisseur d'importance systémique ou au sein d'une société ou personne liée, ni conjoint ni cohabitant légal, ni parents ni alliés jusqu'au deuxième degré exerçant un mandat de membre du conseil de surveillance ou de l'organe d'administration, un mandat de personne chargée de la direction effective ou de personnel de direction, ou se trouvant dans un des autres cas définis aux 3° à 6°.

§ 3. Un administrateur indépendant ne peut pas faire partie du personnel d'un fournisseur d'importance systémique. Cependant, un administrateur indépendant peut faire partie du personnel d'une société ou personne liée, à condition que le fournisseur d'importance systémique puisse fournir des garanties suffisantes que ceci ne complique pas ou n'entrave pas l'exercice indépendant de son mandat d'administrateur.

L'indépendance visée à l'alinéa 1er est réputée non compromise lorsque :

1° ni la personne concernée dans ses fonctions quotidiennes de membre du personnel, ni son supérieur direct, au sein de la société ou personne liée ne sont impliqués dans la préparation ou le processus des décisions stratégiques relatives au fournisseur d'importance systémique ;

2° la personne concernée n'exerce pas de fonction commerciale ou de tâches liées à une activité de paiement au sein de la société ou personne liée ;

3° le fournisseur d'importance systémique peut offrir toute autre garantie fondée et acceptable pour la Banque.

§ 4. Moyennant justification dûment motivée et sous réserve d'une appréciation contraire de la Banque, qui vérifie le bien-fondé de cette justification, un fournisseur d'importance systémique peut déroger aux critères visés au paragraphe 2, 3° à 7°.

§ 5. La décision de nomination d'un administrateur indépendant fait mention des motifs sur la base desquels est octroyée cette qualité à l'administrateur. Les statuts du fournisseur d'importance systémique peuvent prévoir des critères additionnels ou plus sévères.

Article 12. Les membres du conseil de surveillance ne peuvent exercer ce mandat plus de douze ans au total. Les statuts du fournisseur d'importance systémique peuvent prévoir des délais plus stricts.

Section III. - Mise en place de comités

Article 13. § 1er. Sans préjudice des missions du conseil de surveillance, tout fournisseur d'importance systémique constitue, au sein de cet organe, au moins les comités suivants :

1° un comité d'audit ;

2° un comité des risques ;

3° un comité de gouvernance et de nomination.

Ces comités sont exclusivement composés de membres du conseil de surveillance, un membre ne pouvant pas siéger dans plus de deux des comités précités.

§ 2. Le président de chaque comité est indépendant et ne peut être le président que d'un seul comité.

§ 3. Le président d'un comité est considéré être indépendant lorsqu'il ou elle satisfait aux critères visés à l'article 11, § 2. Le fournisseur d'importance systémique ne peut pas déroger à ces critères.

§ 4. Le président indépendant d'un comité ne peut en aucun cas faire partie du personnel d'un fournisseur d'importance systémique ou d'une société avec laquelle il existe un lien de participation au sens de l'article 1:23 du Code des sociétés et des associations.

§ 5. La décision de nomination d'un président indépendant d'un comité fait mention des motifs sur la base desquels cette qualité est octroyée au président. Les statuts du fournisseur d'importance systémique peuvent prévoir des critères additionnels ou plus sévères.

Article 14. § 1er. Le président du comité d'audit est désigné par le conseil de surveillance, sur recommandation du comité de gouvernance et de nomination.

§ 2. Les membres du comité d'audit disposent d'une compétence collective dans le domaine d'activités du fournisseur d'importance systémique. Au moins un membre du comité d'audit justifie de la compétence nécessaire en matière de comptabilité et d'audit.