LegalizeLoi du 4 avril 2025 portant modification de la loi modifiée du 10 novembre 2009 relative aux services de paiement, en vue de la mise en œuvre du règlement (UE) 2024/886 du Parlement européen et du Conseil du 13 mars 2024 modifiant les règlements (UE) nº 260/2012 et (UE) 2021/1230 et les directives 98/26/CE et (UE) 2015/2366 en ce qui concerne les virements instantanés en euros
Nous Henri, Grand-Duc de Luxembourg, Duc de Nassau,
Vu le règlement (UE) 2024/886 du Parlement européen et du Conseil du 13 mars 2024 modifiant les règlements (UE) nº 260/2012 et (UE) 2021/1230 et les directives 98/26/CE et (UE) 2015/2366 en ce qui concerne les virements instantanés en euros ;
Le Conseil d’État entendu ;
Vu l’adoption par la Chambre des Députés ;
Vu la décision de la Chambre des Députés du 2 avril 2025 et celle du Conseil d’État du 4 avril 2025 portant qu’il n’y a pas lieu à second vote ;
Avons ordonné et ordonnons :
Art. 1er.
À l’article 14, paragraphe 1er, lettre a), première phrase, de la loi modifiée du 10 novembre 2009 relative aux services de paiement, les mots ou d’une banque centrale à la discrétion de celle-ci, sont insérés entre les mots sont déposés sur un compte distinct auprès d’un établissement de crédit et les mots ou investis en actifs à faible risque.
Art. 2.
À l’article 24-10, paragraphe 1er, lettre a), première phrase, de la même loi, les mots ou d’une banque centrale à la discrétion de celle-ci, sont insérés entre les mots sont déposés sur un compte distinct auprès d’un établissement de crédit et les mots ou investis en actifs à faible risque.
Art. 3.
L’article 57, paragraphe 2, de la même loi, est modifié comme suit :
L’alinéa 1er prend la teneur suivante :
« Le paragraphe (1) ne s’applique pas aux systèmes de paiement exclusivement composés de prestataires de services de paiement appartenant à un groupe. » ;
À l’alinéa 2, les mots Aux fins de la lettre a), lorsqu’un sont remplacés par les mots Lorsqu’un.
Art. 4.
Après l’article 57-1 de la même loi, sont insérés les nouveaux articles 57-2 et 57-3, libellés comme suit :
« Article 57-2.
Les conditions applicables aux établissements de paiement pour la participation à des systèmes de paiement désignés.
(1)
Afin de préserver la stabilité et l’intégrité des systèmes de paiement, les établissements de paiement qui souhaitent participer et qui participent à des systèmes de paiement visés à l’article 108 disposent des éléments suivants :
une description des mesures prises pour protéger les fonds des utilisateurs de services de paiement conformément à l’article 14 ; une description des dispositifs de gouvernance et des mécanismes de contrôle interne, y compris les procédures administratives, comptables et de gestion des risques, du requérant ainsi qu’une description des dispositifs concernant l’utilisation des services TIC de l’établissement de paiement, liés aux articles 6 et 7 du règlement (UE) 2022/2554 ; et un plan de liquidation en cas de défaillance.
Aux fins de l’alinéa 1er, point 1 :
lorsque l’établissement de paiement protège les fonds des utilisateurs de services de paiement en déposant les fonds sur un compte distinct auprès d’un établissement de crédit ou au moyen d’un investissement dans des actifs à faible risque, liquides et sûrs, tels qu’ils sont définis par la CSSF, la description des mesures prises pour assurer cette protection contient, selon le cas : une description de la politique d’investissement visant à garantir que les actifs choisis sont liquides, sûrs et à faible risque ; le nombre de personnes ayant accès au compte de protection et leurs fonctions ; une description du processus d’administration et de rapprochement visant à garantir que, dans l’intérêt des utilisateurs de services de paiement, les fonds des utilisateurs de services de paiement sont soustraits aux recours d’autres créanciers de l’établissement de paiement, notamment en cas d’insolvabilité ; une copie du projet de contrat avec l’établissement de crédit ; une déclaration explicite de conformité avec l’article 14 de la part de l’établissement de paiement ;
lorsque l’établissement de paiement protège les fonds de l’utilisateur de services de paiement au moyen d’une police d’assurance ou d’une garantie comparable d’une entreprise d’assurance ou d’un établissement de crédit, la description des mesures prises pour assurer cette protection contient les éléments suivants : une confirmation que la police d’assurance ou la garantie comparable d’une entreprise d’assurance ou d’un établissement de crédit provient d’une entité n’appartenant pas au même groupe d’entreprises que l’établissement de paiement ; les détails du processus de rapprochement mis en place pour garantir que la police d’assurance ou la garantie comparable est suffisante pour permettre à l’établissement de paiement de respecter ses obligations de protection à tout moment ; la durée et les conditions de renouvellement de la couverture ; une copie du contrat d’assurance ou de la garantie comparable, ou des projets de ces documents.
Aux fins de l’alinéa 1er, point 2, la description démontre que les dispositifs de gouvernance, les mécanismes de contrôle interne et les dispositions prises en ce qui concerne l’utilisation des services TIC visés audit point sont proportionnés, appropriés, solides et suffisants. En outre, les dispositifs de gouvernance et les mécanismes de contrôle interne comprennent :
une cartographie des risques identifiés par l’établissement de paiement, incluant le type de risques et les procédures que l’établissement de paiement a mises en place ou mettra en place pour évaluer et prévenir de tels risques ; les différentes procédures visant à effectuer des contrôles périodiques et permanents, y compris la fréquence et les ressources humaines allouées ; les procédures comptables au moyen desquelles l’établissement de paiement enregistre et publie ses informations financières ; l’identité de la ou des personnes responsables des fonctions de contrôle interne, y compris du contrôle périodique et permanent et du contrôle de conformité, ainsi qu’un curriculum vitae à jour de cette ou de ces personnes ; l’identité de tout contrôleur des comptes qui n’est pas un réviseur d’entreprise agréé ; la composition de l’organe de direction et, le cas échéant, de tout autre organe ou comité de surveillance ; une description de la manière dont les fonctions externalisées sont suivies et contrôlées afin d’éviter une altération de la qualité des contrôles internes de l’établissement de paiement ; une description de la manière dont les éventuels agents et succursales sont suivis et contrôlés dans le cadre des contrôles internes de l’établissement de paiement ; une description de la gouvernance du groupe, lorsque l’établissement de paiement est la filiale d’une entité réglementée pour laquelle l’État membre d’origine est un État membre autre que le Luxembourg.
Aux fins de l’alinéa 1er, point 3, le plan de liquidation est adapté à la taille et au modèle économique envisagés de l’établissement de paiement et comprend une description des mesures d’atténuation à adopter par l’établissement de paiement en cas de résiliation de ses services de paiement, qui garantiraient l’exécution des opérations de paiement en attente et la résiliation des contrats existants.
(2)
Les établissements de paiement qui souhaitent participer aux systèmes de paiement visés à l’article 108 en notifient la CSSF.
La notification visée à l’alinéa 1er est fournie à la CSSF au moins deux mois avant de soumettre la demande de participation aux systèmes de paiement visés à l’article 108 et est accompagnée des informations nécessaires pour justifier le respect des exigences visées au paragraphe 1er.
Lorsque les exigences visées au paragraphe 1er sont remplies, la CSSF en informe l’établissement de paiement endéans deux mois. Lorsque les exigences visées au paragraphe 1er ne sont pas remplies, la CSSF détermine les mesures à prendre par l’établissement de paiement pour assurer le respect desdites exigences.
La CSSF informe sans tarder la Banque centrale du Luxembourg si l’établissement de paiement concerné remplit les exigences visées au paragraphe 1er.
Article 57-3.
Les conditions applicables aux établissements de monnaie électronique pour la participation à des systèmes de paiement désignés.
(1)
Afin de préserver la stabilité et l’intégrité des systèmes de paiement, les établissements de monnaie électronique qui souhaitent participer et qui participent à des systèmes de paiement visés à l’article 108 disposent des éléments suivants :
une description des mesures prises pour protéger les fonds reçus en échange de la monnaie électronique conformément à l’article 24-10 ; une description des dispositifs de gouvernance et des mécanismes de contrôle interne, y compris les procédures administratives, comptables et de gestion des risques, du requérant ainsi qu’une description des dispositifs concernant l’utilisation des services TIC de l’établissement de monnaie électronique, liés aux articles 6 et 7 du règlement (UE) 2022/2554 ; et un plan de liquidation en cas de défaillance.
Aux fins de l’alinéa 1er, point 1 :
lorsque l’établissement de monnaie électronique protège les fonds des détenteurs de monnaie électronique en déposant les fonds sur un compte distinct auprès d’un établissement de crédit ou au moyen d’un investissement dans des actifs à faible risque, liquides et sûrs, tels qu’ils sont définis par la CSSF, la description des mesures prises pour assurer cette protection contient, selon le cas : une description de la politique d’investissement visant à garantir que les actifs choisis sont liquides, sûrs et à faible risque ; le nombre de personnes ayant accès au compte de protection et leurs fonctions ; une description du processus d’administration et de rapprochement visant à garantir que, dans l’intérêt des détenteurs de monnaie électronique, les fonds des détenteurs de monnaie électronique sont soustraits aux recours d’autres créanciers de l’établissement de monnaie électronique, notamment en cas d’insolvabilité ; une copie du projet de contrat avec l’établissement de crédit ; une déclaration explicite de conformité avec l’article 24-10 de la part de l’établissement de monnaie électronique ;
lorsque l’établissement de monnaie électronique protège les fonds des détenteurs de monnaie électronique au moyen d’une police d’assurance ou d’une garantie comparable d’une entreprise d’assurance ou d’un établissement de crédit, la description des mesures prises pour assurer cette protection contient les éléments suivants : une confirmation que la police d’assurance ou la garantie comparable d’une entreprise d’assurance ou d’un établissement de crédit provient d’une entité n’appartenant pas au même groupe d’entreprises que l’établissement de monnaie électronique ; les détails du processus de rapprochement mis en place pour garantir que la police d’assurance ou la garantie comparable est suffisante pour permettre à l’établissement de monnaie électronique de respecter ses obligations de protection à tout moment ; la durée et les conditions de renouvellement de la couverture ; une copie du contrat d’assurance ou de la garantie comparable, ou des projets de ces documents.
Aux fins de l’alinéa 1er, point 2, la description démontre que les dispositifs de gouvernance, les mécanismes de contrôle interne et les dispositions prises en ce qui concerne l’utilisation des services TIC visés audit point sont proportionnés, appropriés, solides et suffisants. En outre, les dispositifs de gouvernance et les mécanismes de contrôle interne comprennent :
une cartographie des risques identifiés par l’établissement de monnaie électronique, incluant le type de risques et les procédures que l’établissement de monnaie électronique a mises en place ou mettra en place pour évaluer et prévenir de tels risques ; les différentes procédures visant à effectuer des contrôles périodiques et permanents, y compris la fréquence et les ressources humaines allouées ; les procédures comptables au moyen desquelles l’établissement de monnaie électronique enregistre et publie ses informations financières ; l’identité de la ou des personnes responsables des fonctions de contrôle interne, y compris du contrôle périodique et permanent et du contrôle de conformité, ainsi qu’un curriculum vitae à jour de cette ou de ces personnes ; l’identité de tout contrôleur des comptes qui n’est pas un réviseur d’entreprise agréé ; la composition de l’organe de direction et, le cas échéant, de tout autre organe ou comité de surveillance ; une description de la manière dont les fonctions externalisées sont suivies et contrôlées afin d’éviter une altération de la qualité des contrôles internes de l’établissement de monnaie électronique ; une description de la manière dont les éventuels agents et succursales sont suivis et contrôlés dans le cadre des contrôles internes de l’établissement de monnaie électronique ; une description de la gouvernance du groupe, lorsque l’établissement de monnaie électronique est la filiale d’une entité réglementée pour laquelle l’État membre d’origine est un État membre autre que le Luxembourg.
Aux fins de l’alinéa 1er, point 3, le plan de liquidation est adapté à la taille et au modèle économique envisagés de l’établissement de monnaie électronique et comprend une description des mesures d’atténuation à adopter par l’établissement de monnaie électronique en cas de résiliation de ses services de paiement ou de monnaie électronique, qui garantiraient l’exécution des opérations de paiement en attente et la résiliation des contrats existants.
(2)
Les établissements de monnaie électronique qui souhaitent participer aux systèmes de paiement désignés en notifient la CSSF.
La notification visée à l’alinéa 1er est fournie à la CSSF au moins deux mois avant de soumettre la demande de participation aux systèmes de paiement visés à l’article 108 et est accompagnée des informations nécessaires pour justifier le respect des exigences visées au paragraphe 1er.
Lorsque les exigences visées au paragraphe 1er sont remplies, la CSSF en informe l’établissement de monnaie électronique endéans deux mois. Lorsque les exigences visées au paragraphe 1er ne sont pas remplies, la CSSF détermine les mesures à prendre par l’établissement de monnaie électronique pour assurer le respect desdites exigences.
La CSSF informe sans tarder la Banque centrale du Luxembourg si l’établissement de monnaie électronique concerné remplit les exigences visées au paragraphe 1er. ».
Art. 5.
Après l’article 58 de la même loi, il est inséré un nouvel article 58bis, libellé comme suit :
« Article 58bis.
Les sanctions applicables aux violations des exigences techniques et commerciales pour les virements et les prélèvements en euros.
(1)
La CSSF a le pouvoir d’infliger aux personnes visées au règlement (UE) n° 260/2012, et soumises à sa surveillance, les sanctions administratives et autres mesures administratives visées au paragraphe 2 :
en cas de violation de l’article 3, paragraphes 1er et 2, de l’article 4, paragraphes 1er et 4, de l’article 5, paragraphes 1er à 3 et paragraphes 6 à 8, de l’article 5bis, paragraphes 1er et 2, alinéa 1er, paragraphes 4 à 7 et paragraphe 8, alinéas 1er et 4, de l’article 5ter, paragraphes 1er, 2 et 3, alinéa 1er, de l’article 5quater, paragraphes 1er à 7, paragraphe 8, alinéas 2 et 3, et paragraphe 9, alinéa 1er, de l’article 6, paragraphes 1er à 3, du règlement (UE) n° 260/2012 ; en cas de violation de l’article 5quinquies du règlement (UE) n° 260/2012.
(2)
Pour les cas visés au paragraphe 1er, la CSSF peut prononcer :
un avertissement ; un blâme ; une amende administrative d’un montant de 250 à 250 000 euros ; une injonction ordonnant à la personne physique ou morale responsable de la violation de mettre fin au comportement constitutif de la violation et de s’abstenir de le réitérer ; dans le cas visé au paragraphe 1er, point 2 : dans le cas d’une personne morale, des amendes administratives d’un montant maximal d’au moins 10 pour cent de son chiffre d’affaires annuel net total réalisé au cours de l’exercice précédent ; dans le cas d’une personne physique, des amendes administratives d’un montant maximal d’au moins 5 000 000 euros.
Lorsque la personne morale visée à l’alinéa 1er, point 5, lettre a), est une filiale d’une entreprise mère, au sens de l’article 2, point 9, de la directive 2013/34/UE, ou de toute entreprise qui exerce effectivement sur elle une influence dominante, le chiffre d’affaires à prendre en considération est le chiffre d’affaires qui ressort des comptes consolidés de l’entreprise mère ultime pour l’exercice précédent. ».
Art. 6.
L’article 107 de la même loi est modifié comme suit :
Au point 2), l’alinéa 1er est complété par la phrase suivante :
« Ainsi que :
un établissement de paiement au sens de l’article 4, point 4), de la directive (UE) 2015/2366, à l’exception d’une personne physique ou morale bénéficiant d’une exemption en vertu de l’article 32 ou 33 de ladite directive, ou un établissement de monnaie électronique au sens de l’article 2, point 1), de la directive 2009/110/CE, à l’exception d’une personne morale bénéficiant d’une exemption en vertu de l’article 9 de ladite directive,
⋯
La consultation de ce document ne remplace pas la lecture du texte officiel publié au Mémorial du Grand-Duché de Luxembourg. Nous déclinons toute responsabilité pour d'éventuelles inexactitudes résultant de la conversion de l'original dans ce format.