Autorisation des établissements de paiement et de monnaie électronique : enseignements clés du suivi de l’EBA

Contexte et objet du peer review de suivi

L’Autorité bancaire européenne (EBA) a publié un peer review de suivi consacré aux dispositifs d’autorisation des établissements de paiement (EP) et des établissements de monnaie électronique (EME) au sein de l’Union européenne. Cette publication intervient dans la continuité des précédents travaux de l’EBA visant à harmoniser et à rehausser les standards prudentiels, de conformité et de gouvernance pour les acteurs du paiement, dans un contexte d’évolution réglementaire (PSD2, e‑money) et d’attentes accrues en matière de gestion des risques opérationnels, LCB‑FT et protection des utilisateurs de services de paiement. Le suivi met en lumière les progrès réalisés par les autorités nationales compétentes (ANC) et les zones résiduelles d’hétérogénéité qui appellent des actions correctrices et une meilleure convergence prudentielle.

Périmètre, méthodologie et crispations réglementaires

Le peer review porte sur les processus d’instruction et d’autorisation initiaux des EP/EME : évaluation des actionnaires qualifiés et dirigeants effectifs, dispositifs de gouvernance, exigences en fonds propres et ressources financières, modèles opérationnels (sous‑traitance, agents et distributeurs), dispositifs LCB‑FT et de sécurité des paiements, ainsi que la gestion des risques technologiques et de cybersécurité. Il évalue la mise en œuvre des orientations et avis de l’EBA par les ANC, l’effectivité des contrôles ex ante, la clarté des guichets et guides nationaux, et la cohérence des décisions. Les crispations majeures identifiées historiquement concernent la profondeur des examens « fit & proper », la justification du business plan et de la viabilité financière, la maîtrise de l’externalisation critique (incluant le cloud), et la granularité des attentes en matière de LCB‑FT et de sécurité opérationnelle.

Constats de convergence : des progrès tangibles

Le suivi fait ressortir plusieurs avancées : généralisation de check‑lists d’autorisation plus détaillées, amélioration des guides publics pour les candidats à l’agrément, renforcement de la documentation attendue sur la gouvernance et la gestion des risques, formalisation accrue des analyses sur les actionnaires significatifs et l’honorabilité des dirigeants, et meilleure intégration des exigences LCB‑FT et ICT dans l’examen initial. De plus, les autorités tendent à documenter plus systématiquement leurs décisions, ce qui soutient la traçabilité et la cohérence interne des approches.

Points de divergence persistants

Malgré ces progrès, le peer review de suivi souligne des divergences persistantes qui peuvent induire des asymétries concurrentielles : tolérance variable sur la maturité des dispositifs LCB‑FT au moment de l’autorisation, attentes hétérogènes en matière de test d’aptitude et de disponibilité des dirigeants clés, profondeur inégale des analyses d’externalisation et de la maîtrise des chaînes de sous‑traitance, ainsi que des écarts de pratiques sur l’appréciation des ressources financières suffisantes et du niveau de fonds propres initiaux. Les pratiques relatives à la gestion des agents et distributeurs (notamment le contrôle préalable et la surveillance continue) montrent aussi des niveaux d’exigence différents selon les juridictions.

Gouvernance, fit & proper et participation qualifiée

Le suivi met l’accent sur la nécessité d’évaluations fit & proper robustes et homogènes : vérification des compétences techniques, de l’expérience sectorielle, de la disponibilité effective, et des critères d’honorabilité. S’agissant des participations qualifiées, la traçabilité de la chaîne de contrôle et la capacité financière du ou des investisseurs restent des sujets d’attention, en particulier lorsqu’interviennent des structures internationales ou des fonds d’investissement. L’EBA appelle à une documentation renforcée et à un alignement des grilles d’analyse entre ANC.

Business model, viabilité et fonds propres

Les ANC sont invitées à approfondir l’examen de la cohérence entre business model, projections financières, stress tests et besoins en capital, avec une attention particulière aux hypothèses de volumes et de marges, aux coûts de conformité et de sécurité, et aux risques de concentration liés à l’externalisation. Les approches sur les « ressources financières suffisantes » doivent gagner en prévisibilité et en comparabilité, afin d’éviter des approches trop permissives ou, à l’inverse, dissuasives, sans fondement harmonisé.

LCB‑FT : articulation ex ante/ex post

Le peer review insiste sur l’équilibre entre les exigences ex ante (au moment de l’autorisation) et le contrôle ex post durant la vie de l’établissement. Les éléments critiques attendus à l’entrée incluent : cartographie des risques LCB‑FT, gouvernance dédiée (RC, suppléance, indépendance), dispositif KYC/EDD, filtrage des sanctions et gels des avoirs, contrôles de 2e ligne, formation, et plan de remédiation. L’EBA promeut une convergence sur le socle minimal ex ante, tout en reconnaissant la nécessité d’ajustements proportionnés selon le profil de risque.

Externalisation, ICT et sécurité opérationnelle

L’externalisation, notamment vers le cloud et les prestataires critiques, demeure un point de vigilance. Le suivi met en avant l’importance d’identifier les fonctions essentielles et importantes, d’évaluer la résilience des prestataires, d’encadrer contractuellement les obligations d’audit et de réversibilité, et de contrôler la chaîne de sous‑traitance. Les ANC sont encouragées à vérifier que les candidats à l’autorisation disposent d’une architecture de sécurité, de plans de continuité et de procédures d’incident proportionnés, y compris pour l’authentification forte et la protection des données de paiement.

Agents, distributeurs et réseau

La maîtrise des réseaux d’agents et de distributeurs demeure un facteur de risque opérationnel et de conformité. Le suivi invite à des critères d’agrément et de suivi homogènes : due diligence initiale, formation, clauses contractuelles, contrôle continu, et capacité à mettre fin rapidement aux relations en cas de défaillance. Les modèles cross‑border nécessitent une coordination renforcée entre ANC.

Transparence et expérience utilisateur

La protection des utilisateurs de services de paiement recouvre la transparence tarifaire, les informations précontractuelles, la gestion des réclamations et la remédiation. Le suivi rappelle que la robustesse des processus front‑to‑back dès l’autorisation conditionne la conformité durable, et que l’orientation client doit se refléter dans la gouvernance et les tableaux de bord de pilotage.

Impacts pour les compliance officers

Pour les responsables conformité d’EP/EME ou de groupes ciblant une autorisation, ce suivi de l’EBA confirme la nécessité d’arriver « prêts » : documentation gouvernance/risques exhaustive, dispositif LCB‑FT opérationnel, analyses d’externalisation et d’ICT argumentées, et business plan réaliste. La convergence attendue entre ANC réduit l’arbitrage réglementaire et impose une préparation plus standardisée et justifiable.

Perspectives réglementaires et coordination européenne

La dynamique de convergence s’inscrit dans un cadre européen plus large où les orientations de l’EBA et les travaux inter‑autorités (avec l’ESMA et, selon les sujets, l’AEAPP) servent de référence pour aligner les pratiques et renforcer la résilience de l’écosystème des paiements. Les enjeux cross‑border et la supervision continue après autorisation éclairent la nécessité d’interfaces ANC plus lisibles et de calendriers d’instruction plus prévisibles.

Conclusion : vers une autorisation plus robuste et prévisible

Le peer review de suivi de l’EBA marque une étape supplémentaire vers une autorisation mieux harmonisée des EP/EME dans l’UE. Les progrès sont réels, mais les divergences persistantes appellent des efforts soutenus en matière de méthodologie, de granularité des contrôles et de transparence des attentes. Pour les compliance officers, l’anticipation, la standardisation documentée et la preuve d’effectivité des dispositifs demeurent les maîtres‑mots.

Quelques pistes pour l’intégration opérationnelle dans votre dispositif :

• Structurer un dossier d’autorisation « ready‑to‑file » : gouvernance, fit & proper, LCB‑FT, externalisation, ICT, business plan et stress tests.
• Mettre à jour la matrice d’exigences EBA/ANC et réaliser un gap analysis avec plan d’actions daté et jalonné.
• Renforcer l’« evidence pack » d’effectivité (procédures, KPIs, contrôles 2e ligne, plans de tests, formation).
• Sécuriser la chaîne d’externalisation : clauses d’audit, réversibilité, continuité, sous‑traitance en cascade.
• Organiser un dry‑run d’audition avec le top management pour fiabiliser les réponses aux ANC.