Arnaud Bruneton, Manager Senior
Pascal Gautier, Manager Senior

Le Parlement européen a adopté le 13 novembre 2007 la Directive 2007/64/CE sur les Services de Paiement (DSP). Ce texte a été transposé en droit français par ordonnance en date du 15 juillet 2009. Les dispositions de ce texte sont entrées en vigueur le 1er novembre. Quelques semaines après sa mise en place, nous abordons un des aspects traités par la DSP : les établissements de paiement.

L’évolution de la réglementation sur les services de paiement
__________________________________________________

La mise en place de l’euro n’ayant pas apporté tous les bénéfices attendus en matière d’harmonisation de l’utilisation des moyens de paiement, deux initiatives ont été lancées au début des années 2000, l’une par le Parlement européen et l’autre par les banques européennes. Dans le premier cas, les travaux se sont concrétisés par la rédaction de la DSP. Dans le second cas, le Conseil Européen des Paiements (en anglais : European Payment Council - EPC) a établi des règles harmonisées d’utilisation et de traitement pour trois moyens de paiement : le virement, le prélèvement et la carte bancaire, plus connues sous le nom de SEPA. Ces deux initiatives sont liées dans la mesure où le SEPA n’est possible que dans le cadre juridique de la DSP. Le SEPA n’est pas traité ici.

La DSP vise un périmètre bien précis :

> Elle porte sur les opérations de paiement libellées en euro ou dans une autre devise de l’Union européenne,
> Elle s’applique pour les opérations de paiement initiées et traitées par deux prestataires de services de paiement situés au sein de la Communauté européenne,
> Elle concerne les virements, les prélèvements, les cartes bancaires, les retraits et dépôts d’espèces, les transmissions de fonds et les paiements initiés par un dispositif de télécommunication, numérique ou informatique. Les chèques et les effets de commerce en sont exclus.

Pour tous les éléments inclus dans son périmètre, la DSP précise ou met en place des règles d’utilisation des services de paiement. Ces règles portent notamment sur :

> La transparence des conditions d’utilisation des services de paiement,
> L’information à mettre en place sur ces opérations,
> L’application des frais,
> La communication des ordres de paiement et du consentement de leur exécution,
> Les délais d’exécution,
> Les conditions de contestation et de remboursement.

Enjeux et contraintes des établissements de paiement
___________________________________________

Pour entrer sur le marché des services de paiement, les établissements de paiement doivent être à même de relever les enjeux opérationnels et commerciaux de leur activité et aussi de satisfaire les contraintes réglementaires qui leur sont imposées.
Outre les banques, un groupe industriel ou de services pourrait créer un établissement de paiement pour proposer la gestion des moyens de paiement comme complément de son offre ou par le biais de son offre traditionnelle.
Nombreux sont en effet les prestataires de services souhaitant développer des offres de paiement dans le cadre de l’émergence de nouveaux produits d’accompagnement de leurs clients. Le moyen de paiement peut être considéré comme un produit en soi (ce sera par exemple le cas des formules de paiement sans contact développées par les opérateurs mobiles sur la base des technologies NFC). Il vient alors enrichir la gamme de services que les opérateurs mobiles mettent à la disposition de leur client. Outil de fidélisation et de conquête, le développement de ces services représente un gros enjeu pour les opérateurs, valorisant ainsi, et c’est une nouveauté, leur savoir-faire dans les domaines du billing et du service client et moins dans l’exploitation du réseau mobile.
"Un portefeuille électronique" et sa gestion peuvent être aussi considérés comme facilitateurs pour les développements de nouveaux services en particulier pour les "aggrégateurs de services" (services intégrés de transport développés par la plupart des constructeurs automobiles). Fonctionnant aujourd’hui sur la base de "porte-monnaie virtuel", le développement d’une vraie fonction de "paiement" pourrait largement faciliter le décollage de ces nouveaux services.

Comme en témoignent l’étendue et la profondeur des travaux de l’A.F.S.C.M. (Association Française pour le Sans Contact Mobile) en termes de normes et de spécifications, les enjeux technologiques sont considérables. L’adaptation des systèmes d’information représente aussi une partie très importante de ces projets dans la mesure où les systèmes de billing préexistants devront mécaniquement s’adapter à ces nouveaux environnements qui apporteront une double impulsion : des contraintes techniques d’interconnexion, de gestion de flux et de sécurisation, et des contraintes réglementaires (vision clients, gestion des risques…).
C’est vraisemblablement sur ces derniers points que les changements culturels sont les plus importants.

En effet, pour la plupart de ces nouveaux intervenants, la gestion du risque est un élément de gestion tout à fait nouveau et pour lequel quasiment aucun fondement (concept, process, SI….) n’existe. Même avec des attentes réglementaires moins exigeantes sur ces établissements, l’application du 97-02 aura des répercussions très importantes en matière d’organisation et de process.

En matière d’identification des risques et de calculs d’adéquation correspondants, à la fois les risques opérationnels et le risque de crédit feront l’objet d’un traitement particulier.

Risque opérationnel

S’agissant de technologies relativement récentes et peu matures, les risques de dysfonctionnement de l’activité ou des systèmes seront vraisemblablement plus particulièrement regardés.
Le risque SI constitue également un axe important de l’analyse des risques, d’autant plus que cette dimension si importante pour le core business n’est pas toujours formalisée autour de méthodologie rigoureuse type "MEHARI" (MEthode Harmonisée d'Analyse de Risques).
En matière de risques opérationnels, la plupart des nouveaux intervenants devraient cependant s’inscrire dans des démarches "forfaitaires" ne réclamant pas de modélisation particulière.

Risque de crédit

En matière de risque de crédit, et même si la plupart des intervenants potentiels disposent de CRM performants, les exigences de la mesure des risques seront certainement à l’origine de profondes modifications de procédures clients et des systèmes correspondants.

En effet, le modèle de données clients destiné à suivre et à piloter un risque de crédit reste relativement différent d’un modèle de données clients utilisé par un opérateur mobile par exemple. L’élargissement de ce modèle de données (les données relatives au "Revenu Disponible" par exemple) nécessitera en particulier une adaptation des "parcours clients" (notamment compte tenu du caractère particulier de ces nouvelles données clientèles). En conséquence, le système d’information devra également s’adapter pour gérer ces nouvelles composantes.
Si l’application du règlement CRBF 97-02 sera certainement adaptée aux conditions spécifiques des établissements de paiement, ses grands principes n’en seront certainement pas modifiés.

Contrôle Interne et gestion des risques

En matière de dispositif de contrôle interne, les modifications à apporter seront également importantes pour une société non soumise, sur un plan réglementaire, à une gestion de ses risques. Le dispositif de gestion des risques induit un élargissement substantiel du périmètre couvert par le contrôle interne et la gestion des risques.
L’objectif n’est pas ici de faire une revue exhaustive de toutes les actions à mettre en place mais de mettre en évidence les points forts de ces transformations pour une entreprise qui n’a pas encore acquis une culture risque.

La première action à initier porte sur la mise en place des systèmes de surveillance et de maîtrise des risques. La création d’une direction des risques indépendante reste un enjeu fort de ces réglementations (autour de la gestion des risques évoqués précédemment : opérationnels, de crédit, de marché). Son dimensionnement, son organisation, le besoin en compétences spécifiques sont autant de sujets clefs à adresser très rapidement. Parmi les points à traiter à cette occasion figure l’organisation de la fonction de gestion globale des risques et interactions avec les métiers, indépendance des fonctions de validation des modèles et de suivi des risques. Viennent ensuite l’implication managériale dans la définition de la stratégie de prise de risque, et l’analyse de la rentabilité et le pilotage du portefeuille, suivi des clients douteux et watch list, etc.

La seconde action à mener porte sur le processus d’évaluation de l’adéquation du capital interne (ICAAP - Internal Capital Adequacy Assessment Process). Ces calculs, imposés par le régulateur, donnent lieu à la mise en place de processus rigoureux impactant la gouvernance d’un établissement de paiement. Leur mise en place passe par la définition des principes et modalités de calcul du Capital Economique ainsi que par la définition des grandes étapes du processus ICAAP. Ce dernier doit permettre aux établissements d’évaluer dans quelle mesure leurs fonds propres sont suffisants pour couvrir l’ensemble des risques auxquels ils sont ou pourraient être exposés (risques non limités à ceux précédemment abordés).

D’un point de vue opérationnel, il est nécessaire d’intégrer les mécanismes de mesure des risques (indicateurs) dans le suivi opérationnel des différentes directions. La mise en place d’un score clientèle par exemple dans le cadre de la gestion du risque crédit doit pouvoir alimenter divers processus métiers comme la gestion des limites de crédits par abonnés. Cette gestion suppose en particulier une diffusion des éléments de gestion du risque au service clientèle, aux directions commerciales concernées et par là même, une diffusion de la "culture risque" aux différentes entités opérationnelles.

Les régulateurs sont également extrêmement vigilants sur la qualité de la documentation et de l’organisation du système d’information. Cet ensemble représente d’une certaine façon la partie visible de l’iceberg "gestion des risques". Il est aussi le principal vecteur de communication avec les différents
cabinets d’audit, réglementairement mandatés pour valider les dispositifs. L’ensemble des processus et procédures devra faire l’objet d’une rédaction et d’une présentation exhaustive et cela, dans tous les domaines impactés (IT, Risk, DSC, DF). Les mises à jour SI seront particulièrement auditées sous les angles de fiabilité des données (recettes, politique de qualité des données), modalités de stockage de l'info, etc.

La dimension réglementaire et l’adaptation SI & Process de ces projets seront donc très conséquentes à la fois en termes de développement et d’organisation.

En synthèse, au-delà de l'activité envisagée, la création d'un établissement de paiement soulève des questions de gouvernance stricte des risques, dont la mise en place représentera un projet majeur, même si le contexte réglementaire paraîtra allégé par rapport à certaines pratiques de Place •