Le chapitre III du titre III du livre Ier du même code est ainsi modifié :
1° Son intitulé est remplacé par l'intitulé suivant :
« Les règles applicables aux autres instruments de paiement et à l'accès aux comptes » ;
2° A l'article L. 133-1 :
a) Au I, avant les mots : « Les dispositions » sont insérés les mots : « Dans les conditions prévues aux II à IV », le mot : « opérations » est remplacé par le mot : « services » et le mot : « réalisées » est remplacé par le mot : « fournis » ;
b) Les II et III sont remplacés par les dispositions suivantes :
« II.-Les dispositions du présent chapitre s'appliquent si le prestataire de services de paiement du bénéficiaire et celui du payeur sont situées, l'un sur le territoire de la France métropolitaine, en Guadeloupe, en Guyane, en Martinique, à La Réunion, à Mayotte ou à Saint-Martin, l'autre sur le territoire de la France métropolitaine, en Guadeloupe, en Guyane, en Martinique, à La Réunion, à Mayotte, à Saint-Martin ou dans un autre Etat membre de l'Union européenne ou dans un autre Etat partie à l'accord sur l'Espace économique européen, et que l'opération est réalisée en euros ou dans la devise d'un Etat membre de l'Union européenne qui n'appartient pas à la zone euro ou d'un autre Etat partie à l'accord sur l'Espace économique européen.
« III.-A l'exception de celles des articles L. 133-11 à L. 133-13 et du II de l'article L. 133-14, les dispositions du présent chapitre s'appliquent si le prestataire de services de paiement du bénéficiaire et celui du payeur sont situés, l'un sur le territoire de la France métropolitaine, en Guadeloupe, en Guyane, en Martinique, à La Réunion, à Mayotte ou à Saint-Martin, l'autre sur le territoire de la France métropolitaine, en Guadeloupe, en Guyane, en Martinique, à La Réunion, à Mayotte, à Saint-Martin ou dans un autre Etat membre de l'Union européenne ou dans un autre Etat partie à l'accord sur l'Espace économique européen, et que l'opération est réalisée dans la devise d'un Etat qui n'appartient pas à l'accord sur l'Espace économique européen, pour ce qui concerne les parties de l'opération de paiement qui sont effectuées dans l'Union.
« IV.-A l'exception de celles de l'article L. 133-11, du I de l'article L. 133-13, de l'article L. 133-22, des articles L. 133-25 à L. 133-25-2 et de l'article L. 133-27, les dispositions du présent chapitre s'appliquent si seul le prestataire de services de paiement du bénéficiaire ou celui du payeur sont situés sur le territoire de la France métropolitaine, en Guadeloupe, en Guyane, en Martinique, à La Réunion, à Mayotte, à Saint-Martin, quelle que soit la devise dans laquelle l'opération est réalisée, pour ce qui concerne les parties de l'opération de paiement qui sont effectuées dans l'Union.
« V.-A l'exception de celles des articles L. 133-16, L. 133-17, L. 133-41 et L. 133-44, les dispositions du présent chapitre ne s'appliquent pas aux services fournis par les prestataires de services d'information sur les comptes mentionnés à l'article L. 522-1. » ;
c) Le IV devient un VI ;
3° Au I de l'article L. 133-1-1 :
a) Au premier alinéa, après les mots : « Saint-Pierre-et-Miquelon » sont insérés les mots : « ou à Saint-Barthélemy » ;
b) Au b, le montant : « 150 € » est remplacé par le montant : « 50 € » ;
4° A l'article L. 133-2, la référence : « au I de l'article L. 133-26 » est remplacée par la référence : « aux I et III de l'article L. 133-26 » ;
5° A l'article L. 133-3 :
a) Le I est remplacé par les dispositions suivantes :
« I.-Une opération de paiement est une action consistant à verser, transférer ou retirer des fonds, indépendamment de toute obligation sous-jacente entre le payeur et le bénéficiaire, initiée par le payeur, ou pour son compte, ou par le bénéficiaire. » ;
b) Au II, la phrase : « L'opération de paiement peut être ordonnée : » est remplacée par la phrase : « L'opération de paiement peut être initiée : » ;
6° A l'article L. 133-4 :
a) Le a est remplacé par les dispositions suivantes :
« a) Les données de sécurité personnalisées s'entendent des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d'authentification ; »
b) Au c les mots : « auquel l'utilisateur de services de paiement a recours » sont remplacés par le mot : « utilisé » ;
c) Après le d sont ajoutées les dispositions suivantes :
« e) Une authentification s'entend d'une procédure permettant au prestataire de services de paiement de vérifier l'identité d'un utilisateur de services de paiement ou la validité de l'utilisation d'un instrument de paiement spécifique, y compris l'utilisation des données de sécurité personnalisées de l'utilisateur ;
« f) Une authentification forte du client s'entend d'une authentification reposant sur l'utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l'utilisateur connaît), « possession » (quelque chose que seul l'utilisateur possède) et « inhérence » (quelque chose que l'utilisateur est) et indépendants en ce sens que la compromission de l'un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification ;
« g) Les données de paiement sensibles s'entendent des données, y compris les données de sécurité personnalisées, qui sont susceptibles d'être utilisées pour commettre une fraude. En ce qui concerne les activités des prestataires de services de paiement fournissant le service d'initiation de paiement et des prestataires de services de paiement fournissant le service d'information sur les comptes, le nom du titulaire du compte et le numéro de compte ne constituent pas des données de paiement sensibles ;
« h) Un groupe s'entend de l'ensemble formé par une société et celles qu'elle contrôle au sens de l'article L. 233-16 du code de commerce ou d'établissements au sens des articles 4,5,6 et 7 du règlement délégué (UE) n° 241/2014 de la Commission européenne qui sont liés entre eux par une relation au sens de l'article 10, paragraphe 1, ou de l'article 113, paragraphe 6 ou 7, du règlement (UE) n° 575/2013. » ;
7° Au II de l'article L. 133-6, après les mots : « de la série d'opérations » sont insérés les mots : «, notamment sous la forme d'un mandat de prélèvement » ;
8° A l'article L. 133-7 :
a) Après le premier alinéa, il est inséré un alinéa ainsi rédigé :
« Le consentement peut être donné par l'intermédiaire du bénéficiaire ou d'un prestataire de services de paiement fournissant un service d'initiation de paiement mentionné au 7° du II de l'article L. 314-1. » ;
b) Au dernier alinéa, après le mot : « peut » est inséré le mot : « aussi » ;
9° Le premier alinéa du II de l'article L. 133-8 est remplacé par les dispositions suivantes :
« Lorsque l'opération de paiement est initiée par le bénéficiaire ou par le payeur qui donne un ordre de paiement par l'intermédiaire du bénéficiaire, le payeur ne peut révoquer l'ordre de paiement après avoir transmis l'ordre de paiement au bénéficiaire ou donné son consentement à l'exécution de l'opération de paiement au bénéficiaire.
« Lorsque l'opération de paiement est initiée par un prestataire de services de paiement fournissant un service d'initiation de paiement mentionné au 7° du II de l'article L. 314-1, le payeur ne peut révoquer l'ordre de paiement après avoir donné son consentement à ce que le prestataire de services de paiement fournissant le service d'initiation de paiement initie l'opération de paiement. » ;
10° Au premier alinéa du I de l'article L. 133-10, après les mots : « un ordre de paiement » sont insérés les mots : « ou d'initier une opération de paiement » et les mots : « législation communautaire ou nationale » sont remplacés par les mots : « disposition du droit de l'Union ou de droit national pertinente » ;
11° Au premier alinéa de l'article L. 133-11, les mots : « Le prestataire de services de paiement du payeur et celui du bénéficiaire » sont remplacés par les mots : « Le ou les prestataires de services de paiement du payeur et celui ou ceux du bénéficiaire » ;
12° Le deuxième alinéa du I de l'article L. 133-13 est supprimé ;
13° Le deuxième alinéa du I de l'article L. 133-14 est remplacé par les dispositions suivantes :
« Le prestataire de services de paiement du bénéficiaire met le montant de l'opération à disposition du bénéficiaire immédiatement après que son propre compte a été crédité, y compris pour les opérations de paiement qui se déroulent au sein d'un seul et même prestataire de services de paiement, lorsque, pour sa part :
« a) Il n'y a pas de conversion ; ou
« b) Il y a conversion entre l'euro et la devise d'un Etat membre ou entre les devises de deux Etats membres. » ;
14° A la section 5, il est inséré une sous-section 1 ainsi rédigée :
« Sous-section 1.-Relation entre le prestataire de services de paiement et l'utilisateur de services de paiement » ;
15° A l'article L. 133-15 :
a) Au I, les mots : « dispositifs de sécurité personnalisés tels que définis » sont remplacés par les mots : « les données de sécurité personnalisées telles que définies » ;
b) Au II, après les mots : « met en place » sont insérés les mots : «, à titre gratuit, » ;
c) Au IV, les mots : « tout dispositif de sécurité personnalisé » sont remplacés par les mots : « toute donnée de sécurité personnalisée » ;
16° A l''article L. 133-16 :
a) Au premier alinéa, les mots : « dispositifs de sécurité personnalisés » sont remplacés par les mots : « données de sécurité personnalisées » ;
b) Au deuxième alinéa, la phrase est complétée par les mots : « qui doivent être objectives, non discriminatoires et proportionnées. » ;
17° Le II de l'article L. 133-17 est complété par les mots : « tant que le compte du prestataire de services de paiement du bénéficiaire n'a pas été crédité du montant de l'opération de paiement. » ;
18° La section 5 est complétée par une sous-section 2 ainsi rédigé :
« Sous-section 2
« Relation entre les prestataires de services de paiement respectivement parties avec l'utilisateur de services de paiement
« Art. L. 133-17-1.-Un prestataire de services de paiement gestionnaire du compte peut refuser à un prestataire de services de paiement fournissant un service d'information sur les comptes ou d'initiation de paiement l'accès à un compte de paiement, pour des raisons objectivement motivées ou documentées liées à un accès non autorisé ou frauduleux au compte de paiement de la part de ce prestataire, y compris l'initiation non autorisée ou frauduleuse d'une opération de paiement.
« Dans les cas visés au premier alinéa, le prestataire de services de paiement gestionnaire du compte informe l'utilisateur de services de paiement, de la manière convenue entre les parties, du refus d'accès au compte de paiement et des raisons de ce refus. Cette information est, si possible, donnée à l'utilisateur avant que l'accès ne soit refusé et au plus tard immédiatement après ce refus, à moins que cette information ne soit pas communicable pour des raisons de sécurité objectivement justifiées ou soit interdit en vertu d'une autre disposition du droit de l'Union ou de droit national pertinente.
« Le prestataire de services de paiement gestionnaire du compte permet l'accès au compte de paiement dès lors que les raisons mentionnées à l'alinéa premier n'existent plus.
« Lorsque le prestataire de services de paiement gestionnaire du compte refuse à un prestataire de services de paiement fournissant un service d'information sur les comptes ou un service d'initiation de paiement l'accès à un compte de paiement conformément au premier alinéa, le prestataire de services de paiement gestionnaire du compte notifie immédiatement l'incident à la Banque de France. La notification contient les informations pertinentes relatives à l'incident et les raisons justifiant les mesures prises. La Banque de France évalue l'incident, prend au besoin des mesures appropriées et, si elle l'estime nécessaire, en informe l'Autorité de contrôle prudentiel et de résolution en application de l'article L. 631-1. » ;
19° Le premier alinéa de l'article L. 133-18 est remplacé par les dispositions suivantes :
« En cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l'opération non autorisée immédiatement après avoir pris connaissance de l'opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s'il a de bonnes raisons de soupçonner une fraude de l'utilisateur du service de paiement et s'il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu.
« Lorsque l'opération de paiement non autorisée est initiée par l'intermédiaire d'un prestataire de services de paiement fournissant un service d'initiation de paiement, le prestataire de services de paiement gestionnaire du compte rembourse immédiatement, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu. La date de valeur à laquelle le compte de paiement du payeur est crédité n'est pas postérieure à la date à laquelle il avait été débité.
« Si le prestataire de services de paiement qui a fourni le service d'initiation de paiement est responsable de l'opération de paiement non autorisée, il indemnise immédiatement le prestataire de services de paiement gestionnaire du compte, à sa demande, pour les pertes subies ou les sommes payées en raison du remboursement du payeur, y compris le montant de l'opération de paiement non autorisée. » ;
20° L'intitulé de la sous-section 2 de la section 6 est remplacé par l'intitulé suivant :
« Cas particulier des instruments de paiement dotés de données de sécurité personnalisées » ;
21° A l'article L. 133-19 :
a) Au I :
-au premier alinéa, le montant : « 150 € » est remplacé par le montant : « 50 € » ;
-son deuxième alinéa est remplacé par les dispositions suivantes :
« Toutefois, la responsabilité du payeur n'est pas engagée en cas :
«-d'opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées ;
«-de perte ou de vol d'un instrument de paiement ne pouvant être détecté par le payeur avant le paiement ;
«-de perte due à des actes ou à une carence d'un salarié, d'un agent ou d'une succursale d'un prestataire de services de paiement ou d'une entité vers laquelle ses activités ont été externalisées. » ;
b) Après le IV, sont ajoutés les V et VI ainsi rédigés :
« V.-Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l'opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n'exige une authentification forte du payeur prévue à l'article L. 133-44.
« VI.-Lorsque le bénéficiaire ou son prestataire de services de paiement n'accepte pas une authentification forte du payeur prévue à l'article L. 133-44, il rembourse le préjudice financier causé au prestataire de services de paiement du payeur. » ;
22° Le troisième alinéa de l'article L. 133-21 est complété par les dispositions suivantes :
« Le prestataire de services de paiement du bénéficiaire communique au prestataire de services de paiement du payeur toutes les informations utiles pour récupérer les fonds. Si le prestataire de services de paiement du payeur ne parvient pas à récupérer les fonds engagés dans l'opération de paiement, il met à disposition du payeur, à sa demande, les informations qu'il détient pouvant documenter le recours en justice du payeur en vue de récupérer les fonds. » ;
23° A l''article L. 133-22 :
a) Au I :
-le deuxième alinéa est complété par la phrase suivante : « La date de valeur à laquelle le compte de paiement du payeur est crédité n'est pas postérieure à la date à laquelle il a été débité. » ;
-le troisième alinéa est complété par la phrase suivante : « La date de valeur à laquelle le compte de paiement du bénéficiaire a été crédité n'est pas postérieure à la date de valeur qui lui aurait été attribuée si l'opération avait été correctement exécutée. » ;
-après le troisième alinéa, il est inséré un quatrième alinéa ainsi rédigé :
« Lorsqu'une opération de paiement est exécutée tardivement, le prestataire de services de paiement du bénéficiaire veille, à la demande du prestataire de services de paiement du payeur agissant pour le compte du payeur, à ce que la date de valeur à laquelle le compte de paiement du bénéficiaire a été crédité ne soit pas postérieure à la date de valeur qui lui aurait été attribuée si l'opération avait été correctement exécutée. » ;
b) Au II :
-à la première phrase du premier alinéa, le mot : « ordonnée » est remplacé par le mot : « initiée » ;
-le troisième alinéa est complété par les dispositions suivantes : « La date de valeur attribuée au montant de cette opération sur le compte de paiement du bénéficiaire n'est pas postérieure à la date de valeur qui lui aurait été attribuée si l'opération avait été correctement exécutée. » ;
-le quatrième alinéa est complété par les dispositions suivantes :
« La date de valeur attribuée au montant de l'opération sur le compte de paiement du payeur n'est pas postérieure à la date de valeur qui lui aurait été attribuée si l'opération avait été correctement exécutée. » ;
-après le quatrième alinéa, sont insérés deux alinéas ainsi rédigés :
« Toutefois, lorsque le prestataire de services de paiement du payeur prouve que le prestataire de services de paiement du bénéficiaire a reçu le montant de l'opération de paiement, l'obligation prévue au précédent alinéa ne s'applique pas, quand bien même l'exécution de l'opération de paiement était retardée. Dans ce cas, le prestataire de services de paiement du bénéficiaire attribue une date de valeur au montant de cette opération sur le compte de paiement du bénéficiaire qui n'est pas postérieure à la date de valeur qui lui aurait été attribuée si l'opération avait été correctement exécutée.
« En cas de transmission tardive de l'ordre de paiement, la date de valeur attribuée au montant de l'opération sur le compte de paiement du bénéficiaire n'est pas postérieure à la date de valeur qui lui aurait été attribuée si l'opération avait été correctement exécutée. » ;
c) Au III, la phrase est complétée par les mots : «, sans frais pour celui-ci. » ;
24° Après l'article L. 133-22 sont insérés les articles L. 133-22-1 et L. 133-22-2 ainsi rédigés :
« Art. L. 133-22-1.-Sans préjudice des dispositions des deuxième et troisième alinéas de l'article L. 133-21 et de l'article L. 133-24, lorsqu'un ordre de paiement est initié par le payeur par l'intermédiaire d'un prestataire de services de paiement fournissant un service d'initiation de paiement, le prestataire de services de paiement gestionnaire du compte rembourse au payeur le montant de l'opération de paiement non exécutée ou mal exécutée et, le cas échéant, rétablit le compte de paiement débité dans l'état où il se serait trouvé si l'opération de paiement mal exécutée n'avait pas eu lieu.
« Art. L. 133-22-2.-Si le prestataire de services de paiement fournissant un service d'initiation de paiement est responsable de la non-exécution, de la mauvaise exécution ou de l'exécution tardive de l'opération de paiement, il indemnise immédiatement le prestataire de services de paiement gestionnaire du compte, à sa demande, pour les pertes subies ou les sommes payées en raison du remboursement du payeur. » ;
25° Le deuxième alinéa de l'article L. 133-23 est complété par la phrase suivante :
« Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d'initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l'utilisateur de services de paiement. » ;
26° Après l'article L. 133-23, il est inséré un article L. 133-23-1 ainsi rédigé :
« Art. L. 133-23-1.-Lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, et que l'ordre de paiement est initié par l'intermédiaire d'un prestataire de services de paiement fournissant un service d'initiation de paiement à la demande du payeur, il incombe à ce prestataire de services de paiement de prouver que l'ordre de paiement a été reçu par le prestataire de services de paiement gestionnaire du compte du payeur et que, pour ce qui le concerne, l'opération de paiement a été authentifiée et dûment enregistrée et correctement exécutée qu'elle n'a pas été affectée par une déficience technique ou autre en relation avec soit le service qu'il fournit, soit la non-exécution, la mauvaise exécution ou l'exécution tardive de l'opération. » ;
27° A l'article L. 133-24, il est inséré un troisième alinéa ainsi rédigé :
« Les dispositions du présent article s'appliquent, indifféremment de l'intervention d'un prestataire de services de paiement fournissant un service d'initiation de paiement dans l'opération de paiement. » ;
28° Le IV de l'article L. 133-25 est complété par la phrase suivante : « La date de valeur à laquelle le compte de paiement du payeur est crédité n'est pas postérieure à la date à laquelle il a été débité. » ;
29° L'article L. 133-25-1 est remplacé par les dispositions suivantes :
« Art. L. 133-25-1.-Sans préjudice des dispositions prévues à l'article L. 133-25-2, en cas de prélèvements visés à l'article 1er du règlement (UE) n° 260/2012, le payeur jouit d'un droit au remboursement inconditionnel dans les délais fixés à l'article L. 133-25. » ;
30° L'article L. 133-26 est complété par les dispositions suivantes :
« III.-Le prestataire de services de paiement ne peut imputer de frais à l'utilisateur de services de paiement en cas de révocation par le payeur d'un mandat de prélèvement au sens du règlement (UE) n° 260/2012 du Parlement Européen et du Conseil, du 14 mars 2012, sauf cas prévu au IV de l'article L. 133-8.
« IV.-Lorsque l'utilisateur de services de paiement procède à l'information prévue à l'article L. 133-17, le prestataire de services de paiement ne peut facturer éventuellement que les coûts de remplacement directement imputables à cet instrument de paiement. » ;
31° L'article L. 133-27 est remplacé par les dispositions suivantes :
« Art. L. 133-27.-Le bénéficiaire paie les frais prélevés par son prestataire de services de paiement et le payeur paie les frais prélevés par le sien, lorsque :
« 1° Une opération de paiement est effectuée à l'intérieur de l'Espace économique européen et que le prestataire de services de paiement du payeur et celui du bénéficiaire sont tous deux situés dans un Etat membre de l'Union européenne ou d'un autre Etat partie à l'accord sur l'Espace économique européen ;
« 2° L'unique prestataire de services de paiement intervenant dans l'opération de paiement est situé dans un Etat membre de l'Union européenne ou d'un autre Etat partie à l'accord sur l'Espace économique européen. » ;
32° Après la section 12, sont ajoutées les sections 13,14,15 et 16 ainsi rédigées :
« Section 13
« Modalités d'accès aux comptes de paiement
« Art. L. 133-39.-I.-Lorsque le paiement est initié au moyen d'un instrument de paiement lié à une carte, le prestataire de services de paiement gestionnaire du compte, à la demande d'un du prestataire de services de paiement émetteur de cet instrument, confirme immédiatement si le montant nécessaire à l'exécution de l'opération de paiement liée à une carte est disponible sur le compte de paiement du payeur, pour autant que l'ensemble des conditions suivantes soient remplies :
« 1° Le compte de paiement du payeur est accessible en ligne au moment de la demande ;
« 2° Le payeur a donné son consentement exprès au prestataire de services de paiement gestionnaire du compte pour qu'il réponde aux demandes d'un prestataire de services de paiement donné en vue de confirmer que le montant correspondant à une opération de paiement donnée liée à une carte est disponible sur le compte de paiement du payeur ;
« 3° Le consentement mentionné au 2° a été donné avant la première demande de confirmation.
« II.-Le prestataire de services de paiement émetteur de l'instrument de paiement lié à une carte peut demander la confirmation mentionnée au I si l'ensemble des conditions suivantes sont remplies :
« 1° Le payeur lui a donné son consentement exprès pour qu'il demande la confirmation mentionnée au I ;
« 2° Le payeur a initié l'opération de paiement pour le montant en question au moyen d'un instrument de paiement lié à une carte émis par ce prestataire de services de paiement ;
« 3° Le prestataire de services de paiement s'authentifie auprès du prestataire de services de paiement gestionnaire du compte avant chaque demande de confirmation et communique avec le prestataire de services de paiement gestionnaire du compte dans les conditions prévues par l'acte délégué adopté en vertu de l'article 98.1 de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 susvisée.
« III.-La confirmation ne porte que sur la disponibilité du montant mentionné au II au moment de la demande. Cette réponse n'est ni stockée ni utilisée à d'autres fins que l'exécution d'une opération de paiement liée à une carte. Elle ne permet pas au prestataire de services de paiement gestionnaire du compte de bloquer des fonds sur le compte de paiement du payeur.
« IV.-Le payeur peut demander au prestataire de services de paiement gestionnaire du compte de lui communiquer l'identification du prestataire de services de paiement et la réponse qui lui a été transmise.
« V.-Les dispositions du présent article ne s'appliquent pas aux opérations de paiement initiées au moyen d'instruments de paiement liés à une carte sur lesquels est stockée de la monnaie électronique au sens de l'article L. 315-1 du présent code.
« Art. L. 133-40.-I.-Sous réserve que le compte de paiement soit accessible en ligne, le payeur peut s'adresser à un prestataire de services de paiement de son choix pour obtenir le service d'initiation de paiement mentionné au 7° du II de l'article L. 314-1.
« Lorsque le payeur donne son consentement explicite à l'exécution d'un paiement conformément à l'article L. 133-6, le prestataire de services de paiement gestionnaire du compte exécute les actions prévues au III.
« II.-Lorsqu'il fournit le service d'initiation de paiement mentionné au 7° du II de l'article L. 314-1, le prestataire de services de paiement :
« 1° Ne détient à aucun moment les fonds du payeur ayant fait l'objet de l'opération de paiement initiée par le prestataire de services de paiement fournissant le service d'initiation de paiement ;
« 2° Veille à ce que les données de sécurité personnalisées de l'utilisateur de services de paiement ne soient pas accessibles à d'autres parties que cet utilisateur et l'émetteur desdites données et veille à transmettre celles-ci au moyen de canaux sûrs et efficaces ;
« 3° Veille à ce que toute autre information relative à l'utilisateur de services de paiement, obtenue lors de la fourniture de services d'initiation de paiement, ne soit communiquée qu'au bénéficiaire et uniquement avec le consentement exprès de l'utilisateur de services de paiement ;
« 4° S'identifie auprès du prestataire de services de paiement gestionnaire du compte du payeur chaque fois qu'un paiement est initié et communique dans les conditions prévues par l'acte délégué adopté en vertu de l'article 98.1 de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 susvisée avec le prestataire de services de paiement gestionnaire du compte, le payeur et le bénéficiaire ;
« 5° Ne stocke pas de données de paiement sensibles concernant l'utilisateur de services de paiement ;
« 6° Ne demande pas à l'utilisateur de services de paiement des données autres que celles nécessaires pour fournir le service d'initiation de paiement ;
« 7° N'utilise, ne consulte ou ne stocke des données à des fins autres que la fourniture du service d'initiation de paiement expressément demandée par le payeur ;
« 8° Ne modifie pas le montant, le bénéficiaire ou tout autre caractéristique de l'opération.
« III.-Lorsqu'un utilisateur de services de paiement utilise un service d'initiation de paiement, son prestataire de services de paiement gestionnaire du compte :
« 1° Communique dans les conditions prévues par l'acte délégué adopté en vertu de l'article 98.1 de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 susvisée avec le prestataire de services de paiement fournissant le service d'initiation de paiement ;
« 2° Fournit au prestataire de services de paiement fournissant le service d'initiation de paiement, ou met à sa disposition, immédiatement après réception d'un ordre de paiement, toutes les informations sur l'initiation de l'opération de paiement et toutes les informations auxquelles il a lui-même accès concernant l'exécution de l'opération de paiement ;
« 3° Traite les ordres de paiement transmis par le prestataire de services fournissant le service d'initiation de paiement sans aucune discrimination autre que fondée sur des raisons objectives, en termes de délai, de priorité ou de frais par rapport aux ordres de paiement transmis directement par le payeur.
« IV.-La fourniture de services d'initiation de paiement n'est pas subordonnée à l'existence de relations contractuelles entre les prestataires de services de paiement fournissant le service d'initiation de paiement et les prestataires de services de paiement gestionnaires de comptes.
« Art. L. 133-41.-I.-Sous réserve que son compte de paiement soit accessible en ligne, l'utilisateur de services de paiement peut accéder aux données de ses comptes de paiement par l'intermédiaire d'un prestataire de services de paiement de son choix fournissant le service d'information sur les comptes mentionné au 8° du II de l'article L. 314-1.
« II.-Lorsqu'il fournit le service d'information sur les comptes, le prestataire de services de paiement :
« 1° Recueille le consentement exprès de l'utilisateur de services de paiement ;
« 2° Veille à ce que les données de sécurité personnalisées de l'utilisateur de services de paiement ne soient pas accessibles à d'autres parties que l'utilisateur et l'émetteur desdites données et veille à transmettre celles-ci de manière sécurisée ;
« 3° S'identifie, pour chaque session de communication, auprès du ou des prestataires de services de paiement gestionnaires de comptes de l'utilisateur de services de paiement et communique de manière sécurisée dans les conditions prévues par l'acte délégué adopté en vertu de l'article 98.1 de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 susvisée avec le ou les prestataires de services de paiement gestionnaires de comptes et l'utilisateur de services de paiement ;
« 4° Accède uniquement aux informations provenant des comptes de paiement désignés par l'utilisateur de services de paiement et des opérations de paiement associées ;
« 5° Ne demande pas de données de paiement sensibles liées à des comptes de paiement ;
« 6° N'utilise, ne consulte ou ne stocke des données qu'aux seuls fins de la fourniture du service d'information sur les comptes expressément demandée par l'utilisateur de services de paiement.
« III.-Lorsqu'un utilisateur de services de paiement utilise un service d'information sur les comptes, son prestataire de services de paiement gestionnaire du compte :
« 1° Communique de manière sécurisée dans les conditions prévues par l'acte délégué adopté en vertu de l'article 98.1 de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 susvisée avec les prestataires de services de paiement fournissant le service d'information sur les comptes ;
« 2° Traite les demandes de données transmises par les prestataires de services de paiement fournissant le service d'information sur les comptes sans aucune discrimination, autre que fondée sur des raisons objectives.
« IV.-La fourniture du service d'information sur les comptes n'est pas subordonnée à l'existence de relations contractuelles entre les prestataires de services de paiement fournissant un service d'information sur les comptes et les prestataires de services de paiement gestionnaires de comptes.
« Section 14
« Opérations de paiement dont le montant n'est pas connu à l'avance
« Art. L. 133-42.-Lorsqu'une opération de paiement est initiée par l'intermédiaire du bénéficiaire dans le cadre d'une opération de paiement liée à une carte et que le montant exact n'est pas connu au moment où le payeur donne son consentement à l'exécution de l'opération de paiement, le prestataire de services de paiement du payeur ne peut bloquer des fonds sur le compte de paiement du payeur que si celui-ci a donné son consentement quant au montant exact des fonds à bloquer.
« Art. L. 133-43.-Le prestataire de services de paiement du payeur débloque les fonds bloqués sur le compte de paiement du payeur mentionné à l'article L. 133-42 sans retard injustifié après réception des informations sur le montant exact de l'opération de paiement et au plus tard immédiatement après réception de l'ordre de paiement.
« Section 15
« Authentification
« Art. L. 133-44.-I.-Le prestataire de services de paiement applique l'authentification forte du client définie au f de l'article L. 133-4 lorsque le payeur :
« 1° Accède à son compte de paiement en ligne ;
« 2° Initie une opération de paiement électronique ;
« 3° Exécute une opération par le biais d'un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.
« II.-Pour les opérations de paiement électronique à distance, l'authentification forte du client définie au f de l'article L. 133-4 comporte des éléments qui établissent un lien dynamique entre l'opération, le montant et le bénéficiaire donnés.
« III.-En ce qui concerne l'obligation du I, les prestataires de services de paiement mettent en place des mesures de sécurité adéquates afin de protéger la confidentialité et l'intégrité des données de sécurité personnalisées des utilisateurs de services de paiement.
« IV.-Le prestataire de services de paiement gestionnaire du compte autorise le prestataire de services de paiement fournissant un service d'initiation de paiement et le prestataire de services de paiement fournissant le service d'information sur les comptes à se fonder sur ses procédures d'authentification lorsqu'ils agissent pour l'un de leurs utilisateurs conformément aux I et III et, lorsque le prestataire de services de paiement fournissant le service d'initiation de paiement intervient, conformément aux I, II et III.
« Section 16
« Traitement des réclamations
« Art. L. 133-45.-Les prestataires de services de paiement mettent en place et appliquent des procédures destinées au traitement des réclamations des utilisateurs de services de paiement portant sur le respect des dispositions de la section 5 du chapitre II du titre Ier du livre Ier, du chapitre III du titre III du livre Ier, du chapitre IV du titre Ier du livre III et du chapitre Ier du titre II du livre V.
« Ces procédures sont accessibles dans une des langues officielles de l'Etat membre concerné ou dans une autre langue si le prestataire de services de paiement mentionné à l'alinéa premier et l'utilisateur de services de paiement en sont convenus ainsi.
« Les prestataires de services de paiement mentionnés à l'alinéa premier répondent sur support papier ou, s'ils en sont convenus ainsi avec l'utilisateur de services de paiement, sur un autre support durable, aux réclamations des utilisateurs de services de paiement.
« Cette réponse aborde tous les points soulevés dans la réclamation et est transmise dans les meilleurs délais et au plus tard dans les quinze jours ouvrables suivant la réception de la réclamation.
« Dans des situations exceptionnelles, si une réponse ne peut être donnée dans les quinze jours ouvrables pour des raisons échappant au contrôle du prestataire de services de paiement, celui-ci envoie une réponse d'attente motivant clairement le délai complémentaire nécessaire pour répondre à la réclamation et précisant la date ultime à laquelle l'utilisateur de services de paiement recevra une réponse définitive. En tout état de cause, l'utilisateur de services de paiement reçoit une réponse définitive au plus tard trente-cinq jours ouvrables suivant la réception de la réclamation.
« Le prestataire de services de paiement informe l'utilisateur de services de paiement d'au moins une instance de règlement extrajudiciaire compétente pour connaître des litiges résultant de l'application des dispositions de la section 5 du chapitre II du titre Ier du livre Ier, du chapitre III du titre III du livre Ier, du chapitre IV du titre Ier du livre III et du chapitre Ier du titre II du livre V. Ces informations sont mentionnées de manière claire, complète et aisément accessible sur le site internet du prestataire de services de paiement, quand il en existe, auprès de la succursale ou de tout autre lieu de commercialisation de services de paiement, et dans les conditions générales du contrat conclu entre le prestataire de services de paiement et l'utilisateur de services de paiement. Il y est également précisé comment de plus amples informations sur l'instance de règlement extrajudiciaire concernée et sur les conditions d'un tel recours peuvent être obtenues. »