Le chapitre Ier du titre II du livre V du même code est ainsi modifié :
1° Au I de l'article L. 521-1, les mots : « et les établissements de crédit » sont remplacés par les mots : «, les établissements de crédit et les prestataires de services d'information sur les comptes » ;
2° A l'article L. 521-3 :
a) Le I est remplacé par les dispositions suivantes :
« I.-Par exception à l'interdiction de l'article L. 521-2, une entreprise peut fournir des services de paiement fondés sur des moyens de paiement qui ne sont acceptés, pour l'acquisition de biens ou de services, que :
« 1° Dans les locaux de cette entreprise ou, dans le cadre d'un accord commercial avec elle, dans un réseau limité de personnes acceptant ces moyens de paiement ; ou
« 2° Pour un éventail limité de biens ou de services. » ;
b) Au premier alinéa du II, les mots : «, sauf si les instruments de paiement émis par cette entreprise sont délivrés exclusivement pour l'achat d'un bien ou d'un service déterminé auprès d'elle ou auprès d'entreprises liées avec elle par un accord de franchise commerciale » sont supprimés et l'alinéa est complété par les dispositions suivantes :
« La déclaration précise au titre de quelle exclusion prévue au I l'activité est considérée être exercée. » ;
c) Le troisième alinéa du II est remplacé par les dispositions suivantes :
« Ces entreprises adressent chaque année à l'Autorité de contrôle prudentiel et de résolution, qui la transmet à la Banque de France, une actualisation de la déclaration afin de justifier du respect des dispositions précitées et la sécurité des moyens de paiement qu'elles émettent et gèrent. » ;
3° Au premier alinéa de l'article L. 521-3-1, les mots : « électroniques, à un abonné » sont remplacés par les mots : « électroniques à un abonné » ;
4° Après l'article L. 521-3-1, il est inséré un article L. 521-3-2 ainsi rédigé :
« Art. L. 521-3-2.-Les services reposant sur des instruments de paiement spécifiques, valables uniquement en France, fournis à la demande d'une personne morale de droit public ou de droit privé ou assimilé, soumis à des dispositions législatives ou réglementaires spécifiques ou un régime spécial de droit public, et permettant d'acquérir des catégories de biens ou des services spécifiques auprès de fournisseurs ayant conclu un accord commercial relatif à l'acceptation de ces instruments ne sont pas considérés comme des services de paiement au sens de l'article L. 314-1.
« Les entreprises qui fournissent les services, reposant sur ces instruments de paiement spécifiques, pour la partie de leur activité qui répond aux conditions du présent article, ne sont pas soumises aux règles applicables aux prestataires de services de paiement mentionnés à l'article L. 521-1.
« La liste des instruments spéciaux de paiement mentionnés au premier alinéa est fixée par arrêté du ministre chargé de l'économie. » ;
5° Après l'article L. 521-4, sont ajoutés les articles L. 521-5 à L. 521-10 ainsi rédigés :
« Art. L. 521-5.-Les prestataires de services de paiement n'ont accès à des données à caractère personnel nécessaires à l'exécution de leurs services de paiement, ne les traitent et ne les conservent qu'avec le consentement exprès de l'utilisateur de services de paiement.
« Art. L. 521-6.-Les systèmes de paiement et les prestataires de services de paiement sont autorisés à traiter des données à caractère personnel lorsque cela est nécessaire pour garantir la prévention, la recherche et la détection des fraudes en matière de paiements. La communication aux personnes d'informations sur le traitement des données à caractère personnel et le traitement de ces données à caractère personnel ainsi que tout autre traitement de données à caractère personnel sont effectués conformément aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil et du règlement (CE) 45/2001 du Parlement européen et du Conseil.
« Art. L. 521-7.-Par dérogation aux dispositions de l'article L. 612-1, la Commission nationale de l'informatique et des libertés veille au respect des dispositions des articles L. 521-5 et L. 521-6 en utilisant les compétences qui lui sont reconnues par le règlement (UE) 2016/679 du Parlement européen et du Conseil. A cette fin, elle peut notamment recevoir, par tous moyens, les plaintes relatives aux infractions aux dispositions des articles L. 521-5 et L. 521-6.
« Art. L. 521-8.-La Banque de France s'assure de la sécurité de l'accès aux comptes de paiement et à leurs informations dans le cadre de la fourniture des services de paiement mentionnés au 7° et 8° du II de l'article L. 314-1 par tout prestataire de services de paiement et de la pertinence des normes applicables en la matière. Pour l'accomplissement de cette mission, la Banque de France dispose des mêmes pouvoirs auprès de ces prestataires que ceux prévus aux quatrième et cinquième alinéas du I de l'article L. 141-4.
« Art. L. 521-9.-Les prestataires de services de paiement mettent en place des procédures prévoyant des mesures d'atténuation et des mécanismes de contrôle appropriés en vue de gérer les risques opérationnels et de sécurité, liés aux services de paiement qu'ils fournissent. Un arrêté du ministre en charge de l'économie et des finances précise le contenu de ces procédures.
« Art. L. 521-10.-I.-Les prestataires de services de paiement informent sans retard injustifié l'Autorité de contrôle prudentiel et de résolution de tout incident opérationnel majeur.
« II.-Les prestataires de services de paiement informent sans retard injustifié la Banque de France de tout incident de sécurité majeur. La Banque de France évalue l'incident et prend au besoin des mesures appropriées et si elle l'estime nécessaire, elle en informe l'Autorité de contrôle prudentiel et de résolution en application de l'article L. 631-1.
« III.-Lorsque l'incident a ou est susceptible d'avoir des répercussions sur les intérêts financiers de ses utilisateurs de services de paiement, le prestataire de services de paiement informe sans retard injustifié ses utilisateurs de services de paiement de l'incident et de toutes les mesures disponibles qu'ils peuvent prendre pour atténuer les effets dommageables de l'incident.
« IV.-Dès réception de la notification visée au I ou au II, l'Autorité de contrôle prudentiel et de résolution ou la Banque de France communique sans retard injustifié les détails importants de l'incident à l'Autorité bancaire européenne et à la Banque centrale européenne, et, après avoir évalué la pertinence de l'incident pour d'autres autorités nationales concernées, informe celles-ci en conséquence.
« V.-Les modalités des notifications prévues aux I à III sont précisées par arrêté du ministre de l'économie et des finances. »