I. - La mise en œuvre des mesures de sécurité visées à l'article 1er du présent arrêté est décrite par écrit, testée régulièrement, évaluée et contrôlée, conformément aux dispositions du code monétaire et financier applicable au prestataire de services de paiement, par des auditeurs possédant une expertise dans le domaine de la sécurité informatique et des paiements électroniques et indépendants, sur le plan opérationnel, du prestataire de services de paiement.
II. - Le délai entre les audits visés à l'alinéa précédent est déterminé compte tenu du cadre comptable et du contrôle légal des comptes correspondant qui est applicable au prestataire de services de paiement.
Toutefois, les prestataires de services de paiement qui font usage de la dérogation visée à l'article 18 du présent arrêté font l'objet au moins une fois par an d'un audit portant sur la méthodologie, le modèle et les taux de fraude notifiés. L'auditeur qui réalise cet audit possède une expertise dans le domaine de la sécurité informatique et des paiements électroniques et est indépendant de celui-ci sur le plan opérationnel. Au cours de la première année où il est fait usage de la dérogation visée à l'article 18, et au moins tous les trois ans ensuite, ou plus fréquemment si l'autorité compétente le demande, cet audit est réalisé par un auditeur externe indépendant et qualifié.
III. - Cet audit évalue et rend compte de la conformité des mesures de sécurité du prestataire de services de paiement avec les exigences fixées par le présent règlement.
L'intégralité du rapport est mise à la disposition des autorités compétentes à la demande de celles-ci.