La transformation numérique bouleverse profondément les fondements du droit bancaire français et européen. L’émergence des cryptomonnaies, l’intelligence artificielle dans les processus décisionnels et l’open banking redéfinissent les contours juridiques du secteur. Face à cette mutation accélérée depuis la directive DSP2, les régulateurs s’efforcent d’équilibrer innovation et protection. La jurisprudence récente, notamment l’arrêt de la CJUE du 11 avril 2023 sur les services de paiement, témoigne de cette tension permanente entre l’encadrement des nouveaux acteurs financiers et la préservation d’un environnement propice à l’innovation.
L’émergence du cadre juridique des actifs numériques
Le droit bancaire traditionnel se trouve confronté à un défi inédit avec l’essor des cryptoactifs. La loi PACTE du 22 mai 2019 a constitué une première réponse en instaurant un régime pour les prestataires de services sur actifs numériques (PSAN), imposant un enregistrement obligatoire auprès de l’AMF pour certaines activités. Le règlement MiCA (Markets in Crypto-Assets) adopté en avril 2023 harmonise désormais cette approche à l’échelle européenne, créant un cadre unifié pour l’émission et la négociation de cryptoactifs.
La qualification juridique des cryptomonnaies demeure complexe. La Cour de cassation, dans son arrêt du 26 février 2020, a refusé de les considérer comme des instruments financiers, tandis que l’administration fiscale les traite comme des biens meubles incorporels. Cette ambivalence juridique illustre la difficulté d’appliquer des concepts traditionnels à ces innovations.
Les stablecoins et les monnaies numériques de banque centrale (MNBC) font l’objet d’un traitement spécifique. L’expérimentation de l’euro numérique par la BCE s’accompagne d’une réflexion sur l’adaptation du cadre prudentiel. Le Conseil de stabilité financière a publié en octobre 2022 des recommandations pour encadrer ces actifs, reconnaissant leur potentiel systémique.
- Enregistrement AMF obligatoire pour les PSAN exerçant des activités de conservation ou d’achat/vente de cryptoactifs
- Agrément optionnel offrant un « visa » pour les acteurs souhaitant une reconnaissance réglementaire supérieure
La lutte contre le blanchiment constitue un enjeu majeur de cette régulation. La 5e directive anti-blanchiment a intégré les plateformes d’échange de cryptomonnaies parmi les entités assujetties, obligation renforcée par le règlement sur les transferts de fonds (TFR) qui impose désormais la règle du « travel rule » aux transactions en cryptoactifs.
L’open banking et la révolution des interfaces de programmation
La directive sur les services de paiement (DSP2) a initié une transformation structurelle du marché bancaire en imposant aux établissements traditionnels l’ouverture de leurs interfaces de programmation (API). Cette obligation crée un écosystème où cohabitent banques historiques et nouveaux prestataires de services d’information sur les comptes (AISP) ou d’initiation de paiement (PISP).
L’Autorité bancaire européenne a précisé les normes techniques de réglementation (RTS) encadrant cette ouverture, notamment pour l’authentification forte et les communications sécurisées. Le règlement délégué 2018/389 impose des standards de sécurité stricts tout en garantissant l’accès aux données nécessaires pour les prestataires tiers.
La jurisprudence a précisé les contours de cette ouverture. Dans l’affaire C-287/19 (DenizBank), la CJUE a interprété restrictivement les exemptions à l’authentification forte, privilégiant la protection des utilisateurs. Plus récemment, l’arrêt C-372/21 a clarifié les responsabilités des prestataires d’initiation de paiement en cas d’opération non autorisée.
Le projet de DSP3 présenté en juin 2023 va plus loin en proposant d’étendre le champ des données accessibles au-delà des simples informations de paiement. Cette évolution vers l’open finance soulève des questions juridiques nouvelles sur l’articulation avec le RGPD et le consentement explicite des clients.
L’open banking transforme progressivement la relation contractuelle bancaire. La Cour de cassation, dans un arrêt du 20 janvier 2022, a reconnu la validité des clauses autorisant le partage d’informations avec des tiers agréés, sous réserve d’une information claire du client sur la portée de son consentement.
L’intelligence artificielle dans les décisions bancaires : encadrement juridique
L’utilisation croissante d’algorithmes dans les processus bancaires soulève des questions juridiques inédites. L’octroi de crédit assisté par intelligence artificielle doit respecter les principes du droit bancaire traditionnel tout en s’adaptant aux spécificités de ces technologies. La CNIL a publié en 2020 des lignes directrices sur l’utilisation des algorithmes, imposant notamment la transparence algorithmique et la possibilité d’une intervention humaine.
Le règlement européen sur l’intelligence artificielle, en cours d’adoption, classifie les systèmes d’IA utilisés dans l’évaluation de la solvabilité comme à « haut risque », imposant des obligations renforcées de documentation et d’évaluation. Cette qualification juridique entraîne des exigences de robustesse et d’explicabilité qui transforment la conception même des outils d’aide à la décision bancaire.
Discrimination et biais algorithmiques
La jurisprudence commence à se former sur les questions de discrimination algorithmique. L’affaire Apple Card aux États-Unis a mis en lumière les risques de biais de genre dans les systèmes d’octroi de crédit. En France, le Défenseur des droits a publié en 2022 des recommandations sur la prévention des discriminations indirectes dans les décisions automatisées.
L’article 22 du RGPD garantit le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé. La CNIL a précisé dans sa délibération du 15 mars 2023 que l’intervention humaine dans le processus décisionnel doit être substantielle et non une simple validation formelle de la recommandation algorithmique.
Les établissements bancaires doivent désormais documenter leurs processus d’IA et mettre en place des mécanismes de contrôle interne spécifiques. La Banque de France a publié en janvier 2023 un document de travail sur la gouvernance algorithmique dans le secteur financier, recommandant l’adoption de procédures d’audit régulières des systèmes décisionnels automatisés.
La finance décentralisée (DeFi) : défis pour l’encadrement réglementaire
La finance décentralisée représente un paradigme disruptif pour le droit bancaire traditionnel. Ces protocoles opérant sur des blockchains publiques permettent d’offrir des services financiers sans intermédiaire central, remettant en question la notion même d’établissement régulé. L’Autorité des marchés financiers a publié en juillet 2022 une analyse juridique qualifiant certaines plateformes DeFi de prestataires de services d’investissement non autorisés.
La qualification juridique des smart contracts soulève des questions complexes. La Cour d’appel de Paris, dans un arrêt du 8 septembre 2022, a reconnu la valeur probatoire d’une transaction enregistrée sur blockchain, ouvrant la voie à une reconnaissance progressive de ces protocoles automatisés. Néanmoins, l’application des règles traditionnelles du droit des contrats reste délicate.
Les pools de liquidité et les prêts décentralisés questionnent le monopole bancaire. L’article L511-5 du Code monétaire et financier réserve aux établissements de crédit le droit de recevoir des fonds remboursables du public. Les protocoles DeFi contournent cette règle en créant des marchés de prêts directs entre utilisateurs, sans intermédiaire identifiable.
Le règlement MiCA n’aborde que partiellement la DeFi, se concentrant sur les acteurs centralisés. La Commission européenne a annoncé pour 2024 une consultation sur l’encadrement spécifique de la finance décentralisée, reconnaissant la nécessité d’adapter le cadre juridique à ces modèles non-custodial où aucune entité n’a le contrôle des fonds des utilisateurs.
L’enjeu systémique de ces protocoles reste difficile à évaluer. Le Comité de Bâle sur le contrôle bancaire a publié en décembre 2022 une étude sur les implications prudentielles de la DeFi, soulignant les risques d’interconnexion avec le système financier traditionnel et la nécessité d’une approche réglementaire adaptée.
L’évolution du droit de la responsabilité bancaire à l’ère numérique
La digitalisation des services bancaires redessine les contours de la responsabilité des établissements. La Cour de cassation, dans un arrêt du 12 janvier 2022, a renforcé l’obligation de vigilance des banques face aux fraudes en ligne, considérant qu’une opération manifestement atypique aurait dû être détectée par les systèmes de surveillance automatisés.
Le devoir de conseil se trouve transformé par les interfaces digitales. Le Tribunal de commerce de Paris, dans un jugement du 22 mars 2023, a estimé que la simple mise à disposition d’informations sur une application ne satisfait pas l’obligation d’information précontractuelle, imposant aux banques de repenser leurs parcours numériques pour garantir la compréhension effective des produits proposés.
La cybersécurité devient une obligation de résultat. L’arrêt de la Cour d’appel de Versailles du 4 mai 2022 a retenu la responsabilité d’une banque pour défaut de sécurisation de son système d’information, ayant permis une intrusion et des virements frauduleux. Cette jurisprudence impose aux établissements un niveau d’exigence élevé en matière de protection des infrastructures critiques.
Le partage de responsabilité entre les différents acteurs de la chaîne de paiement se complexifie. L’article L133-28 du Code monétaire et financier, issu de la transposition de la DSP2, établit un régime spécifique pour les opérations non autorisées impliquant des prestataires tiers, créant un mécanisme de remboursement immédiat par la banque gestionnaire du compte avant recours éventuel contre le prestataire d’initiation.
La Banque Centrale Européenne a publié en février 2023 de nouvelles lignes directrices sur la résilience opérationnelle digitale, anticipant l’entrée en vigueur du règlement DORA (Digital Operational Resilience Act). Ce texte harmonise les exigences en matière de gestion des risques informatiques et impose des tests d’intrusion réguliers, renforçant considérablement les obligations des établissements en matière de continuité d’activité.