Le droit bancaire européen connaît une métamorphose profonde depuis 2020. La crise sanitaire a accéléré la numérisation des services financiers, tandis que les impératifs de transition écologique ont imposé une redéfinition des obligations de transparence. Les directives PSD2, MiCA et DORA constituent l’ossature d’un édifice réglementaire en pleine restructuration. Face aux crypto-actifs et aux néobanques, le législateur européen a élaboré un arsenal juridique sophistiqué qui redessine les contours de la souveraineté financière du continent. Cette transformation réglementaire répond à un double objectif : protéger le consommateur et renforcer la compétitivité des institutions financières européennes.
La directive PSD2 : un an après sa mise en œuvre complète
Entrée pleinement en vigueur en décembre 2022, la Payment Services Directive 2 a profondément modifié l’écosystème bancaire européen. Son principe fondateur repose sur l’open banking, obligeant les établissements traditionnels à ouvrir leurs interfaces de programmation (API) aux prestataires tiers. Cette innovation juridique a créé deux nouvelles catégories d’acteurs : les prestataires d’information sur les comptes (AISP) et les prestataires de services d’initiation de paiement (PISP).
Le premier bilan jurisprudentiel montre une application hétérogène selon les États membres. L’arrêt de la CJUE du 17 mars 2023 (C-287/22) a précisé la notion de « consentement explicite » requis pour l’accès aux données bancaires. La Cour a établi que ce consentement doit être distinct de celui donné pour l’utilisation du service principal, renforçant ainsi la protection des données personnelles des utilisateurs.
Sur le plan technique, l’authentification forte (SCA) imposée par la directive a réduit les fraudes de paiement de 28% selon les chiffres de l’Autorité Bancaire Européenne (mars 2023). Toutefois, cette sécurité accrue s’est parfois traduite par une expérience utilisateur dégradée, avec un taux d’abandon des transactions en ligne atteignant 22% dans certains secteurs.
Les litiges transfrontaliers constituent désormais une préoccupation majeure. Le règlement extrajudiciaire des différends, encouragé par la directive, peine à s’harmoniser. La Commission européenne a donc lancé en janvier 2023 une consultation publique visant à standardiser les procédures de médiation financière à l’échelle du marché unique.
Le cas particulier des API bancaires
L’interopérabilité des API demeure problématique. Le rapport Berlin Group de septembre 2023 identifie sept standards techniques différents coexistant dans l’Union, créant une fragmentation préjudiciable aux fintechs paneuropéennes. Cette situation a conduit la BCE à proposer un cadre technique unifié, prévu pour adoption en juin 2024, qui pourrait représenter une seconde révolution dans l’accès aux données financières.
MiCA : le nouveau cadre réglementaire des crypto-actifs
Adopté en avril 2023, le règlement Markets in Crypto-Assets constitue la première législation complète sur les crypto-actifs au monde. Ce texte majeur s’appliquera progressivement jusqu’à décembre 2024, créant un cadre juridique uniforme pour l’émission et la négociation des actifs numériques dans l’Union européenne.
MiCA distingue trois catégories de crypto-actifs soumises à des régimes différenciés :
- Les tokens se référant à des actifs (asset-referenced tokens), adossés à plusieurs devises ou matières premières
- Les tokens de monnaie électronique (e-money tokens), indexés sur une seule monnaie ayant cours légal
- Les autres crypto-actifs, catégorie résiduelle incluant notamment le Bitcoin et l’Ether
Pour les émetteurs de stablecoins (tokens de monnaie électronique et tokens se référant à des actifs), le règlement impose un capital minimal de 350 000 euros, une réserve d’actifs équivalente à 100% des tokens en circulation, et des stress tests réguliers. Ces exigences prudentielles s’inspirent directement de la réglementation bancaire traditionnelle, créant un pont juridique entre finance traditionnelle et décentralisée.
Les prestataires de services sur crypto-actifs (CASP) devront désormais obtenir un agrément auprès des autorités nationales compétentes. Cette autorisation, valable dans toute l’Union grâce au passeport européen, soumet ces acteurs à des obligations de lutte contre le blanchiment, de protection des avoirs des clients et d’information du public. Le règlement fixe un plafond de responsabilité civile de 7 millions d’euros, montant jugé insuffisant par certains juristes spécialisés.
La dimension extraterritoriale de MiCA mérite une attention particulière. Les prestataires établis hors de l’Union mais ciblant le marché européen devront se conformer à la réglementation. Cette approche, inspirée du RGPD, affirme la souveraineté normative européenne dans le domaine financier numérique. Elle pourrait toutefois créer des tensions avec les juridictions ayant adopté des approches plus libérales, comme Singapour ou les Émirats arabes unis.
DORA : la résilience opérationnelle numérique du secteur financier
Le règlement Digital Operational Resilience Act, adopté en décembre 2022, entrera en application le 17 janvier 2025. Ce texte instaure un cadre harmonisé pour la gestion des risques informatiques dans le secteur financier, répondant aux vulnérabilités révélées par la multiplication des cyberattaques contre les institutions financières.
DORA soumet les entités financières à cinq obligations fondamentales :
Premièrement, la mise en place d’un dispositif de gouvernance des risques informatiques intégré à la gouvernance générale. Les conseils d’administration devront désormais comprendre au moins un membre possédant des compétences avérées en cybersécurité, et consacrer au minimum deux sessions annuelles à ces questions.
Deuxièmement, l’élaboration d’une stratégie de résilience numérique incluant des objectifs quantifiables et des indicateurs de performance. Cette stratégie doit être révisée après chaque incident significatif et au moins tous les trois ans.
Troisièmement, la réalisation de tests avancés de résilience incluant des tests d’intrusion basés sur la menace (TLPT). Pour les établissements d’importance systémique, ces tests devront être conduits par des équipes indépendantes certifiées par les autorités de surveillance.
Quatrièmement, la mise en place d’un système de notification harmonisé des incidents informatiques majeurs. Les incidents devront être signalés aux autorités compétentes dans un délai de quatre heures, puis faire l’objet de rapports intermédiaires et finaux selon un format standardisé.
Enfin, le règlement instaure un cadre de surveillance des prestataires critiques de services informatiques (CTPP). Ces acteurs, souvent extérieurs au périmètre traditionnel de la supervision financière, seront désormais soumis au contrôle direct des autorités européennes de surveillance pour leurs activités destinées au secteur financier.
L’Autorité Bancaire Européenne estime le coût de mise en conformité entre 15 et 30 millions d’euros pour une banque de taille moyenne. Ce montant considérable soulève des questions d’équité concurrentielle, notamment pour les établissements de petite taille qui pourraient être incités à externaliser davantage leurs systèmes informatiques, créant paradoxalement de nouvelles concentrations de risques.
La finance durable : nouvelles obligations de transparence
La taxonomie européenne des activités durables, complétée par les actes délégués de 2022 et 2023, impose désormais aux établissements de crédit une transparence accrue sur leurs activités de financement. Depuis janvier 2023, les banques européennes doivent publier leur Green Asset Ratio (GAR), indicateur mesurant la proportion d’actifs alignés avec les objectifs environnementaux de l’Union.
Cette obligation s’inscrit dans un cadre plus large comprenant le règlement Sustainable Finance Disclosure Regulation (SFDR) et la directive Corporate Sustainability Reporting Directive (CSRD). L’articulation entre ces différents textes crée un écosystème normatif complexe où les banques jouent un rôle central de collecte et de transmission d’informations extra-financières.
Les premières publications montrent des disparités significatives entre établissements. Selon l’étude de la Fédération Bancaire Européenne (octobre 2023), le GAR moyen s’établit à 7,9%, avec des variations allant de 3% à 18% selon les modèles d’affaires. Ces écarts posent la question de la comparabilité des données et de leur interprétation par les investisseurs et régulateurs.
Sur le plan prudentiel, la Banque Centrale Européenne a publié en mars 2023 ses lignes directrices sur l’intégration des risques climatiques dans le processus de surveillance et d’évaluation prudentielle (SREP). Cette initiative, bien qu’encore exploratoire, pourrait préfigurer une modulation des exigences de fonds propres en fonction de l’exposition aux risques climatiques, créant un lien direct entre performance environnementale et traitement réglementaire.
Les contentieux climatiques visant les banques se multiplient par ailleurs. L’arrêt de la Cour d’appel de Paris du 19 mai 2023 (n°21/19999) a reconnu l’existence d’un devoir de vigilance spécifique concernant le financement d’activités fortement émettrices de gaz à effet de serre. Cette jurisprudence, si elle se confirme, pourrait transformer radicalement la responsabilité juridique des établissements de crédit en matière climatique.
La Commission européenne a annoncé pour 2024 une révision du cadre prudentiel visant à mieux intégrer les risques environnementaux. Les scénarios à l’étude incluent des facteurs de soutien vert (green supporting factors) réduisant les exigences de capital pour les financements durables, ou des facteurs de pénalisation (brown penalizing factors) augmentant ces mêmes exigences pour les activités polluantes.
L’Union bancaire : entre consolidation et nouvelles frontières
Le projet d’Union bancaire, lancé en 2012, connaît une phase de consolidation technique mais d’incertitude politique. Le Mécanisme de Surveillance Unique (MSU) a renforcé son emprise avec l’intégration de la Bulgarie et de la Croatie en 2020 et 2023 respectivement. Parallèlement, le Mécanisme de Résolution Unique (MRU) a atteint en juin 2023 son objectif de dotation du Fonds de résolution unique à hauteur de 1% des dépôts garantis (environ 66 milliards d’euros).
Le troisième pilier initialement prévu, le Système européen d’assurance des dépôts (SEAD), reste bloqué par des désaccords politiques fondamentaux entre États membres. La proposition de compromis présentée en décembre 2022 par la présidence tchèque, limitant le mécanisme à des prêts entre fonds nationaux, n’a pas permis de surmonter les réticences allemandes et néerlandaises.
Dans ce contexte, la Commission a réorienté ses efforts vers l’approfondissement des deux premiers piliers. La révision du cadre de gestion des crises bancaires, proposée en avril 2023, étend le champ d’application du règlement sur la résolution aux banques moyennes et facilite l’accès aux fonds de garantie des dépôts pour financer des mesures préventives. Cette approche pragmatique vise à résoudre les lacunes révélées par les défaillances de la Silicon Valley Bank et de Credit Suisse.
Parallèlement, l’intégration des marchés de capitaux progresse. Le règlement European Single Access Point (ESAP), adopté en juillet 2023, crée un point d’accès unique aux informations financières et extra-financières des entreprises européennes. Cette infrastructure, qui sera gérée par l’ESMA, vise à faciliter les investissements transfrontaliers en réduisant l’asymétrie d’information entre acteurs du marché.
La dimension géopolitique de l’Union bancaire s’affirme. Face aux sanctions contre la Russie, le système européen a démontré sa résilience mais aussi révélé des vulnérabilités. La dépendance aux infrastructures de paiement américaines et la fragmentation persistante des marchés de capitaux limitent l’autonomie stratégique européenne. La Commission a donc lancé en septembre 2023 une initiative sur la souveraineté financière européenne, visant notamment à renforcer le rôle international de l’euro et à développer des infrastructures critiques indépendantes.
Le défi des consolidations transfrontalières
Les fusions transfrontalières, longtemps considérées comme l’aboutissement naturel de l’Union bancaire, restent rares. Les obstacles réglementaires, notamment l’impossibilité de mutualiser librement le capital et la liquidité entre filiales d’un même groupe dans différents pays, freinent ces opérations. Cette situation paradoxale, où le cadre prudentiel entrave l’intégration qu’il était censé faciliter, fait l’objet d’une réflexion approfondie au sein du MSU.