Loi du 20 juillet 2018 portant :
1° transposition de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n° 1093/2010, et abrogeant la directive 2007/64/CE ; et
2° modification de la loi modifiée du 10 novembre 2009 relative aux services de paiement.

Adapter la taille du texte :

Loi du 20 juillet 2018 portant :

1° transposition de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n° 1093/2010, et abrogeant la directive 2007/64/CE ; et

2° modification de la loi modifiée du 10 novembre 2009 relative aux services de paiement.



Nous Henri, Grand-Duc de Luxembourg, Duc de Nassau,

Notre Conseil d’État entendu ;

De l’assentiment de la Chambre des Députés ;

Vu la décision de la Chambre des Députés du 10 juillet 2018 et celle du Conseil d’État du 17 juillet 2018 portant qu’il n’y a pas lieu à second vote ;

Avons ordonné et ordonnons :

Art. 1er.

L’article 1er de la loi modifiée du 10 novembre 2009 relative aux services de paiement est modifié comme suit :

1. Il est inséré un point 1bis libellé comme suit :
« 1bis)

« acquisition d’opérations de paiement » : un service de paiement fourni par un prestataire de services de paiement convenant par contrat avec un bénéficiaire d’accepter et de traiter des opérations de paiement, de telle sorte que les fonds soient transférés au bénéficiaire ; » ;

2. Le point 2 prend la teneur suivante :
« 2) « authentification » : une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur ; » ;
3. Il est inséré un point 2bis libellé comme suit :
« 2bis)

« authentification forte du client » : une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance », c’est-à-dire quelque chose que seul l’utilisateur connaît, « possession » c’est-à-dire quelque chose que seul l’utilisateur possède, et « inhérence » c’est-à-dire quelque chose que l’utilisateur est, et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ; » ;

4. Il est inséré un point 3bis libellé comme suit :
« 3bis)

« cobadgeage » : l’inclusion de deux ou de plusieurs marques de paiement ou applications de paiement de la même marque de paiement sur le même instrument de paiement ; » ;

5. Il est inséré un point 6bis libellé comme suit :
« 6bis)

« contenu numérique » : des biens ou des services produits et fournis sous forme numérique, dont l’utilisation ou la consommation est limitée à un dispositif technique et ne prévoyant en aucune façon l’utilisation ou la consommation de biens et de services physiques ; » ;

6. Il est inséré un point 11 libellé comme suit :
« 11) « directive 2002/21/CE » : la directive 2002/21/CE du Parlement européen et du Conseil du 7 mars 2002 relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques ; » ;
7. Il est inséré un point 14quater libellé comme suit :
« 14quater)

« directive 2013/34/UE » : la directive 2013/34/UE du Parlement européen et du Conseil du 26 juin 2013 relative aux états financiers annuels, aux états financiers consolidés et aux rapports y afférents de certaines formes d’entreprises, modifiant la directive 2006/43/CE du Parlement européen et du Conseil et abrogeant les directives 78/660/CEE et 83/349/CEE du Conseil ; » ;

8. ll est inséré un point 14quinquies libellé comme suit :
« 14quinquies)

« directive 2013/36/UE » : la directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 concernant l'accès à l'activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d'investissement, modifiant la directive 2002/87/CE et abrogeant les directives 2006/48/CE et 2006/49/CE ; » ;

9. Il est inséré un point 14sexies libellé comme suit :
« 14sexies)

« directive (UE) 2015/2366 » : la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n°1093/2010, et abrogeant la directive 2007/64/CE ; » ;

10. Il est inséré un point 14septies libellé comme suit :
« 14septies)

« directive (UE) 2015/849 » : la directive (UE) 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, modifiant le règlement (UE) no 648/2012 du Parlement européen et du Conseil et abrogeant la directive 2005/60/CE du Parlement européen et du Conseil et la directive 2006/70/CE de la Commission ; » ;

11. Il est inséré un point 14octies libellé comme suit :
« 14octies)

« données de paiement sensibles » : des données, y compris les données de sécurité personnalisées, qui sont susceptibles d’être utilisées pour commettre une fraude. En ce qui concerne les activités des prestataires de services d’initiation de paiement et des prestataires de services d’information sur les comptes, le nom du titulaire du compte et le numéro de compte ne constituent pas des données de paiement sensibles ; » ;

12. Il est inséré un point 14nonies libellé comme suit :
« 14nonies)

« données de sécurité personnalisées » : des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification ; » ;

13. Au point 15bis, le point i) est remplacé par le libellé suivant :
« i) les établissements de crédit au sens de l’article 4, paragraphe (1), point 1, du règlement (UE) n° 575/2013, y compris leurs succursales au sens de l’article 4, paragraphe (1), point 17, dudit règlement, lorsque ces succursales sont situées dans l’Union européenne, qu’il s’agisse de succursales d’établissements de crédit ayant leur siège dans l’Union européenne ou, conformément à l’article 47 de la directive 2013/36/UE, hors de l’Union européenne ; » ;
14. Il est inséré un point 15ter libellé comme suit :
« 15ter)

« émission d’instruments de paiement » : un service de paiement fourni par un prestataire de services de paiement convenant par contrat de fournir au payeur un instrument de paiement en vue d’initier et de traiter les opérations de paiement du payeur ; » ;

15. Au point 18, les mots  « article 10 de la directive 2007/64/CE  »  sont remplacés par les mots  « article 11 de la directive (UE) 2015/2366  »  ;
16. Au point 23, le mot  « et »  est remplacé par le mot  « ou »  avant les mots  « la monnaie électronique »  ;
17. Il est inséré un point 23bis libellé comme suit :
« 23bis)

« fonds propres » : les fonds au sens de l’article 4, paragraphe (1), point 118, du règlement (UE) n° 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d’investissement et modifiant le règlement (UE) n° 648/2012, désigné ci-après « règlement (UE) n° 575/2013 », les fonds propres de catégorie 1 étant constitués au moins à trois quart de fonds propres de base de catégorie 1 visés à l’article 50 dudit règlement et les fonds propres de catégorie 2 représentant au maximum un tiers des fonds propres de catégorie 1 ; » ;

18. Le point 24 prend la teneur suivante :
« 24) « groupe » : un groupe d’entreprises qui sont liées entre elles par une relation au sens de l’article 22, paragraphe (1), (2) ou (7), de la directive 2013/34/UE ou d’établissements au sens des articles 4 à 7 du règlement délégué (UE) n° 241/2014 de la Commission du 7 janvier 2014 complétant le règlement (UE) n° 575/2013 du Parlement européen et du Conseil par des normes techniques de réglementation concernant les exigences de fonds propres applicables aux établissements, désigné ci-après « règlement délégué (UE) n° 241/2014 » qui sont liés entre eux par une relation au sens de l’article 10, paragraphe (1), ou de l’article 113, paragraphe (6) ou (7), du règlement (UE) n° 575/2013 ; » ;
19. Au point 26, les mots  « auquel l’utilisateur de services de paiement a recours »  sont remplacés par le mot  « utilisé »  ;
20. Il est inséré un point 28bis libellé comme suit :
« 28bis)

« marque de paiement » : tout nom, terme, signe, symbole matériel ou numérique, ou la combinaison de ces éléments, susceptible de désigner le schéma de cartes de paiement dans lequel des opérations de paiement liées à une carte sont effectuées ; » ;

21. Au point 30, les mots  « tout moyen »  sont remplacés par les mots  « toute méthode »  avant les mots  « qui peut être »  , et le mot  « utilisé »  est remplacé par le mot  « utilisée »  ;
22. Au point 31, les mots  « pour son compte ou par »  sont insérés entre les mots  « par le payeur ou »  et  « le bénéficiaire »  ;
23. Il est inséré un point 31bis libellé comme suit :
« 31bis)

« opération de paiement à distance » : une opération de paiement initiée par l’intermédiaire de l’internet ou au moyen d’un dispositif pouvant être utilisé pour la communication à distance ; » ;

24. Le point 34 prend la teneur suivante :
« 34) « participation qualifiée » : le fait de détenir dans une entreprise une participation au sens de l’article 4, paragraphe (1), point 36, du règlement (UE) 575/2013 ; » ;
25. Le point 37 est modifié comme suit :
a) Le point i) prend la teneur suivante :
« i) les établissements de crédit au sens de l’article 4, paragraphe (1), point 1, du règlement (UE) n° 575/2013, y compris leurs succursales au sens de l’article 4, paragraphe (1), point 17, dudit règlement, lorsque ces succursales sont situées dans l’Union européenne, qu’il s’agisse de succursales d’établissements de crédit ayant leur siège dans l’Union européenne ou, conformément à l’article 47 de la directive 2013/36/UE, hors de l’Union européenne ; » ;
b) Au point ii), les mots  « , y compris, conformément à l’article 8 de ladite directive et à l’article 24-16 de la présente loi, une succursale d’un tel établissement, lorsque celle-ci est située dans l’Union européenne et son siège hors de l’Union européenne, dans la mesure où les services de paiement fournis par ladite succursale sont liés à l’émission de monnaie électronique »  sont ajoutés après les mots  «  directive 2009/110/CE ; »  ;
c) Au point iv), les mots  « au sens de la directive 2007/64/CE  »  sont supprimés ;
d) Il est inséré un point viii) libellé comme suit :
« viii) les personnes physiques et morales visées à l’article 48-1bis ; » ;
26. Il est inséré un point 37bis libellé comme suit :
« 37bis)

« service de communications électroniques » : un service au sens de l’article 2, point 27, de la loi modifiée du 27 février 2011 sur les réseaux et les services de communications électroniques ; » ;

27. Il est inséré un point 37ter libellé comme suit :
« 37ter)

« prestataire de services de paiement gestionnaire du compte » : un prestataire de services de paiement qui fournit et gère un compte de paiement pour un payeur ; » ;

28. Il est inséré un point 37quater libellé comme suit :
« 37quater)

« prestataire de services d’initiation de paiement » : un prestataire de services de paiement exerçant des activités visées à l’annexe, point 7 ; » ;

29. Il est inséré un point 37quinquies libellé comme suit :
« 37quinquies)

« prestataire de services d’information sur les comptes » : un prestataire de services de paiement exerçant des activités visées à l’annexe, point 8 ; » ;

30. Il est inséré un point 37sexies libellé comme suit :
« 37sexies)

« réseau de communications électroniques » : un réseau au sens de l’article 2, point 24, de la loi modifiée du 27 février 2011 sur les réseaux et les services de communications électroniques ; » ;

31. Le point 38 prend la teneur suivante :
« 38) « services de paiement » : une ou plusieurs des activités visées à l’annexe, exercées à titre professionnel ; » ;
32. Il est inséré un point 38bis libellé comme suit :
« 38bis)

« service d’information sur les comptes » : un service en ligne consistant à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l’utilisateur de services de paiement soit auprès d’un autre prestataire de services de paiement, soit auprès de plus d’un prestataire de services de paiement ; » ;

33. Il est inséré un point 38ter libellé comme suit :
« 38ter)

« service d’initiation de paiement » : un service consistant à initier un ordre de paiement à la demande de l’utilisateur de services de paiement concernant un compte de paiement détenu auprès d’un autre prestataire de services de paiement ; » ;

34. Au point 46, le point final est remplacé par un point-virgule ;
35. Il est inséré un point 47 libellé comme suit :
« 47) « virement » : un service de paiement fourni par le prestataire de services de paiement qui détient le compte de paiement du payeur et consistant à créditer, sur la base d’une instruction du payeur, le compte de paiement d’un bénéficiaire par une opération ou une série d’opérations de paiement réalisées à partir du compte de paiement du payeur. ».

Art. 2.

L’article 2 de la même loi est modifié comme suit :

1. Le paragraphe 1er, alinéa 2 devient le nouveau paragraphe 1bis ;
2. Au nouveau paragraphe 1bis, les mots  « Cependant, à l’exception de l’article 99, les titres III et IV s’appliquent uniquement lorsque : »  sont remplacés par les mots  « Les titres III et IV s’appliquent aux opérations de paiement dans la devise d’un État membre lorsque : »  ;
3. À la suite du nouveau paragraphe 1bis, deux nouveaux paragraphes 1ter et 1quater sont insérés, libellés comme suit :

« (1ter)

Lorsqu’une opération de paiement est effectuée dans une devise qui n’est pas celle d’un État membre, le titre III, à l’exception de l’article 66, paragraphe (1), lettre b), de l’article 71, paragraphe (2), lettre e) et de l’article 75, lettre a), et le titre IV, à l’exception des articles 94 à 98, s’appliquent pour ce qui concerne les parties de l’opération de paiement qui sont effectuées au Luxembourg lorsque :

1. à la fois le prestataire de services de paiement du payeur et celui du bénéficiaire sont situés au Luxembourg ;
2. le prestataire de services de paiement du payeur est situé au Luxembourg et le prestataire de services de paiement du bénéficiaire est situé dans un autre État membre ;
3. le prestataire de services de paiement du bénéficiaire est situé au Luxembourg et le prestataire de services de paiement du payeur est situé dans un autre État membre ;
4. dans le cas des opérations de paiement dans lesquelles intervient un seul prestataire de services de paiement, ce dernier est situé au Luxembourg.

(1quater)

Lorsqu’un seul des prestataires de services de paiement est situé au Luxembourg et que l’autre est situé dans un pays tiers, le titre III, à l’exception de l’article 66, paragraphe (1), lettre b), de l’article 71, paragraphe (2), lettre e), de l’article 71, paragraphe (5), lettre f) et de l’article 75, lettre a), et le titre IV, à l’exception de l’article 79, paragraphes (2) et (4), des articles 89, 90 et 94, de l’article 96, paragraphe (1), et des articles 101 et 103 s’appliquent aux opérations de paiement dans toutes les devises pour ce qui concerne les parties de cette opération de paiement qui sont effectuées au Luxembourg. » ;

4. Au paragraphe 2, les mots  « dont les établissements de paiement et les établissements de monnaie électronique »  sont supprimés ;
5. Le paragraphe 3 est abrogé.

Art. 3.

L’article 3 de la même loi est modifié comme suit :

1. À la lettre b), les mots  « par contrat »  sont insérés entre les mots  « habilité »  et  « à négocier »  et le mot  « uniquement »  est ajouté à deux reprises après les mots  « pour le compte du payeur »  et après les mots  « ou du bénéficiaire »  ;
2. À la lettre f), le mot  « activités »  est remplacé par le mot  « opérations »  et les mots  « , c’est-à-dire aux opérations »  sont supprimés ;
3. À la lettre j), les mots «, à l’exception des services d’initiation de paiement et des services d’information sur les comptes » sont ajoutés après les mots « dispositifs utilisés aux fins des services de paiement » ;
4. La lettre k) prend la teneur suivante :
« k) aux services reposant sur des instruments de paiement spécifiques qui ne peuvent être utilisés que de manière limitée et qui satisfont à l’une des conditions suivantes :
i) instruments ne permettant à leur détenteur d’acquérir des biens ou des services que dans les locaux de l’émetteur ou au sein d’un réseau limité de prestataires de services directement liés par un contrat commercial à un émetteur professionnel ;
ii) instruments ne pouvant être utilisés que pour acquérir un éventail très limité de biens ou de services ;
iii) instruments valables dans un seul État membre fournis à la demande d’une entreprise ou d’un organisme public et réglementés par une autorité publique nationale ou régionale, à des fins sociales ou fiscales spécifiques, et permettant d’acquérir des biens ou des services spécifiques auprès de fournisseurs ayant conclu un accord commercial avec l’émetteur ; » ;
5. La lettre l) prend la teneur suivante :
« l) aux opérations de paiement proposées par un fournisseur de réseaux ou de services de communications électroniques en plus de services de communications électroniques pour un abonné au réseau ou au service :
i) effectuées pour l’achat de contenu numérique et de services vocaux, quel que soit le dispositif utilisé pour l’achat ou la consommation du contenu numérique et imputées sur la facture correspondante ; ou
ii) exécutées depuis ou au moyen d’un dispositif électronique et imputées sur la facture correspondante dans le cadre d’activités caritatives ou pour l’achat de billets ;

à condition que la valeur de chaque opération de paiement isolée visée aux points i) et ii) ne dépasse pas 50 euros et que la valeur cumulée des opérations de paiement pour un même abonné ne dépasse pas 300 euros par mois ou lorsqu’un abonné préfinance son compte auprès du fournisseur de réseau ou de services de communications électroniques, la valeur cumulée des opérations de paiement ne dépasse pas 300 euros par mois ; » ;

6. À la lettre n), les mots  « et services connexes »  sont insérés entre les mots  « opérations de paiement »  et  « entre une entreprise mère et sa filiale »  ;
7. À la lettre o), le mot  « proposés »  est inséré entre les mots  « retrait d’espèces »  et  « au moyen de distributeurs automatiques »  , le mot  « offerts »  est supprimé et la phrase suivante est ajouté :  « Toutefois, l’utilisateur est informé de tous frais visés aux articles 61, 66, 67 et 68 avant de procéder au retrait, ainsi que lors de la réception des espèces à la fin de l’opération après le retrait. »  .

Art. 4.

Il est inséré un nouvel article 3-1 dans la même loi, libellé comme suit :

« Art. 3-1.  - Obligation de notification pour certains prestataires de services.

(1)

Les prestataires de services exerçant l’une ou l’autre des activités visées à l’article 3, lettre k), points i) et ii), ou exerçant les deux activités, et où la valeur totale des opérations de paiement exécutées au cours des douze mois précédents dépasse le montant de 1 000 000 euros, adressent à la CSSF une notification contenant une description des services proposés, précisant au titre de quelle exclusion visée à l’article 3, lettre k), points i) et ii), l’activité est considérée être exercée.

Sur la base de cette notification, la CSSF prend une décision dûment motivée, sur la base des critères visés à l’article 3, lettre k), lorsque l’activité n’est pas considérée comme un réseau limité au sens dudit article, et en informe le prestataire de services.

(2)

Les prestataires de services exerçant une activité visée à l’article 3, lettre l), adressent à la CSSF une notification et lui fournissent un avis d’audit annuel attestant que l’activité respecte les limites fixées à l’article 3, lettre l).

(3)

La CSSF informe l’Autorité bancaire européenne, ci-après désignée « ABE », des services qui ont fait l’objet d’une notification conformément aux paragraphes (1) et (2), en indiquant dans le cadre de quelle exclusion l’activité est exercée.

(4)

La description de l’activité notifiée conformément aux paragraphes (1) et (2) est mise à la disposition du public dans les registres prévus à l’article 36 par la CSSF. ».

Art. 5.

L’article 8 de la même loi est modifié comme suit :

1. Les actuels alinéas 1er et 2 deviennent le nouveau paragraphe 1er, alinéas 1er et 2 ;
2. Au nouveau paragraphe 1er, alinéa 1er, lettre f), les mots  «  règlement (CE) n° 1781/2006 du Parlement européen et du Conseil du 15 novembre 2006 relatif aux informations concernant le payeur accompagnant les virements de fonds ; »  sont remplacés par les mots  «  règlement (UE) 2015/847 du Parlement européen et du Conseil du 20 mai 2015 sur les informations accompagnant les transferts de fonds et abrogeant le règlement (CE) no 1781/2006 ; »  ;
3. Au nouveau paragraphe 1er, alinéa 1er, lettre g), les mots  « des inspections sur pièces et sur place au moins annuelles que le demandeur s’engage à effectuer à l’égard de ces agents et succursales, ainsi qu’ »  sont insérés entre les mots  « succursales et »  et  « une description des accords »  ;
4. Au nouveau paragraphe 1er, alinéa 1er, lettre l), le point final est remplacé par un point-virgule ;
5. À la suite du nouveau paragraphe 1er, alinéa 1er, lettre l), les lettres m) à q) sont insérées, libellées comme suit :
« m) une description de la procédure en place pour assurer la surveillance, le traitement et le suivi des incidents de sécurité et des réclamations de clients liées à la sécurité, y compris un mécanisme de signalement des incidents qui tient compte des obligations de notification incombant à l’établissement de paiement en vertu de l’article 105-2 ;
n) une description du processus en place pour enregistrer, surveiller et restreindre l’accès aux données de paiement sensibles et garder la trace de ces accès ;
o) une description des dispositions en matière de continuité des activités, y compris une désignation claire des activités essentielles, des plans d’urgence appropriés et une procédure prévoyant de soumettre ces plans à des tests et de réexaminer périodiquement leur adéquation et leur efficience ;
p) une description des principes et des définitions appliqués pour la collecte de données statistiques relatives aux performances, aux opérations et à la fraude ;
q) un document relatif à la politique de sécurité, comprenant une analyse détaillée des risques en ce qui concerne les services de paiement proposés et une description des mesures de maîtrise et d’atténuation prises pour protéger les utilisateurs de services de paiement de façon adéquate contre les risques décelés en matière de sécurité, y compris la fraude et l’utilisation illicite de données sensibles ou à caractère personnel. » ;
6. Au nouveau paragraphe 1er, alinéa 2, les mots « Aux fins des points d), e) et g) » sont remplacés par les mots « Aux fins de l’alinéa 1er, lettres d), e), g) et m) » ;
7. Au nouveau paragraphe 1er, il est inséré un alinéa 3, libellé comme suit :

« La description des mesures de maîtrise et d’atténuation des risques en matière de sécurité visée à l’alinéa 1er, lettre q), indique comment ces mesures garantissent un niveau élevé de sécurité technique et de protection des données, y compris pour les systèmes logiciels et informatiques utilisés par le requérant ou par les entreprises vers lesquelles il externalise la totalité ou une partie de ses activités. Ces mesures incluent les mesures de sécurité prévues à l’article 105-1, paragraphe (1). » ;

8. À la suite du paragraphe 1er, alinéa 3, sont insérés les nouveaux paragraphes 2 et 3, libellés comme suit :

« (2)

L’agrément pour la fourniture des services de paiement visés à l’annexe, point 7, est subordonné à la disposition au préalable d’une assurance de responsabilité civile professionnelle couvrant les territoires où lesdits services seront proposés ou d’une autre garantie comparable contre l’engagement de la responsabilité du requérant conformément aux articles 87, 101, 101-1 et 103.

(3)

Lorsqu’un établissement de paiement fournit en sus les services de paiement visés à l’annexe, point 8, son agrément est en outre subordonné à la condition qu’il dispose au préalable d’une assurance de responsabilité civile professionnelle couvrant les territoires où lesdits services seront proposés ou d’une autre garantie comparable contre l’engagement de la responsabilité du requérant vis-à-vis du prestataire de services de paiement gestionnaire du compte ou de l’utilisateur de services de paiement à la suite d’un accès non autorisé ou frauduleux aux données des comptes de paiement ou d’une utilisation non autorisée ou frauduleuse de ces données. ».

Art. 6.

L’article 10 de la même loi est modifié comme suit :

1. Au paragraphe 3, phrase introductive, les mots  « aux points 4, 5 ou 7 de l’annexe »  sont remplacés par les mots  « à l’annexe, points 4 ou 5, »  et à la lettre b) dudit paragraphe, les mots  « aux articles 23, paragraphe (1) et 24, paragraphe (1) »  sont remplacés par les mots  « à l’article 23, paragraphe (1) »  ;
2. Au paragraphe 5, les mots  « de la loi modifiée du 9 août 1993 réglementant le crédit à la consommation. »  sont remplacés par les mots  « des dispositions du livre 2, titre 2, chapitre 4 du Code de la consommation relatives aux contrats de crédit à la consommation. »  .

Art. 7.

L’article 11 de la même loi est modifié comme suit :

1. Au paragraphe 1er, la phrase suivante est ajoutée :

« L’établissement de paiement doit exercer au moins une partie de son activité de prestation de services de paiement au Luxembourg. » ;

2. Au paragraphe 3, les mots  « visés à l’annexe, points 1 à 7, »  sont insérés entre les mots  « services de paiement »  et  « et que, parallèlement »  ;
3. Au paragraphe 4, alinéa 2, les mots  « , y compris les systèmes informatiques, »  sont insérés entre les mots  « fonctions opérationnelles importantes »  et  « ne doit pas se faire de manière à nuire »  et les mots  « et d’établir »  sont insérés entre les mots  « de contrôler »  et  « que cet établissement respecte »  ;
4. Au paragraphe 4, alinéa 3, les mots  « anomalie ou »  sont insérés entre les mots  « lorsqu’une »  et  « défaillance partielle »  ;
5. Au paragraphe 4, il est ajouté un alinéa 5, libellé comme suit :

« L’établissement de paiement communique sans retard injustifié à la CSSF tout changement concernant le recours à des entités vers lesquelles des activités sont externalisées. ».

Art. 8.

L’article 12 de la même loi est modifié comme suit :

1. Le paragraphe 4 prend la teneur suivante :

« (4)

Toute personne physique ou morale qui a pris la décision d’acquérir ou d’augmenter, directement ou indirectement, une participation qualifiée au sens de l’article 1 er, point 34, dans un établissement de paiement, avec pour conséquence que la proportion de parts de capital ou de droits de vote détenue atteindrait ou dépasserait les seuils de 20 pour cent, de 30 pour cent ou de 50 pour cent ou que cet établissement de paiement deviendrait sa filiale, informe à l’avance et par écrit la CSSF de son intention.

Toute personne physique ou morale qui a pris la décision de céder, directement ou indirectement, une participation qualifiée ou de réduire sa participation qualifiée de sorte que la proportion de parts de capital ou de droits de vote détenue deviendrait inférieure aux seuils de 20 pour cent, de 30 pour cent ou de 50 pour cent ou que l’établissement de paiement cesserait d’être sa filiale, informe à l’avance et par écrit la CSSF de son intention.

L’acquéreur potentiel d’une participation qualifiée fournit à la CSSF les informations précisant le montant de la participation envisagée. La CSSF publie une liste spécifiant les informations nécessaires pour procéder à l’évaluation de la notification et devant lui être communiquées au moment de la notification. » ;

2. Le paragraphe 5 prend la teneur suivante :

« (5)

Au cas où l’influence exercée par un acquéreur potentiel visé au paragraphe (4), alinéa 3, est susceptible de s’exercer au détriment d’une gestion saine et prudente de l’établissement de paiement, la CSSF exprime son opposition ou prend les mesures appropriées pour mettre fin à cette situation.

Aux fins de l’alinéa 1er, la CSSF peut :

1. faire usage de son droit d’injonction visé à l’article 38 ;
2. suspendre l’exercice des droits de vote attachés aux actions ou aux parts détenues par les actionnaires ou associés concernés ; ou
3. sanctionner, selon les modalités de l’article 46, paragraphe (1), les personnes responsables de l’administration ou de la gestion de l’établissement de paiement concerné, qui par leur comportement risquent de mettre en péril la gestion saine et prudente de l’établissement de paiement.

Lorsqu’une participation est acquise en dépit de l’opposition de la CSSF, elle peut suspendre l’exercice des droits de vote correspondants ou demander la nullité ou l’annulation des votes émis.

La CSSF peut prendre les mêmes mesures à l’égard de personnes physiques ou morales qui ne respectent pas l’obligation d’information préalable prévue au présent article.

Toute décision prise par la CSSF en vertu du présent paragraphe peut être déférée dans le délai d’un mois, sous peine de forclusion, au tribunal administratif qui statue comme juge du fond. » ;

3. Le paragraphe 6 est abrogé.

Art. 9.

L’article 14 de la même loi est modifié comme suit :

1. Au paragraphe 1er, alinéa 1er, les mots  « exerce au titre de l’article 10, paragraphe (1), point c) des activités autres que la prestation de services de paiement »  sont remplacés par les mots  « fournit des services de paiement visés à l’annexe, points 1 à 6 »  et les mots  « les fonds »  sont remplacés par les mots  « l’ensemble des fonds »  ;
2. Le paragraphe 3 est abrogé ;
3. Au paragraphe 4, les mots  « obtenir au préalable l’accord de »  sont remplacés par les mots  « en informer au préalable »  .

Art. 10.

L’article 15, paragraphe 4 de la même loi prend la teneur suivante :

« (4)

Le capital initial visé aux paragraphes (1) à (3) est constitué d’un ou de plusieurs des éléments visés à l’article 26, paragraphe (1), lettres a) à e), du règlement (UE) n° 575/2013. ».

Art. 11.

L’article 16 de la même loi est modifié comme suit :

1. Le paragraphe 2, alinéa 1er est supprimé ;
2. Au paragraphe 4, le mot  « suivantes »  est remplacé par les mots  « prévues à l’article 7 du règlement (UE) n° 575/2013  »  et le double-point après le mot  « filiale »  à la fin de la phrase introductive est remplacé par un point final ;
3. Au paragraphe 4, les lettres a) à d) sont supprimées.

Art. 12.

L’article 17 de la même loi est modifié comme suit :

1. Au paragraphe 1er, alinéa 1er, phrase introductive, les mots  « , à l’exception de ceux qui proposent seulement les services visés à l’annexe, point 7 ou 8, ou les deux, »  sont insérés entre les mots  « établissements de paiement »  et  « doivent détenir à tout moment des fonds propres »  ;
2. Au paragraphe 2, la lettre b) est supprimée ;
3. Au paragraphe 5, les mots  « obtenir au préalable l’accord de »  sont remplacés par les mots  « en informer au préalable »  .

Art. 13.

L’article 18 de la même loi est modifié comme suit :

1. Au paragraphe 1er, lettre b), les mots  « , ces informations devant être mises à jour sans tarder en cas de modifications importantes apportées aux renseignements fournis lors de la notification initiale »  sont ajoutés après les mots  « financement du terrorisme »  , et le mot  « et »  à la fin de la lettre b) est supprimé ;
2. Au paragraphe 1er, lettre c), les mots  « , pour les agents autres que des prestataires de services de paiement, »  sont insérés entre les mots  « pour la prestation de services de paiement, et »  et  « la preuve de l’expérience »  , et le point final est remplacé par un point-virgule ;
3. À la suite du paragraphe 1er, lettre c), sont insérées les lettres d) et e), libellées comme suit :
« d) les services de paiement de l’établissement de paiement pour lesquels l’agent est mandaté ;
e) le cas échéant, le code ou numéro d’identification unique de l’agent. » ;
4. Le paragraphe 2 prend la teneur suivante :

« (2)

Dans un délai de deux mois à compter de la réception des informations visées au paragraphe (1), la CSSF fait savoir à l’établissement de paiement si l’agent a été inscrit dans le registre prévu à l’article 36. Dès l’inscription dans ledit registre, l’agent peut commencer à fournir des services de paiement. » ;

5. Au paragraphe 3, les mots  « peut prendre »  sont remplacés par le mot  « prend »  ;
6. Au paragraphe 4, les mots  « et informe l’établissement de paiement sans retard injustifié »  sont ajoutés après les mots  « prévu à l’article 36 »  ;
7. Au paragraphe 5, les mots  « ou en établissant une succursale »  sont insérés entre les mots  « recours à un agent »  et  « , il suit les procédures »  , et la dernière phrase est supprimée ;
8. Au paragraphe 6, les mots  «  directive 2005/60/CE  »  sont remplacés par les mots  «  directive (UE) 2015/849  »  ;
9. Il est ajouté un paragraphe 8, libellé comme suit :

« (8)

L’établissement de paiement communique sans retard injustifié à la CSSF tout changement concernant le recours à des agents, y compris des agents supplémentaires, conformément à la procédure prévue aux paragraphes (2) à (4). ».

Art. 14.

L’article 20 de la même loi est modifié comme suit :

1. Au paragraphe 1er, phrase introductive, le mot  « est »  est remplacé par les mots  « peut être »  ;
2. Au paragraphe 1er, lettre a), les mots  « au cours des six derniers mois »  sont remplacés par les mots  « pendant une période supérieure à six mois »  ;
3. Au paragraphe 1er, lettre c), les mots  « ou omet d’informer la CSSF de changements majeurs à ce sujet »  sont ajoutés après le mot  « octroi »  ;
4. Au paragraphe 1er, lettre d), les mots  « ou la confiance en celui-ci »  sont insérés entre les mots  « auquel il participe »  et  « en poursuivant son activité »  ;
5. Au paragraphe 3, les mots  « , notamment dans les registres prévus à l’article 36 »  sont ajoutés après le mot  « public »  .

Art. 15.

L’article 21 de la même loi est modifié comme suit :

1. Au paragraphe 1er, il est ajouté un nouvel alinéa 2, libellé comme suit :

« Lorsque la CSSF reçoit les informations visées à l’article 28, paragraphe (2), de la directive (UE) 2015/2366 des autorités compétentes de l’État membre d’origine, elle évalue ces informations dans un délai d’un mois suivant la réception. La CSSF communique aux autorités compétentes de l’État membre d’origine les informations pertinentes en rapport avec la fourniture de services de paiement envisagée par l’établissement de paiement concerné au moyen de l’établissement d’une succursale, par le recours à un agent ou par voie de libre prestation de services. » ;

2. Au paragraphe 2, les mots «   «  directive 2005/60/CE  »  sont remplacés par les mots  «  directive (UE) 2015/849  »  , le mot  « en »  entre les mots  « elle »  et  « informe »  est supprimé et les mots  « de tout motif raisonnable de préoccupation »  sont ajoutés après  « l’État membre d’origine »  .

Art. 16.

L’article 23 de la même loi prend la teneur suivante :

« Article 23.  -  L’établissement de succursales, le recours à des agents et la libre prestation de services dans un autre État membre.

(1)

Un établissement de paiement pour lequel l’État membre d’origine est le Luxembourg qui souhaite fournir des services de paiement pour la première fois sur le territoire d’un autre État membre, tant au moyen de l’établissement d’une succursale ou par le recours à un agent que par voie de libre prestation de services, communique à la CSSF les informations suivantes :

a) son nom, son adresse et son numéro d’agrément ;
b) le ou les États membres sur le territoire desquels il envisage d’exercer ses activités ;
c) le ou les services de paiement qui seront fournis ;
d) lorsque l’établissement de paiement entend avoir recours à un agent, les informations visées à l’article 18, paragraphe (1) ;
e) lorsque l’établissement de paiement entend avoir recours à une succursale, les informations visées à l’article 8, paragraphe (1), lettres b) et e), en ce qui concerne l’activité de prestation de services de paiement dans l’État membre d’accueil, une description de la structure organisationnelle de la succursale et l’identité des personnes responsables de la direction de la succursale.

L’établissement de paiement qui entend externaliser des fonctions opérationnelles de services de paiement vers d’autres entités dans l’État membre d’accueil informe au préalable la CSSF.

(2)

Dans un délai d’un mois suivant la réception des informations visées au paragraphe (1), la CSSF les envoie à l’autorité compétente de l’État membre d’accueil.

(3)

Dans un délai de trois mois suivants la réception des informations visées au paragraphe (1), la CSSF communique sa décision aux autorités compétentes de l’État membre d’accueil et à l’établissement de paiement.

Si l’évaluation de la CSSF, notamment compte tenu des informations reçues des autorités compétentes de l’État membre d’accueil conformément à l’article 28, paragraphe (2), alinéa 2, de la directive (UE) 2015/2366, n’est pas favorable, elle refuse d’enregistrer l’agent ou la succursale ou révoque l’enregistrement s’il a déjà été fait. Lorsque la CSSF n’est pas d’accord avec l’évaluation des autorités compétentes de l’État membre d’accueil, elle communique à ces dernières les raisons de sa décision.

(4)

Dès l’inscription dans le registre visé à l’article 36, l’agent ou la succursale peut commencer à exercer ses activités dans l’État membre d’accueil concerné.

L’établissement de paiement informe la CSSF de la date à laquelle il commence à exercer ses activités par l’intermédiaire de l’agent ou de la succursale dans l’État membre d’accueil concerné. La CSSF informe les autorités compétentes de l’État membre d’accueil en conséquence.

(5)

L’établissement de paiement informe sans retard injustifié la CSSF de tout changement significatif concernant les informations communiquées conformément au paragraphe (1), y compris des agents supplémentaires, des succursales ou des entités vers lesquelles des activités sont externalisées dans les États membres d’accueil où il exerce ses activités. La procédure prévue aux paragraphes (2) et (3) est applicable. ».

Art. 17.

L’article 24 de la même loi prend la teneur suivante :

« Article 24.  - La motivation et la communication des mesures prises par la CSSF.

Toute mesure prise par la CSSF en vertu de l’article 15, paragraphe (5), 16, paragraphe (5), 17, paragraphe (6), 23, 31, paragraphes (4) et (5), 34, 35-1, 38 ou 46 et qui comporte des sanctions ou des restrictions à la liberté d’établir des succursales, de recourir à des agents ou à la libre prestation de services est dûment motivée et communiquée à l’établissement de paiement concerné. ».

Art. 18.

L’article 24-4 de la même loi est modifié comme suit :

1. À l’alinéa 1er, lettre f), les mots  «  règlement (CE) n° 1781/2006 du Parlement européen et du Conseil du 15 novembre 2006 relatif aux informations concernant le payeur accompagnant les virements de fonds ; »  sont remplacés par les mots  «  règlement (UE) n° 2015/847, une description des mécanismes de contrôle interne que le requérant a mis en place pour se conformer à ces obligations ; »  ;
2. À alinéa 1er, lettre g), les mots  « des inspections sur pièces et sur place au moins annuelles que le demandeur s’engage à effectuer à l’égard de ces intermédiaires, agents et succursales, ainsi qu’ »  sont insérés entre les mots  « succursales et »  et  « une description des accords »  ;
3. À l’alinéa 1er, lettre l), le point final est remplacé par un point-virgule ;
4. À la suite de l’alinéa 1er, lettre l), les lettres m) à q) sont insérées, libellées comme suit :
« m) une description de la procédure en place pour assurer la surveillance, le traitement et le suivi des incidents de sécurité et des réclamations de clients liées à la sécurité, y compris un mécanisme de signalement des incidents qui tient compte des obligations de notification incombant à l’établissement de monnaie électronique en vertu de l’article 105-2 ;
n) une description du processus en place pour enregistrer, surveiller et restreindre l’accès aux données de paiement sensibles et garder la trace de ces accès ;
o) une description des dispositions en matière de continuité des activités, y compris une désignation claire des activités essentielles, des plans d’urgence appropriés et une procédure prévoyant de soumettre ces plans à des tests et de réexaminer périodiquement leur adéquation et leur efficience ;
p) une description des principes et des définitions appliqués pour la collecte de données statistiques relatives aux performances, aux opérations et à la fraude ;
q) un document relatif à la politique de sécurité, comprenant une analyse détaillée des risques en ce qui concerne l’émission de monnaie électronique et les services de paiement proposés le cas échéant et une description des mesures de maîtrise et d’atténuation prises pour protéger les détenteurs de monnaie électronique et les utilisateurs de services de paiement de façon adéquate contre les risques décelés en matière de sécurité, y compris la fraude et l’utilisation illicite de données sensibles ou à caractère personnel. » ;
5. À l’alinéa 2, les mots  « Aux fins des points d), e) et g) »  sont remplacés par les mots  « Aux fins de l’alinéa 1er, lettres d), e), g) et m) »  ;
6. Il est ajouté un nouvel alinéa 3 libellé comme suit :

« La description des mesures de maîtrise et d’atténuation des risques en matière de sécurité visée à l’alinéa 1er, lettre q), indique comment ces mesures garantissent un niveau élevé de sécurité technique et de protection des données, y compris pour les systèmes logiciels et informatiques utilisés par le requérant ou par les entreprises vers lesquelles il externalise la totalité ou une partie de ses activités. Ces mesures incluent également les mesures de sécurité prévues à l’article 105-1, paragraphe (1).».

Art. 19.

À l’article 24-6, paragraphe 1er, lettre b) de la même loi, les mots  « aux points 4, 5 ou 7 de l’annexe »  sont remplacés par ceux de  « à l’annexe, points 4 ou 5 »  .

Art. 20.

L’article 24-7 de la même loi est modifié comme suit :

1. Au paragraphe 1er, la phrase suivante est ajoutée :

« L’établissement de monnaie électronique doit exercer au moins une partie de son activité d’émission de monnaie électronique au Luxembourg. » ;

2. Au paragraphe 3, les mots  « visés à l’annexe, points 1 à 7 »  sont insérés entre les mots  « services de paiement »  et  « ,la CSSF peut exiger »  ;
3. Au paragraphe 4, alinéa 2, les mots  « , y compris les systèmes informatiques, »  sont insérés entre les mots  « fonctions opérationnelles importantes »  et  « ne doit pas se faire de manière à nuire »  et les mots  « et d’établir »  sont insérés entre les mots  « de contrôler »  et  « que cet établissement respecte »  ;
4. Au paragraphe 4, alinéa 3, les mots  « anomalie ou »  sont insérés entre les mots  « lorsqu’une »  et  « défaillance partielle »  .
5. Au paragraphe 4, il est ajouté un alinéa 5, libellé comme suit :

« L’établissement de monnaie électronique communique sans retard injustifié à la CSSF tout changement concernant le recours à des entités vers lesquelles des activités sont externalisées. ».

Art. 21.

L’article 24-8 de la même loi est modifié comme suit :

1. Au paragraphe 4, les mots  « pour lequel l’État membre d’origine est le Luxembourg »  sont insérés entre les mots  « établissement de monnaie électronique »  et  « , ou d’augmenter »  ;
2. Au paragraphe 8, alinéa 1er, les mots  « d’une amende allant de 125 à 12 500 euros. »  sont remplacés par les mots  « selon les modalités de l’article 46, paragraphe (1). »  .

Art. 22.

L’article 24-11, paragraphe 2, de la même loi prend la teneur suivante :

« (2)

Le capital initial visé au paragraphe (1) est constitué d’un ou de plusieurs des éléments visés à l’article 26, paragraphe (1), lettres a) à e), du règlement (UE) n° 575/2013. ».

Art. 23.

L’article 24-12 de la même loi est modifié comme suit :

1. Au paragraphe 2, l’alinéa 1er est supprimé ;
2. Au paragraphe 3, alinéa 1er, les mots  « à l’exception de celles visées à l’annexe, point 7 ou 8, ou les deux, »  sont insérés entre les mots  « point a), »  et  « qui ne sont pas »  ;
3. Au paragraphe 5, les mots  « à l’exception de celles visées à l’annexe, point 7 ou 8, ou les deux, »  sont insérés entre les mots  « point a), »  et  « qui ne sont pas »   » ;
4. Au paragraphe 8, le mot  « suivantes »  est remplacé par les mots  « prévues à l’article 7 du règlement (UE) n° 575/2013  »  et le double-point à la fin de la phrase introductive est remplacé par un point final ;
5. Au paragraphe 8, les lettres a) à d) sont supprimées.

Art. 24.

L’article 24-14 de la même loi est modifié comme suit :

1. Au paragraphe 1er, phrase introductive, le mot  « est »  est remplacé par les mots  « peut être »  ;
2. Au paragraphe 1er, lettre a), les mots  « au cours des six derniers mois »  sont remplacés par les mots  « pendant une période supérieure à six mois »  ;
3. Au paragraphe 1er, lettre c), les mots  « ou omet d’informer la CSSF de changements majeurs à ce sujet »  sont ajoutés après le mot  « octroi »  ;
4. Au paragraphe 1er, lettre d), les mots  « ou la confiance en celui-ci »  sont insérés entre les mots  « auquel il participe »  et  « en poursuivant son activité »  ;
5. Au paragraphe 3, les mots  « , notamment dans les registres visés à l’article 36 »  sont ajoutés après le mot  « public »  .

Art. 25.

L’article 24-15 de la même loi est modifié comme suit :

1. Au paragraphe 1er, 2e tiret, les mots  « l’article 17 de la directive 200/64/CE  »  sont remplacés par les mots  « l’article 19 de la directive (UE) 2015/2366  »  , et il est ajouté un nouvel alinéa 3, libellé comme suit :

« Lorsque la CSSF reçoit les informations visées à l’article 28, paragraphe (2), de la directive (UE) 2015/2366 des autorités compétentes de l’État membre d’origine, elle évalue ces informations dans un délai d’un mois suivant la réception. La CSSF communique aux autorités compétentes de l’État membre d’origine les informations pertinentes en rapport avec la fourniture de services de paiement envisagée par l’établissement de paiement concerné au moyen de l’établissement d’une succursale ou par le recours à un agent, ou par voie de libre prestation de services. » ;

2. Au paragraphe 2, les mots  «  directive 2005/60/CE  »  sont remplacés par les mots  «  directive (UE) 2015/849  »  , le mot  « en »  entre les mots  « elle »  et  « informe »  est supprimé et les mots  « de tout motif raisonnable de préoccupation »  sont ajoutés à la fin du paragraphe 2.

Art. 26.

L’article 24-17 de la même loi prend la teneur suivante :

« Article 24-17.  -  L’établissement de succursales, le recours à des agents et la libre prestation de services dans un autre État membre.

(1)

Un établissement de monnaie électronique pour lequel l’État membre d’origine est le Luxembourg qui souhaite exercer l’activité d’émission de monnaie électronique ou fournir des services de paiement pour la première fois sur le territoire d’un autre État membre, tant au moyen de l’établissement d’une succursale ou par le recours à un agent que par voie de libre prestation de services, communique à la CSSF les informations suivantes :

a) son nom, son adresse et son numéro d’agrément ;
b) le ou les États membres sur le territoire desquels il envisage d’exercer ses activités ;
c) le type d’opérations envisagées, ainsi que le ou les services de paiement qui seront fournis, le cas échéant ;
d) lorsque l’établissement de monnaie électronique entend avoir recours à un agent, les informations visées à l’article 18, paragraphe (1) ;
e) lorsque l’établissement de monnaie électronique entend avoir recours à une succursale, les informations visées à l’article 24-4, alinéa 1er, lettres b) et e), en ce qui concerne l’activité d’émission de monnaie électronique ou de prestation de services de paiement dans l’État membre d’accueil, une description de la structure organisationnelle de la succursale et l’identité des personnes responsables de la direction de la succursale.

L’établissement de monnaie électronique qui entend externaliser des fonctions opérationnelles de services de paiement vers d’autres entités dans l’État membre d’accueil informe au préalable la CSSF.

(2)

Dans un délai d’un mois suivant la réception des informations visées au paragraphe (1), la CSSF les envoie à l’autorité compétente de l’État membre d’accueil.

(3)

Dans un délai de trois mois suivants la réception des informations visées au paragraphe (1), la CSSF communique sa décision aux autorités compétentes de l’État membre d’accueil et à l’établissement de monnaie électronique.

Si l’évaluation de la CSSF, notamment compte tenu des informations reçues des autorités compétentes de l’État membre d’accueil conformément à l’article 28, paragraphe (2), alinéa 2, de la directive (UE) 2015/2366, n’est pas favorable, elle refuse d’enregistrer l’agent ou la succursale ou révoque l’enregistrement s’il a déjà été fait. Lorsque la CSSF n’est pas d’accord avec l’évaluation des autorités compétentes de l’État membre d’accueil, elle communique à ces dernières les raisons de sa décision.

(4)

Dès l’inscription dans le registre visé à l’article 36, l’agent ou la succursale peut commencer à exercer ses activités dans l’État membre d’accueil concerné.

L’établissement de monnaie électronique informe la CSSF de la date à laquelle il commence à exercer ses activités par l’intermédiaire de l’agent ou de la succursale dans l’État membre d’accueil concerné. La CSSF informe les autorités compétentes de l’État membre d’accueil en conséquence.

(5)

L’établissement de monnaie électronique informe sans retard injustifié la CSSF de tout changement significatif concernant les informations communiquées conformément au paragraphe (1), y compris des agents supplémentaires, des succursales ou des entités vers lesquelles des activités sont externalisées dans les États membres d’accueil où il exerce ses activités. La procédure prévue aux paragraphes (2) et (3) est applicable. ».

Art. 27.

L’article 24-18 de la même loi prend la teneur suivante :

« Article 24-18.  - La motivation et la communication des mesures prises par la CSSF.

Toute mesure prise par la CSSF en vertu de l’article 24-11, paragraphe (3), 24-12, paragraphe (9), 24-17, 31, paragraphes (4) et (5), 34, 35-1, 38 ou 46 et qui comporte des sanctions ou des restrictions à la liberté d’établir des succursales, de recourir à des agents ou à la libre prestation de services est dûment motivée et communiquée à l’établissement de monnaie électronique concerné. ».

Art. 28.

À l’article 31, paragraphe 4, alinéa 2, 1er tiret, de la même loi, les mots  « , en précisant l’objet de la demande, le cas échéant, et le délai au terme duquel les informations doivent être fournies »  sont ajoutés après les mots  « de ses fonctions »  .

Art. 29.

L’article 33 de la même loi est modifié comme suit :

1. Au paragraphe 1er, les mots  « l’ABE »  , sont insérés entre les mots  « avec »  et  « la Banque centrale européenne »  ;
2. Au paragraphe 2, lettre c), les mots  «  directive 2007/64/CE, de la directive 95/64/CE ou de la directive 2005/60/CE  »  sont remplacés par les mots  «  directive (UE) 2015/2366 ou de la directive (UE) 2015/849  »  ;
3. Au paragraphe 2, lettre g), le point final est remplacé par un point-virgule et à la suite du paragraphe 2, lettre g), il est ajouté une lettre h), libellée comme suit :
« h) l’ABE, dans le cadre de son rôle consistant à contribuer au fonctionnement cohérent des mécanismes de surveillance, conformément à l’article (1), paragraphe (5), lettre a), du règlement (UE) n° 1093/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité bancaire européenne), modifiant la décision n° 716/2009/CE et abrogeant la décision 2009/78/CE de la Commission, dénommé ci-après « règlement (UE) n° 1093/2010 ». ».

Art. 30.

Il est inséré un nouvel article 33-1 dans la même loi, libellé comme suit :

« Article 33-1.  -  Règlement des différends entre la CSSF et les autorités compétentes d’un autre État membre.

(1)

Lorsque la CSSF estime que, sur une question donnée, la coopération transfrontalière avec les autorités compétentes d’un autre État membre visée à l’article 26, 28, 29, 30 ou 31 de la directive (UE) 2015/2366 n’est pas conforme aux conditions énoncées auxdits articles, elle peut saisir l’ABE et demander son assistance conformément à l’article 19 du règlement (UE) n° 1093/2010.

(2)

Lorsque l’ABE est saisi en vertu de l’article 27 de la directive (UE) 2015/2366, la CSSF reporte sa décision en attendant un règlement en vertu de l’article 19 du règlement (UE) n° 1093/2010. ».

Art. 31.

L’article 34 de la même loi est modifié comme suit :

1. Au paragraphe 4, les mots  « à l’article 21 de la directive 2007/64/CE  »  sont remplacés par les mots  « à l’article 23 de la directive (UE) 2015/2366  »  ;
2. Il est inséré un nouveau paragraphe 6bis, libellé comme suit :

« (6bis)

La CSSF, en tant qu’autorité compétente de l’État membre d’accueil, peut exiger que les établissements de paiement et les établissements de monnaie électronique pour lesquels l’État membre d’origine est un État membre autre que le Luxembourg et qui ont des agents ou des succursales sur le territoire du Luxembourg, lui adressent un rapport périodique sur les activités exercées au Luxembourg.

Ces rapports sont exigés à des fins d’information ou de statistiques et, dans la mesure où les agents ou les succursales exercent des activités de prestation de services de paiement en vertu du droit d’établissement, pour vérifier le respect des titres III et IV de la présente loi. Ces agents et succursales sont soumis aux exigences de secret professionnel visées à l’article 32. » ;

3. Au paragraphe 7, les phrases suivantes sont ajoutées :

« À cet égard, la CSSF transmet, sur demande, toute information pertinente et, de sa propre initiative, toute information essentielle à l’exercice de la surveillance exercée par les autorités compétentes de l’État membre d’accueil à l’égard des agents ou des succursales. Il en est de même lorsqu’une infraction ou une infraction présumée se produisent dans le cadre de l’exercice de la liberté de prestation de services. » ;

4. Au paragraphe 8, les mots suivants sont ajoutés :

« Il en est de même lorsqu’une infraction ou une infraction présumée se produisent dans le cadre de l’exercice de la liberté de prestation de services. » ;

5. Le paragraphe 9 prend la teneur suivante :

« (9)

Les établissements de paiement et de monnaie électronique qui exercent leurs activités au Luxembourg par l’intermédiaire d’agents et dont l’administration centrale est située dans un autre État membre, doivent désigner un point de contact central au Luxembourg. Le point de contact assure une bonne communication et une bonne information concernant la conformité avec les titres III et IV, sans préjudice des dispositions de la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment de capitaux et le financement du terrorisme. Il fournit notamment à la CSSF et aux autorités compétentes des États membres d’origine, à leur demande, des documents et des informations afin de faciliter la surveillance. ».

Art. 32.

Il est inséré un nouvel article 35-1 dans la même, libellé comme suit :

« Art. 35-1.  -  Les mesures conservatoires.

« (1)

Lorsque la CSSF en tant qu’autorité compétente de l’État membre d’accueil constate qu’un établissement de paiement ou un établissement de monnaie électronique ayant un ou plusieurs agents ou succursales au Luxembourg ne se conforme pas au titre II de la directive (UE) 2015/2366 et aux titres III et IV de la présente loi, elle en informe sans tarder l’autorité compétente de l’État membre d’origine.

(2)

La CSSF peut, dans des situations d’urgence lorsqu’une action immédiate est nécessaire pour remédier à une menace grave pesant sur les intérêts collectifs des utilisateurs de services de paiement ou des détenteurs de monnaie électronique au Luxembourg, prendre des mesures conservatoires, parallèlement à la coopération transfrontalière entre autorités compétentes et dans l’attente des mesures à prendre par les autorités compétentes de l’État membre d’origine conformément à l’article 29 de la directive (UE) 2015/2366.

La CSSF informe, lorsque cela est compatible avec la situation d’urgence, les autorités compétentes de l’État membre d’origine et celles de tout autre État membre concerné, la Commission européenne et l’ABE des mesures conservatoires prises en vertu de l’alinéa 1er et de leur justification, préalablement et, en tout état de cause, sans retard injustifié.

Toute mesure conservatoire prise en vertu de l’alinéa 1er est appropriée et proportionnée à sa finalité de protection contre une menace grave pesant sur les intérêts collectifs des utilisateurs de services de paiement ou des détenteurs de monnaie électronique au Luxembourg. Elle n’a pas pour effet de privilégier les utilisateurs de services de paiement ou les détenteurs de monnaie électronique au Luxembourg par rapport aux utilisateurs de services de paiement ou aux détenteurs de monnaie électronique de l’établissement de paiement ou de l’établissement de monnaie électronique d’autres États membres.

Toute mesure conservatoire prise en vertu de l’alinéa 1er est temporaire et prend fin dès qu’il a été remédié aux menaces graves constatées, y compris avec l’assistance ou la coopération des autorités compétentes de l’État membre d’origine ou de l’ABE, conformément à l’article 27, paragraphe (1), de la directive (UE) 2015/2366 et à l’article 33-1 de la présente loi.

(3)

Lorsque la CSSF agit en tant qu’autorité compétente de l’État membre d’origine, après avoir évalué les informations reçues de l’autorité compétente de l’État membre d’accueil conformément à l’article 30, paragraphe (1), alinéa 2, de la directive (UE) 2015/2366, elle prend sans retard injustifié toutes les mesures appropriées pour faire en sorte que l’établissement de paiement ou l’établissement de monnaie électronique concerné mette fin à sa situation irrégulière.

La CSSF communique ces mesures sans tarder à l’autorité compétente de l’État membre d’accueil et aux autorités compétentes de tout autre État membre concerné. ».

Art. 33.

L’article 36 de la même loi est modifié comme suit :

1. À l’intitulé de l’article 36, les mots  « au Luxembourg »  sont insérés entre les mots  « L’enregistrement »  et  « et la protection du titre »  ;
2. Au paragraphe 1er, alinéa 1er, les mots  « au Luxembourg et à l’étranger »  sont remplacés par les mots  « si elles fournissent des services de paiement ou émettent de la monnaie électronique dans un État membre autre que le Luxembourg »  et les mots  « et succursales »  avant les mots  « au Luxembourg, qui bénéficient d’une dérogation »  sont supprimés ;
3. Au paragraphe 1er, l’alinéa 1er est complété par la phrase suivante :  « La CSSF tient en outre le registre public des personnes physiques et morales visées à l’article 48-1bis, y compris de leurs agents. »  ;
4. Au paragraphe 1er, alinéa 2, les mots  « 48 ou 48-1 »  sont à deux reprises remplacés par les mots  « 48, 48-1 ou 48-1bis  »  ;
5. Au paragraphe 1er, alinéa 3, le mot  « publique »  est inséré entre les mots  « la consultation »  et  « , accessibles sur »  et les mots  « sans tarder »  sont ajoutés après les mots  « mis à jour »  ;
6. À la suite du paragraphe 2, sont insérés les nouveaux paragraphes 3 et 4, libellés comme suit :

« (3)

La CSSF inscrit dans les registres publics tout retrait d’agrément d’un établissement de paiement ou d’un établissement de monnaie électronique et tout retrait d’une personne physique ou morale bénéficiant d’une dérogation en vertu de l’article 48, 48-1 ou 48-1 bis.

La CSSF communique à l’ABE les raisons du retrait de tout agrément et de toute dérogation au titre des articles 48, 48-1 ou 48-1bis.

(4)

La CSSF notifie sans tarder à l’ABE les informations inscrites dans ses registres publics conformément au paragraphe (1).

La CSSF est responsable de l’exactitude des informations visées à l’alinéa 1er et de la mise à jour de celles-ci. ».

Art. 34.

L’article 48 de la même loi est modifié comme suit :

1. Au paragraphe 1er, l’alinéa 1er, la phrase introductive est libellée comme suit :

« Le Ministre ayant dans ses attributions la CSSF peut exempter, après instruction par la CSSF portant sur les conditions exigées au présent paragraphe, des personnes physiques ou morales fournissant les services de paiement énumérés à l’annexe, points 1 à 6, sur base d’une demande écrite, de tout ou partie de la procédure et des conditions fixées à la section 1 du chapitre 1 et à l’article 27, à l’exception de l’article 31, paragraphes (2) et (4), et des articles 32, 33 et 36, lorsque les deux conditions suivantes sont respectées : » ;

2. Au paragraphe 1er, alinéa 1er, lettre a), les mots  « le montant total moyen, pour les douze mois précédents, des opérations de paiement exécutées »  sont remplacés par les mots  « la moyenne mensuelle de la valeur totale des opérations de paiement exécutées, au cours des douze mois précédents, »  et les mots  « sur un mois »  sont supprimés ;
3. Au paragraphe 4, les mots  « les articles 23 et 24 ne leur sont pas applicables »  sont remplacés par les mots  « l’article 23 ne leur est pas applicable »  ;
4. Au paragraphe 5, alinéa 2, le mot  « et »  est remplacé par le mot  « ou »  .

Art. 35.

L’article 48-1 de la même loi est modifié comme suit :

1. Au paragraphe 1er, l’alinéa 1er, la phrase introductive est libellée comme suit :

« Le Ministre ayant dans ses attributions la CSSF peut exempter, après instruction par la CSSF portant sur les conditions exigées au présent paragraphe, des personnes morales, sur base d’une demande écrite, de tout ou partie de la procédure et des conditions fixées à la section 1 du chapitre 2 et à l’article 27, à l’exception de l’article 31, paragraphes (2) et (4), et des articles 32, 33 et 36, lorsque les deux conditions suivantes sont respectées : » ;

2. Au paragraphe 3, les mots  « les articles 24-17 et 24-18 ne s’appliquent pas »  sont remplacés par les mots  « l’article 24-17 ne s’applique pas »  ;
3. Au paragraphe 6, le mot  « et »  est remplacé par le mot  « ou »  .

Art. 36.

Il est inséré un nouvel article 48-1bis dans la même loi, libellé comme suit :

« Article 48-1bis.  - Les dispositions spécifiques à certains prestataires de services d’information sur comptes.

(1)

Les personnes physiques ou morales qui fournissent uniquement les services de paiement visés à l’annexe, point 8, doivent être enregistrées au registre prévu à l’article 36. Elles adressent à la CSSF une demande d’enregistrement, accompagnée des informations visées à l’article 8, paragraphe (1), lettres a), b), e), g), i), k) à o) et q).

(2)

L’enregistrement est subordonné à la condition que les personnes visées au paragraphe (1) disposent au préalable d’une assurance de responsabilité civile professionnelle couvrant les territoires où les services seront proposés ou d’une autre garantie comparable contre l’engagement de la responsabilité du requérant vis-à-vis du prestataire de services de paiement gestionnaire du compte ou de l’utilisateur de services de paiement à la suite d’un accès non autorisé ou frauduleux aux données des comptes de paiement ou d’une utilisation non autorisée ou frauduleuse de ces données.

(3)

Les personnes visées à au paragraphe (1) sont soumises aux dispositions des articles 21 à 24, 31 à 35-1, 38, 46, 47, 60-1, 66, 71, 81-3, 83, et 105-1 à 105-3 aux fins desquelles elles sont traitées comme des établissements de paiement. ».

Art. 37.

L’article 57 de la même loi est modifié comme suit :

1. Au paragraphe 2, lettre b), les mots  « composé d’entités liées par le capital lorsque l’une des entités liées jouit d’un contrôle effectif sur les autres entités liées »  sont supprimés et le point-virgule est remplacé par un point final ;
2. Au paragraphe 2, la lettre c) est supprimée ;
3. Au paragraphe 2, il est ajouté un alinéa 2, libellé comme suit :

« Aux fins de la lettre a), lorsqu’un participant à un système désigné permet à un prestataire de services de paiement agréé ou enregistré qui n’est pas un participant au système de transmettre des ordres de transfert via ledit système, ce participant doit offrir la même possibilité, sur demande, de manière objective, proportionnée et non discriminatoire, aux autres prestataires de services de paiement agréés ou enregistrés, conformément au paragraphe (1). Le participant communique au prestataire de services de paiement demandeur les raisons de tout refus. ».

Art. 38.

Il est inséré un nouvel article 57-1, libellé comme suit :

« Article 57-1.  -  L’accès des établissements de paiement aux comptes détenus auprès d’un établissement de crédit.

Les établissements de crédit donnent aux établissements de paiement un accès objectif, non discriminatoire et proportionné à leurs services de comptes de paiement.

L’accès visé à l’alinéa 1er doit être suffisamment étendu pour permettre aux établissements de paiement de fournir des services de paiement de manière efficace et sans entraves.

Lorsqu’un établissement de crédit refuse l’accès visé au présent article, il communique les raisons d’un tel refus à la CSSF. ».

Art. 39.

Il est inséré un nouveau paragraphe 2bis à l’article 58 de la même loi, libellé comme suit :

« (2bis)

La CSSF veille en outre au respect des dispositions des articles 60-1, 66, 71, 81-3, 83 et 105-1 à 105-3 par les prestataires de services de paiement visés à l’article 1 er, point 37, lettre viii), ainsi que par les succursales luxembourgeoises de tels prestataires de services de paiement dont l’État membre d’origine est un État membre autre que le Luxembourg et par les agents établis au Luxembourg auxquels ces prestataires de services de paiement font recours. ».

Art. 40.

L’article 59 de la même loi est modifié comme suit :

1. Au paragraphe 2, les mots  « de la loi modifiée du 9 août 1993 réglementant le crédit à la consommation. »  sont remplacés par les mots  « des dispositions du livre 2, titre 2, chapitre 4 du Code de la consommation relatives aux contrats de crédit à la consommation. »  ;
2. Au paragraphe 3, alinéa 1er, les mots  « dispositions légales portant transposition de textes communautaires »  sont remplacés par  « dispositions du droit de l’Union européenne »  .

Art. 41.

À l’article 60, paragraphe 3, de la même loi, les mots  « appropriés et s’orienter »  sont remplacés par les mots  « raisonnables et correspondre »  .

Art. 42.

À la suite de l’article 60 de la même loi, il est inséré un article 60-1, libellé comme suit :

« Article 60-1.  - La charge de la preuve s’agissant des exigences en matière d’information .

Il incombe au prestataire de services de paiement de prouver qu’il a satisfait aux exigences en matière d’information fixées dans le présent titre. ».

Art. 43.

À l’article 61, paragraphe 2, de la même loi, les mots  « au distributeur automatique de billets, »  sont insérés entre les mots  « est proposé »  et  « au point de vente »  .

Art. 44.

L’article 62 de la même loi est modifié comme suit :

1. Au paragraphe 2, les mots  « un tiers demande »  sont remplacés par les mots  « une autre partie intervenant dans l’opération applique »  ;
2. Il est ajouté un paragraphe 3, libellé comme suit :

« (3)

Le payeur n’est tenu d’acquitter les frais visés au paragraphe (2) que s’il a eu connaissance de leur montant total avant l’initiation de l’opération de paiement. ».

Art. 45.

À l’article 63, paragraphe 1er, phrase introductive, de la même loi, le mot  « paiements »  est remplacé par le mot  « paiement »  et le mot  « applicable »  est inséré entre les mots  « contrat-cadre »  et  « , concernent exclusivement »  .

Art. 46.

À l’article 65, paragraphe 1er, de la même loi, les mots  « en ce qui concerne ses propres services »  sont ajoutés après les mots  « conditions énoncées à l’article 66 »  .

Art. 47.

L’article 66 de la même loi est modifié comme suit :

1. Au paragraphe 1er, lettre a), les mots  « l’initiation ou de »  sont insérés entre les mots  « aux fins de »  et  « l’exécution correcte »  ;
2. Il est inséré un paragraphe 1bis, libellé comme suit :

« (1bis)

Les prestataires de services d’initiation de paiement, avant d’initier un paiement, fournissent au payeur, ou mettent à sa disposition, sous une forme claire et compréhensible, les informations suivantes :

a) le nom du prestataire de services d’initiation de paiement, l’adresse géographique de son administration centrale, le cas échéant, l’adresse géographique de son agent ou de sa succursale dans l’État membre dans lequel le service de paiement est proposé, et toutes les autres coordonnées, y compris l’adresse électronique, à prendre en compte pour la communication avec le prestataire de services d’initiation de paiement ;
b) les coordonnées de la CSSF. ».

Art. 48.

À la suite de l’article 66 de la même loi, il est inséré un nouvel article 66-1, libellé comme suit :

« Article 66-1.  - Les informations destinées au payeur, au bénéficiaire et au prestataire de services de paiement gestionnaire du compte du payeur dans le cas d’un service d’initiation de paiement.

(1)

Outre les informations et conditions prévues à l’article 66, lorsqu’un ordre de paiement est initié par l’intermédiaire d’un prestataire de services d’initiation de paiement, le prestataire de services d’initiation de paiement fournit au payeur et, le cas échéant, au bénéficiaire, ou met à leur disposition, immédiatement après avoir initié l’ordre de paiement :

a) une confirmation de la réussite de l’initiation de l’ordre de paiement auprès du prestataire de services de paiement gestionnaire du compte du payeur ;
b) une référence permettant au payeur et au bénéficiaire d’identifier l’opération de paiement et, le cas échéant, permettant au bénéficiaire d’identifier le payeur, ainsi que toute information communiquée lors de l’opération de paiement ;
c) le montant de l’opération de paiement ;
d) s’il y a lieu, le montant des frais payables au prestataire de services d’initiation de paiement pour l’opération de paiement et, le cas échéant, la ventilation des montants de ces frais.

(2)

Le prestataire de services d’initiation de paiement met à la disposition du prestataire de services de paiement gestionnaire du compte du payeur la référence de l’opération de paiement. ».

Art. 49.

À l’article 67, phrase introductive, de la même loi, les mots  « en ce qui concerne ses propres services »  sont ajoutés après les mots  « les informations suivantes »  .

Art. 50.

À l’article 68 de la même loi, les mots  « en ce qui concerne ses propres services »  sont ajoutés après les mots  « les informations suivantes »  et à la lettre a), les mots  « les références »  sont remplacés par les mots  « une référence »  .

Art. 51.

L’article 71 de la même loi est modifié comme suit :

1. Au point 1, lettre b), les mots  « l’article 13 de la directive 2007/64/CE  »  sont remplacés par les mots  « l’article 14 de la directive (UE) 2015/2366  »  ;
2. Au point 2, lettre b), les mots  « de l’initiation ou »  sont insérés entre les mots  « aux fins »  et  « de l’exécution correcte »  ;
3. Au point 2, lettre c), les mots  « à l’initiation d’un ordre de paiement ou »  sont insérés entre les mots  « le consentement »  et  « à l’exécution d’une opération de paiement »  ;
4. Au point 2, lettre e), le mot  « et »  est supprimé ;
5. Au point 2, il est ajouté une lettre g), libellée comme suit :
« g) dans le cas d’instruments de paiement liés à une carte cobadgés, les droits de l’utilisateur de services de paiement au titre de l’article 8 du règlement (UE) 2015/751 du Parlement européen et du Conseil du 29 avril 2015 relatif aux commissions d’interchange pour les opérations de paiement liées à une carte et pour les services de paiement auxquels s’applique le règlement (UE) n°260/2012 du Parlement européen et du Conseil du 14 mars 2012 établissant des exigences techniques et commerciales pour les virements et les prélèvements en euros et modifiant le règlement (CE) n° 924/2009 ; » ;
6. Au point 3, lettre a), les mots  « , y compris ceux liés aux modalités et à la fréquence selon lesquelles les informations prévues par la présente loi sont fournies ou mises à disposition, »  sont insérés entre les mots  « prestataire de services de paiement »  et  « et, le cas échéant »  ;
7. Au point 4, lettre a), les mots  « et aux logiciels »  sont insérés entre les mots  « à l’équipement »  et  « de l’utilisateur »  ;
8. Au point 5, lettre d), les mots  « , incorrectement initiées »  sont insérés entre les mots  « non autorisées »  et ceux de  « ou mal exécutées »  ;
9. Au point 5, lettre e), les mots  « l’initiation ou à »  sont insérés entre les mots  « liée à »  et  « l’exécution d’opérations de paiement »  et le mot  « et »  est supprimé ;
10. Au point 5, il est ajouté une lettre g), libellée comme suit :
« g) la procédure sécurisée applicable par le prestataire de services de paiement pour la notification à l’utilisateur de services de paiement en cas de soupçon de fraude ou de fraude avérée ou de menace pour la sécurité ; » ;
11. Au point 6, lettre a), les mots  « d’avoir »  sont remplacés par les mots  « que l’utilisateur des services de paiement n’ait »  et les mots  « celle-ci »  sont remplacés par les mots  « cette modification  »  ;
12. Au point 6, lettre b), le mot  « contrat »  est remplacé par le mot  « contrat-cadre »  .

Art. 52.

L’article 73 de la même loi est modifié comme suit :

1. Au paragraphe 1er, alinéa 1er, la phrase suivante est ajoutée :

« L’utilisateur de services de paiement peut accepter ou rejeter la modification avant la date proposée pour son entrée en vigueur. » ;

2. Au paragraphe 1er, alinéa 2, la phrase suivante :  « Dans ce cas, le prestataire de services de paiement précise également que l’utilisateur de services de paiement a le droit de résilier le contrat-cadre, immédiatement et sans frais, avant la date d’entrée en vigueur proposée de la modification. »  est remplacée par la phrase suivante :  « Le prestataire de services de paiement informe également l’utilisateur de services de paiement que, au cas où ledit utilisateur rejette la modification, l’utilisateur de services de paiement a le droit de résilier le contrat-cadre sans frais et avec effet à tout moment jusqu’à la date à laquelle la modification aurait été appliquée. »  ;
3. Au paragraphe 2, les mots  « des taux d’intérêt ou de change »  sont insérés entre les mots  « et que les modifications »  et  « se fondent sur »  .

Art. 53.

À l’article 74 de la même loi, le paragraphe 2 prend la teneur suivante :

« (2)

La résiliation du contrat-cadre n’entraîne aucun frais pour l’utilisateur de services de paiement, sauf si le contrat est en vigueur depuis moins de six mois. Tous frais de résiliation du contrat-cadre doivent être appropriés et correspondre aux coûts. ».

Art. 54.

L’article 75 de la même loi prend la teneur suivante :

« Article 75.  -  Les informations à fournir avant l’exécution d’opérations de paiement individuelles.

Pour toute opération de paiement individuelle relevant d’un contrat-cadre et initiée par le payeur, le prestataire de services de paiement fournit, à la demande du payeur, pour cette opération de paiement spécifique, des informations explicites sur l’ensemble des points suivants :

a) le délai d’exécution maximal ;
b) les frais qui doivent être payés par le payeur ;
c) le cas échéant, la ventilation des montants de ces frais. ».

Art. 55.

L’article 76 de la même loi est modifié comme suit :

1. Au paragraphe 1er, lettre c), les mots  « leur ventilation »  sont remplacés par les mots  « la ventilation des montants de ces frais »  ;
2. Le paragraphe 2 prend la teneur suivante :

« (2)

Un contrat-cadre prévoit une condition selon laquelle le payeur peut demander que les informations visées au paragraphe (1) soient fournies ou mises à disposition périodiquement, au moins une fois par mois, gratuitement et selon des modalités convenues qui permettent au payeur de stocker les informations et de les reproduire à l’identique. ».

Art. 56.

L’article 77 de la même loi est modifié comme suit :

1. Au paragraphe 1er, alinéa 1er, lettre a), les mots  « , le cas échéant, »  sont supprimés ;
2. Au paragraphe 1er, lettre c), les mots  « leur ventilation »  sont remplacés par les mots  « la ventilation des montants de ces frais »  .

Art. 57.

L’article 78 de la même loi prend la teneur suivante :

« Article 78.  - Le champ d’application.

(1)

Lorsque l’utilisateur de services de paiement n’est pas un consommateur, cet utilisateur et le prestataire de services de paiement peuvent décider que l’article 79, paragraphe (1), l’article 81, paragraphe (3), ainsi que les articles 86, 88 à 90, 93 et 101 ne s’appliquent pas, en tout ou partie. L’utilisateur de services de paiement et le prestataire de services de paiement peuvent également convenir de délais différents de ceux prévus à l’article 85.

(2)

La présente loi est sans préjudice des dispositions du livre 2, titre 2, chapitre 4 du Code de la consommation relatives aux crédits à la consommation. ».

Art. 58.

L’article 79 de la même loi est modifié comme suit :

1. Au paragraphe 1er, les mots  « ne peut imputer »  sont remplacés par les mots  « n’impute pas »  et les mots  « doivent être raisonnables et en rapport avec les »  sont remplacés par les mots  « sont appropriés et correspondent aux »  ;
2. Au paragraphe 2, les mots   « Lorsqu’une opération de paiement n’implique pas de conversion monétaire, »   sont remplacés par les mots  « Pour les opérations de paiement effectuées dans l’Union européenne, lorsque à la fois le prestataire de services de paiement du payeur et celui du bénéficiaire sont situés au Luxembourg, lorsque le prestataire de services de paiement du payeur est situé au Luxembourg et celui du bénéficiaire est situé dans un autre État membre, lorsque le prestataire de services de paiement du bénéficiaire est situé au Luxembourg et celui du payeur est situé dans un autre État membre ou lorsque l’unique prestataire de services de paiement intervenant dans l’opération de paiement est situé au Luxembourg,  »  .

Art. 59.

L’article 80 de la même loi est modifié comme suit :

1. Au paragraphe 1er, phrase introductive, les mots  « n’excédant »  sont remplacés par les mots  « individuelles dont le montant n’excède »  et le mot  « unitairement »   est supprimé ;
2. Au paragraphe 1er, lettre a), les mots  « permet pas le blocage ou la prévention d’une autre utilisation de celui-ci »  sont remplacés par les mots  « peut pas être bloqué ou si la poursuite de l’utilisation de celui-ci ne peut être empêchée »  ;
3. Au paragraphe 1er, lettre b), les mots  « et (2) »  sont remplacés par les mots  « , (3) et (4) »  ;
4. Au paragraphe 3, les mots  « sur lequel la monnaie électronique est stockée »  sont insérés entre les mots  « le compte de paiement »  et  « ou de bloquer »  .

Art. 60.

L’article 81 de la même loi est modifié comme suit :

1. Au paragraphe 1er, le mot  « son »  est remplacé par le mot  « le »  ;
2. Au paragraphe 2, alinéa 1er, le mot  « son »  est remplacé par le mot  « le »  et la phrase suivante est ajoutée :

« Le consentement à l’exécution d’une opération de paiement peut aussi être donné par l’intermédiaire du bénéficiaire ou du prestataire de services d’initiation de paiement. » ;

3. Au paragraphe 2, alinéa 2, les mots  « d’un tel »  sont remplacés par le mot  « de »  ;
4. Au paragraphe 3, les mots  « avec pour effet que »  sont remplacés par les mots  « , auquel cas »  et les mots  « doit être »  sont remplacés par le mot  « est »  ;
5. Au paragraphe 4, les mots  « le prestataire »  sont remplacés par les mots  « les prestataires »  et le mot  « concernés »  est ajouté à la fin de la phrase.

Art. 61.

À la suite de l’article 81 de la même loi sont insérés les nouveaux articles 81-1 à 81-3, libellés comme suit :

« Article 81-1.  - La confirmation de la disponibilité des fonds.

(1)

Un prestataire de services de paiement gestionnaire du compte, à la demande d’un prestataire de services de paiement qui émet des instruments de paiement liés à une carte, confirme immédiatement si le montant nécessaire à l’exécution d’une opération de paiement liée à une carte est disponible sur le compte de paiement du payeur, pour autant que toutes les conditions suivantes soient remplies :

a) le compte de paiement du payeur est accessible en ligne au moment de la demande ;
b) le payeur a donné son consentement au prestataire de services de paiement gestionnaire du compte pour qu’il réponde aux demandes d’un prestataire de services de paiement donné en vue de confirmer que le montant correspondant à une certaine opération de paiement liée à une carte est disponible sur le compte de paiement du payeur ;
c) le consentement visé à la lettre b) a été donné avant la première demande de confirmation.

(2)

Le prestataire de services de paiement peut demander la confirmation visée au paragraphe (1) lorsque toutes les conditions suivantes sont remplies :

a) le payeur a donné son consentement au prestataire de services de paiement pour qu’il demande la confirmation visée au paragraphe (1) ;
b) le payeur a initié l’opération de paiement liée à une carte pour le montant en question au moyen d’un instrument de paiement lié à une carte émis par le prestataire de services de paiement ;
c) le prestataire de services de paiement s’authentifie auprès du prestataire de services de paiement gestionnaire du compte avant chaque demande de confirmation et communique avec le prestataire de services de paiement gestionnaire du compte de manière sécurisée.

(3)

La confirmation visée au paragraphe (1) prend la forme d’un « oui » ou « non » et non pas d’un relevé de compte. Cette réponse n’est ni stockée ni utilisée à d’autres fins que l’exécution d’une opération de paiement liée à une carte.

(4)

La confirmation visée au paragraphe (1) ne permet pas au prestataire de services de paiement gestionnaire du compte de bloquer des fonds sur le compte de paiement du payeur.

(5)

Le payeur peut demander au prestataire de services de paiement gestionnaire du compte de lui communiquer l’identification du prestataire de services de paiement et la réponse qui a été faite.

(6)

Le présent article ne s’applique pas aux opérations de paiement initiées au moyen d’instruments de paiement liés à une carte sur lesquels est stockée de la monnaie électronique au sens de l’article 1 er, point 29.

Article 81-2.  - Les règles relatives à l’accès au compte de paiement en cas de services d’initiation de paiement.

(1)

Un payeur a le droit de s’adresser à un prestataire de services d’initiation de paiement pour obtenir les services de paiement visés à l’annexe, point 7. Ce droit ne s’applique pas lorsque le compte de paiement n’est pas accessible en ligne.

(2)

Lorsque le payeur donne son consentement à l’exécution d’une opération de paiement conformément à l’article 81, le prestataire de services de paiement gestionnaire du compte exécute les actions prévues au paragraphe (4).

(3)

Le prestataire de services d’initiation de paiement :

a) ne détient à aucun moment les fonds du payeur en liaison avec la fourniture du service d’initiation de paiement ;
b) veille à ce que les données de sécurité personnalisées de l’utilisateur de services de paiement ne soient pas accessibles à d’autres parties que l’utilisateur et l’émetteur desdites données et veille à transmettre celles-ci au moyen de canaux sûrs et efficaces ;
c) veille à ce que toute autre information relative à l’utilisateur de services de paiement, obtenue lors de la fourniture de services d’initiation de paiement, ne soit communiquée qu’au bénéficiaire et uniquement avec le consentement de l’utilisateur de services de paiement ;
d) chaque fois qu’un paiement est initié, s’identifie auprès du prestataire de services de paiement gestionnaire du compte du payeur et communique avec le prestataire de services de paiement gestionnaire du compte, le payeur et le bénéficiaire de manière sécurisée ;
e) ne stocke pas de données de paiement sensibles concernant l’utilisateur de services de paiement ;
f) ne demande pas à l’utilisateur de services de paiement des données autres que celles nécessaires pour fournir le service d’initiation de paiement ;
g) n’utilise, ne consulte ou ne stocke des données à des fins autres que la fourniture du service d’initiation de paiement expressément demandée par le payeur ;
h) ne modifie pas le montant, le bénéficiaire ou toute autre caractéristique de l’opération.

(4)

Le prestataire de services de paiement gestionnaire du compte :

a) communique de manière sécurisée avec les prestataires de services d’initiation de paiement ;
b) immédiatement après avoir reçu l’ordre de paiement d’un prestataire de services d’initiation de paiement, fournit au prestataire de services d’initiation de paiement, ou met à sa disposition, toutes les informations sur l’initiation de l’opération de paiement et toutes les informations auxquelles il a lui-même accès concernant l’exécution de l’opération de paiement ;
c) traite les ordres de paiement transmis grâce aux services d’un prestataire de services d’initiation de paiement sans aucune discrimination, autre que fondée sur des raisons objectives, en termes de délai, de priorité ou de frais par rapport aux ordres de paiement transmis directement par le payeur.

(5)

La fourniture de services d’initiation de paiement n’est pas subordonnée à l’existence de relations contractuelles entre les prestataires de services d’initiation de paiement et les prestataires de services de paiement gestionnaires de comptes à cet effet.

Article 81-3.  - Les règles relatives à l’accès aux données des comptes de paiement et à l’utilisation de ces données en cas de services d’information sur les comptes.

(1)

Un utilisateur de services de paiement a le droit de recourir à des services permettant l’accès aux données des comptes, visés à l’annexe, point 8. Ce droit ne s’applique pas lorsque le compte de paiement n’est pas accessible en ligne.

(2)

Le prestataire de services d’information sur les comptes :

a) fournit des services uniquement sur la base du consentement de l’utilisateur de services de paiement ;
b) veille à ce que les données de sécurité personnalisées de l’utilisateur de services de paiement ne soient pas accessibles à d’autres parties que l’utilisateur et l’émetteur desdites données et veille, lorsqu’il transmet celles-ci, à utiliser des canaux sûrs et efficaces ;
c) pour chaque session de communication, il s’identifie auprès du ou des prestataires de services de paiement gestionnaires de comptes de l’utilisateur de services de paiement et communique avec le ou les prestataires de services de paiement gestionnaires de comptes et l’utilisateur de services de paiement de manière sécurisée ;
d) accède uniquement aux informations provenant des comptes de paiement désignés et des opérations de paiement associées ;
e) ne demande pas de données de paiement sensibles liées à des comptes de paiement ;
f) n’utilise, ne consulte ou ne stocke des données à des fins autres que la fourniture du service d’information sur les comptes expressément demandée par l’utilisateur de services de paiement.

(3)

Pour ce qui concerne les comptes de paiement, le prestataire de services de paiement gestionnaire du compte :

a) communique de manière sécurisée avec les prestataires de services d’information sur les comptes ;
b) traite les demandes de données transmises grâce aux services d’un prestataire de services d’information sur les comptes sans aucune discrimination autre que fondée sur des raisons objectives.

(4)

La fourniture de services d’information sur les comptes n’est pas subordonnée à l’existence de relations contractuelles entre les prestataires de services d’information sur les comptes et les prestataires de services de paiement gestionnaires de comptes à cet effet. ».

Art. 62.

L’article 82 de la même loi est modifié comme suit :

1. À l’intitulé, les mots  « et de l’accès des prestataires de services de paiement aux comptes de paiement »  sont ajoutés après le mot  « paiement »  ;
2. Au paragraphe 1er, le mot  « son »  est remplacé par le mot  « le »  ;
3. Au paragraphe 3, le mot  « interdite »  est remplacé par le mot  « interdit »  et les mots  « législation communautaire ou nationale »  sont remplacés par les mots  « disposition du droit de l’Union européenne ou du droit national »  ;
4. À la suite du paragraphe 4 sont insérés les nouveaux paragraphes 5 et 6, libellés comme suit :

« (5)

Un prestataire de services de paiement gestionnaire du compte peut refuser à un prestataire de services d’information sur les comptes ou à un prestataire de services d’initiation de paiement l’accès à un compte de paiement pour des raisons objectivement motivées et documentées liées à un accès non autorisé ou frauduleux au compte de paiement de la part dudit prestataire de services d’information sur les comptes ou dudit prestataire de services d’initiation de paiement, y compris l’initiation non autorisée ou frauduleuse d’une opération de paiement. Dans ces cas, le prestataire de services de paiement gestionnaire du compte informe le payeur, de la manière convenue, du refus d’accès au compte de paiement et des raisons de ce refus. Cette information est, si possible, donnée au payeur avant que l’accès ne soit refusé et au plus tard immédiatement après ce refus, à moins que le fait de fournir cette information ne soit pas acceptable pour des raisons de sécurité objectivement justifiées ou soit interdit en vertu d’une autre disposition du droit de l’Union européenne ou du droit national pertinente.

Le prestataire de services de paiement gestionnaire du compte permet l’accès au compte de paiement dès que les raisons justifiant le refus n’existent plus.

(6)

Dans les cas visés au paragraphe (5), le prestataire de services de paiement gestionnaire du compte notifie immédiatement à la CSSF l’incident concernant le prestataire de services d’information sur les comptes ou le prestataire de services d’initiation de paiement. La notification contient les informations pertinentes relatives à l’incident et les raisons justifiant les mesures prises. La CSSF évalue l’incident et prend au besoin des mesures appropriées. ».

Art. 63.

L’article 83 de la même loi est modifié comme suit :

1. À l’intitulé, les mots  « et aux données de sécurité personnalisées »  sont ajoutés après les mots  « instruments de paiement »  ;
2. Au paragraphe 1er, lettre a), les mots  « la délivrance »  sont remplacés par les mots  « l’émission »  et les mots  « , qui doivent être objectives, non discriminatoires et proportionnées »  sont ajoutés après les mots  « et l’utilisation de cet instrument de paiement »  ;
3. Au paragraphe 2, les mots  « dispositifs de sécurité personnalisés »  sont remplacés par les mots  « données de sécurité personnalisées »  .

Art. 64.

L’article 84 de la même loi est modifié comme suit :

1. Au paragraphe 1er, phrase introductive, le mot  « délivrant »   est remplacé par les mots  « qui émet  »  ;
2. Au paragraphe 1er, lettre a), les mots  « dispositifs de sécurité personnalisés de tout instrument de paiement »  sont remplacés par les mots  « données de sécurité personnalisées »  ;
3. Au paragraphe 1er, lettre c), les mots  « de l’instrument de paiement »  sont insérés entre les mots  « déblocage »  et  « conformément à l’article 82 »  , les mots  « qu’il »  sont remplacés par les mots  « que ce dernier »  et le mot  « et »  à la fin de la lettre c) est supprimé ;
4. Au paragraphe 1er, lettre d), le point final est remplacé par un point-virgule ;
5. À la suite de la lettre d), il est ajouté une lettre e), libellée comme suit :
« e) il fournit à l’utilisateur de services de paiement la possibilité de procéder à la notification prévue à l’article 83, paragraphe (1), lettre b), à titre gratuit et s’il facture des frais, ces derniers ne peuvent en aucun cas dépasser les coûts de remplacement directement imputables à cet instrument de paiement. » ;
6. Au paragraphe 2, les mots  « au payeur »  sont remplacés par les mots  « à l’utilisateur de services de paiement »  et les mots  « tout dispositif de sécurité personnalisé de »  sont remplacés par les mots  « toute donnée de sécurité personnalisée relative à »  .

Art. 65.

L’article 85 de la même loi prend la teneur suivante :

« Article 85.  - La notification et la correction des opérations de paiement non autorisées ou mal exécutées.

(1)

L’utilisateur de services de paiement n’obtient du prestataire de services de paiement la correction d’une opération de paiement non autorisée ou mal exécutée que si l’utilisateur de services de paiement en informe sans retard injustifié le prestataire de services de paiement au moment où il constate une telle opération donnant lieu à une réclamation, y compris au titre de l’article 101, et au plus tard dans un délai de treize mois suivant la date de débit.

Les délais de notification fixés à l’alinéa 1er ne s’appliquent pas lorsque le prestataire de services de paiement n’a pas fourni ou mis à disposition les informations relatives à cette opération de paiement conformément au titre III.

(2)

Lorsqu’un prestataire de services d’initiation de paiement intervient, l’utilisateur de services de paiement obtient la correction par le prestataire de services de paiement gestionnaire du compte dans les conditions prévues au paragraphe (1), sans préjudice de l’article 87, paragraphe (1 bis), et de l’article 101, paragraphe (1). ».

Art. 66.

L’article 86 de la même loi est modifié comme suit :

1. Au paragraphe 1er, les mots  « à son »  sont remplacés par le mot  « au »  et les mots  « du service fourni par le prestataire de services de paiement »  sont ajoutés à la fin de la phrase ;
2. Au paragraphe 1er, il est inséré un nouvel alinéa 2, libellé comme suit :

« Si l’opération de paiement est initiée par l’intermédiaire d’un prestataire de services d’initiation de paiement, c’est à ce dernier qu’incombe la charge de prouver que, pour ce qui le concerne, l’opération en question a été authentifiée et dûment enregistrée et qu’elle n’a pas été affectée par une déficience technique ou autre en relation avec le service de paiement qu’il doit assurer. » ;

3. Au paragraphe 2, les mots  « y compris le prestataire de services d’initiation de paiement, le cas échéant, »  sont insérés entre les mots  « prestataire de services de paiement, »  et  « ne suffit pas »  et une deuxième phrase est ajoutée au paragraphe 2, libellée comme suit :

« Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement. ».

Art. 67.

L’article 87 de la même loi est modifié comme suit :

1. Au paragraphe 1er, les mots  « doit rembourser immédiatement »  sont remplacés par les mots  « rembourse »  et les mots  « de paiement non autorisée et, le cas échéant, doit rétablir le compte de paiement débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. »  sont remplacés par les mots  « immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf si le prestataire de services de paiement du payeur a de bonnes raisons de soupçonner une fraude et s’il communique ces raisons par écrit à la CSSF. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte de paiement débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. La date de valeur à laquelle le compte de paiement du payeur est crédité n’est pas postérieure à la date à laquelle il avait été débité. »  ;
2. Il est inséré un paragraphe 1bis, libellé comme suit :

« (1bis)

Lorsque l’opération de paiement est initiée par l’intermédiaire d’un prestataire de services d’initiation de paiement, le prestataire de services de paiement gestionnaire du compte rembourse immédiatement, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, le montant de l’opération de paiement non autorisée et, le cas échéant, rétablit le compte de paiement débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

Si le prestataire de services d’initiation de paiement est responsable de l’opération de paiement non autorisée, il indemnise immédiatement le prestataire de services de paiement gestionnaire du compte, à sa demande, pour les pertes subies ou les sommes payées en raison du remboursement du payeur, y compris le montant de l’opération de paiement non autorisée. Conformément à l’article 86, paragraphe (1) c’est au prestataire de services d’initiation de paiement qu’incombe la charge de prouver que, pour ce qui le concerne, l’opération en question a été authentifiée et dûment enregistrée et qu’elle n’a pas été affectée par une déficience technique ou autre en relation avec le service de paiement qu’il doit assurer. » ;

3. Au paragraphe 2, le mot  « son »  est remplacé par le mot  « le »  et les mots  « ou, le cas échéant, au contrat conclu entre le payeur et le prestataire de services d’initiation de paiement »  sont ajoutés après les mots  « prestataire de services de paiement »  .

Art. 68.

L’article 88 de la même loi est modifié comme suit :

1. Au paragraphe 1er, alinéa 1er, le mot  « supporte »  est remplacé par les mots  « peut être tenu de supporter »  , le chiffre  « 150 »  est remplacé par le chiffre  « 50 »  et les mots  « , si le payeur n’est pas parvenu à préserver la sécurité de ses dispositifs de sécurité personnalisés, »  sont supprimés ;
2. Il est ajouté un alinéa 2 au paragraphe 1er, libellé comme suit :

« L’alinéa 1er ne s’applique pas si :

a) la perte, le vol ou le détournement d’un instrument de paiement ne pouvait être détecté par le payeur avant le paiement, sauf si le payeur a agi frauduleusement ; ou
b) la perte est due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées. » ;
3. À la suite du paragraphe 2, il est inséré un nouveau paragraphe 2bis, libellé comme suit :

« (2bis)

Lorsque le prestataire de services de paiement du payeur n’exige pas une authentification forte du client, le payeur ne supporte aucune perte financière éventuelle à moins qu’il ait agi frauduleusement. Lorsque le bénéficiaire ou son prestataire de services de paiement n’accepte pas une authentification forte du client, il rembourse le préjudice financier causé au prestataire de services de paiement du payeur. ».

Art. 69.

Il est inséré un nouvel article 88-1 dans la même loi, libellé comme suit :

« Article 88-1.  - Opérations de paiement dont le montant n’est pas connu à l’avance.

(1)

Lorsqu’une opération de paiement est initiée par le bénéficiaire ou par l’intermédiaire du bénéficiaire dans le cadre d’une opération de paiement liée à une carte et que le montant exact n’est pas connu au moment où le payeur donne son consentement à l’exécution de l’opération de paiement, le prestataire de services de paiement du payeur peut bloquer des fonds sur le compte de paiement du payeur uniquement si celui-ci a donné son consentement quant au montant exact des fonds à bloquer.

(2)

Le prestataire de services de paiement du payeur débloque les fonds bloqués sur le compte de paiement du payeur au titre du paragraphe (1) sans retard injustifié après réception des informations sur le montant exact de l’opération de paiement et au plus tard immédiatement après réception de l’ordre de paiement. ».

Art. 70.

L’article 89 de la même loi est modifié comme suit :

1. Au paragraphe 1er, alinéa 2, les mots  « fournit des éléments factuels en rapport avec ces conditions »  sont remplacés par les mots  « a la charge de prouver que ces conditions sont remplies »  ;
2. Au paragraphe 1er, alinéa 3, la phrase suivante est ajoutée :  « La date de valeur à laquelle le compte de paiement du payeur est crédité n’est pas postérieure à la date à laquelle il a été débité. »  ;
3. Au paragraphe 1er, l’alinéa 4 prend la teneur suivante :

« Sans préjudice du paragraphe (3), en cas de domiciliations de créances visées à l’article (1) du règlement (UE) n° 260/2012, le payeur, outre le droit visé au présent paragraphe, jouit d’un droit au remboursement inconditionnel dans les délais fixés à l’article 90 de la présente loi. ».

Art. 71.

Au paragraphe 1er de l’article 90 de la même loi, les mots  « présenter la demande du »  sont remplacés par ceux de  « demander le »  .

Art. 72.

L’article 91 de la même loi est modifié comme suit :

1. Au paragraphe 1er, les mots  « qui est transmis directement par le payeur ou indirectement par ou via un bénéficiaire »  sont supprimés dans la première phrase et la phrase suivante est ajoutée à la fin dudit paragraphe :  « Le compte du payeur n’est pas débité avant la réception de l’ordre de paiement. »  ;
2. Au paragraphe 2, les mots  « et son »  sont remplacés par les mots  « et le »  et les mots  « de son »  sont remplacés par le mot  « du »  .

Art. 73.

L’article 92 de la même loi est modifié comme suit :

1. Au paragraphe 1er, alinéa 1er, les mots  « ou d’initier une opération de paiement »  sont insérés entre les mots  « un ordre de paiement »  et  « , le refus et »  ;
2. Au paragraphe 1er, alinéa 3, les mots  « des frais pour une telle notification si le refus »  sont remplacés par les mots  « des frais raisonnables pour un tel refus si celui-ci »  ;
3. Au paragraphe 2, les mots  « ou par ou via »  sont remplacés par ceux de  « , y compris par un prestataire de services d’initiation de paiement, ou par un bénéficiaire ou par l’intermédiaire d’  »  .

Art. 74.

L’article 93 de la même loi est modifié comme suit :

1. Le paragraphe 2 prend la teneur suivante :

« (2)

Lorsque l’opération de paiement est initiée par un prestataire de services d’initiation de paiement ou par le bénéficiaire ou par son intermédiaire, le payeur ne révoque pas l’ordre de paiement après avoir donné son consentement à ce que le prestataire de services d’initiation de paiement initie l’opération de paiement ou après avoir donné son consentement à l’exécution de l’opération de paiement en faveur du bénéficiaire. » ;

2. Au paragraphe 5, les mots  « son prestataire de services de paiement »  sont remplacés par les mots  « les prestataires de services de paiement concernés »  et le mot  « concerné »  est inséré dans la dernière phrase entre les mots  « prestataire de services de paiement »  et  « peut imputer »  .

Art. 75.

L’article 94 de la même loi est modifié comme suit :

1. Au paragraphe 1er, le mot  « prestataire »  précédant les mots  « de services de paiement du payeur »  est remplacé par les mots  « ou les prestataires »  et le mot  « prestataire »  précédant les mots  « de services de paiement du bénéficiaire »  est remplacé par les mots  « ou les prestataires »  ;
2. Au paragraphe 2, le mot  « son »  est remplacé par le mot  « le »  et les mots  « ce dernier »  sont remplacés par les mots  « le prestataire concerné »  ;
3. Au paragraphe 3, le mot  « son »  est remplacé par le mot  « le »  et les mots  « du bénéficiaire »  sont insérés entre les mots  « prestataire de services de paiement »  et  « veille à ce que »  .

Art. 76.

L’article 95 de la même loi est modifié comme suit :

1. Au paragraphe 1er, lettre b), le mot  « concerné »  est supprimé ;
2. Au paragraphe 2, première phrase, les mots  « autres opérations de paiement »  sont remplacés par les mots  « opérations de paiement non visées au paragraphe (1)  »  , et la dernière phrase prend la teneur suivante :

« Cependant, lorsque l’utilisateur de services de paiement et son prestataire de services de paiement conviennent d’un délai plus long que celui fixé à l’article 96 pour les opérations de paiement à l’intérieur de l’Union européenne, ce délai plus long ne peut pas dépasser quatre jours ouvrables à compter de la réception visée à l’article 91. ».

Art. 77.

L’article 96 de la même loi est modifié comme suit :

1. Au paragraphe 1er, les mots  « le moment de réception tel que défini »  sont remplacés par les mots  « la réception visée »  et les mots  « Jusqu’au 1er janvier 2012, le payeur et son prestataire de services de paiement peuvent convenir d’un délai différent ne pouvant excéder trois jours ouvrables. Ces délais sont prolongés »  sont supprimés et remplacés par les mots  « Ce délai peut être prolongé »  ;
2. Au paragraphe 3, les mots  « par ou via »  sont remplacés par les mots  « par le bénéficiaire ou par l’intermédiaire du bénéficiaire »  et le mot  « son »  est remplacé par le mot  « le »  .

Art. 78.

À l’article 98 de la même loi, les mots  « le moment de »  sont supprimés.

Art. 79.

L’article 99 de la même loi est modifié comme suit :

1. Au paragraphe 1er, alinéa 2, le point final est remplacé par les mots suivants :

«, lorsque, pour sa part :

a) il n’y a pas de conversion ; ou
b) il y a conversion entre l’euro et la devise d’un État membre ou entre les devises de deux États membres. » ;
2. Au paragraphe 1er, il est ajouté un alinéa 3, libellé comme suit :

« L’obligation énoncée à l’alinéa 2 vaut également pour les opérations de paiement qui se déroulent au sein d’un seul et même prestataire de services de paiement. ».

Art. 80.

L’article 100 de la même loi est modifié comme suit :

1. Au paragraphe 2, alinéa 2, la phrase suivante est ajoutée :

« Le prestataire de services de paiement du bénéficiaire coopère à ces efforts également en communiquant au prestataire de services de paiement du payeur toutes les informations utiles pour récupérer les fonds. » ;

2. Au paragraphe 2, il est ajouté un nouvel alinéa 3, libellé comme suit :

« Au cas où il n’est pas possible de récupérer les fonds comme prévu à l’alinéa 2, le prestataire de services de paiement du payeur fournit au payeur, sur demande écrite, toutes les informations dont il dispose et qui présentent un intérêt pour le payeur afin que celui-ci puisse introduire un recours devant une juridiction pour récupérer les fonds. » ;

3. L’actuel alinéa 3 devient le nouvel alinéa 4.

Art. 81.

L’article 101 de la même loi est modifié comme suit :

1. L’intitulé est remplacé par le libellé suivant :  « La responsabilité des prestataires de services de paiement en cas d’inexécution, de mauvaise exécution ou d’exécution tardive d’opérations de paiement. »  ;
2. Au paragraphe 1er, alinéa 1er, le mot  « directement »  est inséré entre les mots  « un ordre de paiement est »  et  « initié par le payeur »  , les mots  « son prestataire de services de paiement »  sont remplacés par les mots  « le prestataire de services de paiement du payeur »  ;
3. Au paragraphe 1er, alinéa 2, la phrase suivante est ajoutée :

« La date de valeur à laquelle le compte de paiement du payeur est crédité n’est pas postérieure à la date à laquelle il a été débité. » ;

4. Au paragraphe 1er, alinéa 3, les phrases suivantes sont ajoutées :

« La date de valeur à laquelle le compte de paiement du bénéficiaire a été crédité n’est pas postérieure à la date de valeur qui lui aurait été attribuée si l’opération avait été correctement exécutée, conformément à l’article 99. Lorsqu’une opération de paiement est exécutée tardivement, le prestataire de services de paiement du bénéficiaire veille, à la demande du prestataire de services de paiement du payeur agissant pour le compte du payeur, à ce que la date de valeur à laquelle le compte de paiement du bénéficiaire a été crédité ne soit pas postérieure à la date de valeur qui lui aurait été attribuée si l’opération avait été correctement exécutée. » ;

5. Au paragraphe 1er, alinéa 4, les mots  « de celui-ci »  sont remplacés par les mots  « du payeur »  et les mots  « , sans frais pour celui-ci »  sont ajoutés après les mots  « recherche du payeur »  ;
6. Au paragraphe 2, alinéa 1er, première phrase, le mot  « son »  est remplacé par le mot  « le »  et les mots  « du bénéficiaire »  sont insérés entre les mots  « prestataire de services de paiement »  et  « est »  .
7. Au paragraphe 2, alinéa 1er, la phrase suivante est ajoutée :

« En cas de transmission tardive de l’ordre de paiement, la date de valeur attribuée au montant de l’opération sur le compte de paiement du bénéficiaire n’est pas postérieure à la date de valeur qui lui aurait été attribuée si l’opération avait été correctement exécutée. » ;

8. Au paragraphe 2, alinéa 2, la phrase suivante est ajoutée :

« La date de valeur attribuée au montant de cette opération sur le compte de paiement du bénéficiaire n’est pas postérieure à la date de valeur qui lui aurait été attribuée si l’opération avait été correctement exécutée. » ;

9. Au paragraphe 2, alinéa 3, les phrases suivantes sont ajoutées :

« La date de valeur à laquelle le compte de paiement du payeur est crédité n’est pas postérieure à la date à laquelle il avait été débité. L’obligation au titre du présent alinéa ne s’applique pas au prestataire de services de paiement du payeur lorsqu’il prouve que le prestataire de services de paiement du bénéficiaire a reçu le montant de l’opération de paiement même si l’exécution de l’opération de paiement est simplement retardée. Dans ce cas, le prestataire de services de paiement du bénéficiaire attribue une date de valeur au montant de cette opération sur le compte de paiement du bénéficiaire qui n’est pas postérieure à la date de valeur qui lui aurait été attribuée si l’opération avait été correctement exécutée. » ;

10. Au paragraphe 2, alinéa 4, les mots  « de celui-ci »  sont remplacés par les mots  « du bénéficiaire »  et les mots  « , sans frais pour celui-ci »  sont ajoutés après les mots  « recherche du bénéficiaire »  ;
11. Au paragraphe 3, les mots  « , y compris de l’exécution tardive, »  sont insérés entre les mots  « mauvaise exécution »  et  « de l’opération de paiement »  .

Art. 82.

Il est inséré un nouvel article 101-1 dans la même loi, libellé comme suit :

« Article 101-1.  -  La responsabilité en cas de services d’initiation de paiement pour l’inexécution, la mauvaise exécution ou l’exécution tardive d’opérations de paiement.

(1)

Lorsqu’un ordre de paiement est initié par le payeur par l’intermédiaire d’un prestataire de services d’initiation de paiement, le prestataire de services de paiement gestionnaire du compte, sans préjudice de l’article 85 et de l’article 100, paragraphes (2) et (3), rembourse au payeur le montant de l’opération de paiement inexécutée ou mal exécutée et, le cas échéant, rétablit le compte de paiement débité dans l’état où il se serait trouvé si l’opération de paiement mal exécutée n’avait pas eu lieu.

C’est au prestataire de services d’initiation de paiement qu’incombe la charge de prouver que l’ordre de paiement a été reçu par le prestataire de services de paiement gestionnaire du compte du payeur conformément à l’article 91 et que, pour ce qui le concerne, l’opération de paiement a été authentifiée et dûment enregistrée et qu’elle n’a pas été affectée par une déficience technique ou autre en relation avec l’inexécution, la mauvaise exécution ou l’exécution tardive de l’opération.

(2)

Si le prestataire de services d’initiation de paiement est responsable de l’inexécution, de la mauvaise exécution ou de l’exécution tardive de l’opération de paiement, il indemnise immédiatement le prestataire de services de paiement gestionnaire du compte, à sa demande, pour les pertes subies ou les sommes payées en raison du remboursement du payeur. ».

Art. 83.

À l’article 102 de la même loi, le mot  « son »  est remplacé par le mot  « le »  .

Art. 84.

À l’article 103, paragraphe 1er, de la même loi, les mots  « de l’article »  sont à deux reprises remplacés par les mots  « des articles 87 et »  , et une deuxième phrase est ajoutée, libellée comme suit :

« Cette indemnisation s’applique au cas où l’un des prestataires de services de paiement ne recourt pas à l’authentification forte du client. ».

Art. 85.

À l’article 104 de la même loi, les mots  « La responsabilité prévue par les chapitres 2 et 3 »  sont remplacés par les mots  « Aucune responsabilité au titre du chapitre 2 ou 3 »  et les mots  « ne s’applique pas aux »  sont remplacés par les mots  « n’est engagée en »  .

Art. 86.

L’intitulé du titre IV, chapitre 4, de la même loi prend la teneur suivante :

« CHAPITRE 4

- AUTHENTIFICATION, NOTIFICATION DES INCIDENTS ET PROTECTION DES DONNÉES ».

Art. 87.

L’article 105 de la même loi est modifié comme suit :

1. Les mots  « , dans le respect de la loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, »  sont supprimés et les phrases suivantes sont ajoutées :  « La communication aux personnes d’informations sur le traitement des données à caractère personnel et le traitement de ces données à caractère personnel ainsi que tout autre traitement de données à caractère personnel aux fins de la présente loi sont effectués conformément au règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données. »  ;
2. Il est ajouté un nouvel alinéa 2, libellé comme suit :

« Les prestataires de services de paiement n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et les conservent qu’avec le consentement de l’utilisateur de services de paiement. ».

Art. 88.

À la suite de l’article 105 de la même loi sont insérés les nouveaux articles 105-1, 105-2, 105-3 et 105-4, libellés comme suit :

«  Article 105-1.  - La gestion des risques opérationnels et de sécurité.

(1)

Les prestataires de services de paiement établissent un cadre prévoyant des mesures d’atténuation et des mécanismes de contrôle appropriés en vue de gérer les risques opérationnels et de sécurité, liés aux services de paiement qu’ils fournissent. Ce cadre prévoit que les prestataires de services de paiement établissent et maintiennent des procédures efficaces de gestion des incidents, y compris pour la détection et la classification des incidents opérationnels et de sécurité majeurs.

(2)

Les prestataires de services de paiement fournissent à la CSSF, au moins chaque année, une évaluation à jour et exhaustive des risques opérationnels et de sécurité liés aux services de paiement qu’ils fournissent et des informations sur le caractère adéquat des mesures d’atténuation et des mécanismes de contrôle mis en œuvre pour faire face à ces risques.

Article 105-2.  -  La notification des incidents.

(1)

En cas d’incident opérationnel ou de sécurité majeur, les prestataires de services de paiement informent sans retard injustifié la CSSF.

Lorsque l’incident a ou est susceptible d’avoir des répercussions sur les intérêts financiers de ses utilisateurs de services de paiement, le prestataire de services de paiement informe sans retard injustifié ses utilisateurs de services de paiement de l’incident et de toutes les mesures disponibles qu’ils peuvent prendre pour atténuer les effets dommageables de l’incident.

(2)

Dès réception de la notification visée au paragraphe (1), la CSSF communique sans retard injustifié les détails importants de l’incident à l’ABE et à la BCE, et, après avoir évalué la pertinence de l’incident pour d’autres autorités concernées au Luxembourg, informe celles-ci en conséquence.

La CSSF coopère avec l’ABE et la BCE pour évaluer la pertinence de l’incident pour d’autres autorités concernées au Luxembourg, le cas échéant, et de l’Union européenne. Celles-ci sont informées en conséquence. Sur la base de cette notification, la CSSF ou le cas échéant les autres autorités concernées prend toutes les mesures nécessaires afin de protéger la sécurité immédiate du système financier.

(3)

Les prestataires de services de paiement doivent fournir à la CSSF, au moins chaque année, des données statistiques relatives à la fraude liée aux différents moyens de paiement. La CSSF fournit ces données sous forme agrégée à l’ABE et à la BCE.

Article 105-3.  -  L’authentification.

(1)

Les prestataires de services de paiement appliquent l’authentification forte du client lorsque le payeur :

a) accède à son compte de paiement en ligne ;
b) initie une opération de paiement électronique ;
c) exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

(2)

En ce qui concerne l’initiation des opérations de paiement électronique visée au paragraphe (1), lettre b), pour les opérations de paiement électronique à distance, les prestataires de services de paiement doivent appliquer l’authentification forte du client comprenant des éléments qui établissent un lien dynamique entre l’opération, le montant et le bénéficiaire donnés.

(3)

En ce qui concerne le paragraphe (1), les prestataires de services de paiement doivent mettre en place des mesures de sécurité adéquates afin de protéger la confidentialité et l’intégrité des données de sécurité personnalisées des utilisateurs de services de paiement.

(4)

Les paragraphes (2) et (3) s’appliquent également lorsque les paiements sont initiés par l’intermédiaire d’un prestataire de services d’initiation de paiement. Les paragraphes (1) et (3) s’appliquent également lorsque l’information est demandée par l’intermédiaire d’un prestataire de services d’information sur les comptes.

(5)

Le prestataire de services de paiement gestionnaire du compte doit autoriser le prestataire de services d’initiation de paiement et le prestataire de services d’information sur les comptes à se fonder sur les procédures d’authentification prévues par le prestataire de services de paiement gestionnaire du compte à l’intention de l’utilisateur de services de paiement conformément aux paragraphes (1) et (3) et, lorsque le prestataire de services d’initiation de paiement intervient, conformément aux paragraphes (1), (2) et (3).

Article 105-4.  -  L’obligation d’informer les consommateurs de leurs droits.

(1)

La CSSF et les prestataires de services de paiement disposant d’un site internet veillent à ce que la brochure visée à l’article 106, paragraphe (1) de la directive (UE) 2015/2366 soit aisément accessible sur leurs sites internet.

(2)

Les prestataires de services de paiement veillent à ce que la brochure soit également accessible sous une forme papier auprès de leurs succursales, de leurs agents et des entités vers lesquelles leurs activités sont externalisées.

(3)

Les prestataires de services de paiement ne facturent pas de frais à leurs clients pour la mise à disposition des informations visées au présent article et mettent les informations à disposition des personnes handicapées dans un format accessible.

(4)

Les prestataires de services de paiement informent les utilisateurs de services de paiement que la CSSF est compétente pour régler sur une base extrajudiciaire les litiges portant sur les droits et obligations institués par les titres III et IV, conformément à l’article 106.

Les informations visées à l’alinéa 1er sont mentionnées de manière claire, complète et aisément accessible sur le site internet des prestataires de services de paiement disposant d’un site internet, auprès de la succursale, le cas échéant, et dans les conditions générales du contrat conclu ente le prestataire de services de paiement et l’utilisateur de services de paiement. Elles précisent comment de plus amples informations sur la CSSF en tant qu’instance de règlement extrajudiciaire concernée et sur les conditions d’un tel recours peuvent être obtenues. ».

Art. 89.

L’article 106 de la même loi est modifié comme suit :

1. Au paragraphe 1er, les mots  « pour intervenir auprès de »  sont remplacés par les mots  « pour régler sur une base extrajudiciaire les litiges portant sur les droits et obligations institués par le titre II, chapitre 4 et les titres III et IV qui opposent les utilisateurs de services de paiement et les détenteurs de monnaie électronique à »  et les mots  « , aux fins de régler à l’amiable ces réclamations »  sont remplacés par les mots  « , conformément aux dispositions du livre 4 du Code de la consommation. »  ;
2. Le paragraphe 3 prend la teneur suivante :

« (3)

Les prestataires de services de paiement visés à l’article 1 er, point 37, points i) à iv) et agréés au Luxembourg, les émetteurs de monnaie électronique visés à l’article 1 er, point 15 bis, points i) à iii) et agréés au Luxembourg, les personnes bénéficiant d’une dérogation en vertu de l’article 48 ou 48-1 et les succursales ou agents établis au Luxembourg par des prestataires de services de paiement de paiement ou par des émetteurs de monnaie électronique pour lesquels le Luxembourg n’est pas l’État membre d’origine, mettent en place ces procédures appropriées et efficaces pour le règlement des réclamations des utilisateurs de services de paiement et des détenteurs de monnaie électronique concernant les droits et obligations institués par le titre II, chapitre 4 et les titres III et IV. Ces prestataires et personnes appliquent les procédures dans chaque État membre où elles proposent des services de paiement ou émettent de la monnaie électronique dans une des langues officielles de l’État membre concerné, ou dans une autre langue si elles en ont convenu ainsi avec les utilisateurs de services de paiement ou les détenteurs de monnaie électronique.

Les prestataires et personnes visés à l’alinéa 1er mettent tout en œuvre pour répondre sur support papier, ou sur un autre support durable, si elles en ont convenu ainsi avec les utilisateurs de services de paiement ou les détenteurs de monnaie électronique, aux réclamations des utilisateurs de services de paiement et des détenteurs de monnaie électronique. Cette réponse aborde tous les points soulevés dans la réclamation et est transmise dans un délai approprié et au plus tard dans les quinze jours ouvrables suivant la réception de la réclamation. Dans des situations exceptionnelles, si une réponse ne peut être donnée dans les quinze jours ouvrables pour des raisons échappant au contrôle desdits prestataires et personnes, ceux-ci envoient une réponse d’attente motivant clairement le délai supplémentaire pour répondre à la réclamation et précisant la date ultime à laquelle l’utilisateur de services de paiement ou le détenteur de monnaie électronique recevra une réponse définitive. En tout état de cause, le délai pour recevoir une réponse définitive ne dépasse pas cinquante jours ouvrables. » ;

3. Il est ajouté un nouveau paragraphe 5, libellé comme suit :

« (5)

La CSSF coopère avec les autorités responsables du règlement extrajudiciaire des litiges des autres États membres visées à l’article 102, paragraphe (1) de la directive (UE) 2015/2366 pour faciliter la résolution extrajudiciaire des litiges transfrontaliers concernant les droits et obligations institués par les titres III et IV de ladite directive. ».

Art. 90.

L’article 116 de la même loi prend la teneur suivante :

« Article 116.  -  Dispositions transitoires.

(1)

Les établissements de paiement et les établissements de monnaie électronique de droit luxembourgeois qui ont commencé à exercer leurs activités avant le 13 janvier 2018 sont autorisés à poursuivre ces activités jusqu’au 13 juillet 2018 conformément aux exigences prévues par la présente loi telle que en vigueur avant le 13 janvier 2018 et par la directive 2007/64/CE, sans devoir solliciter un nouvel agrément conformément aux dispositions de l’article 8 ou 24-4 de la présente loi.

Les établissements de paiement et les établissements de monnaie électronique visés à l’alinéa 1er présentent à la CSSF toutes les informations pertinentes afin de permettre à la CSSF d’évaluer jusqu’au 13 juillet 2018 si ces établissements de paiement ou ces établissements de monnaie électronique satisfont aux exigences définies au titre II. L’agrément des établissements de paiement et des établissements de monnaie électronique qui satisfont, après vérification par la CSSF, aux exigences fixées au titre II est maintenu et ils restent inscrits dans les registres visés à l’article 36.

Lorsque les exigences visées à l’alinéa 2 ne sont pas remplies, la CSSF détermine les mesures à prendre par l’établissement de paiement ou l’établissement de monnaie électronique concerné pour assurer le respect desdites exigences ou elle propose au Ministre ayant dans ses attributions la CSSF le retrait de l’agrément.

En cas de retrait d’agrément, il est interdit aux entités concernées de continuer à fournir des services de paiement ou d’émettre de la monnaie électronique, conformément aux articles 4 et 4-1.

(2)

Lorsque la CSSF a déjà la preuve que les établissements de paiement visés au paragraphe (1), alinéa 1 er, respectent les exigences définies au titre II, chapitre 1, section 1, l’agrément de ces établissements de paiement est maintenu et ils restent inscrits dans les registres visés à l’article 36.

La CSSF informe les établissements de paiement concernés en conséquence.

(3)

Les personnes physiques ou morales qui ont bénéficié d’une dérogation au titre de l’article 48 de la présente loi telle qu’en vigueur avant le 13 janvier 2018 et qui ont commencé à exercer l’activité de prestation de services de paiement avant le 13 janvier 2018 sont autorisées à poursuivre leurs activités au Luxembourg, conformément aux dispositions de la présente loi telle qu’en vigueur avant le 13 janvier 2018, jusqu’au 13 janvier 2019 sans devoir solliciter un agrément conformément à l’article 8 et sans devoir se conformer aux autres dispositions qui figurent ou qui sont visées au titre II.

Conformément à l’article 4, si les personnes visées à l’alinéa 1er n’ont pas obtenu une nouvelle dérogation en vertu de l’article 48 ou un agrément de la part du Ministre ayant dans ses attributions la CSSF au titre de la présente loi, il leur sera interdit de continuer à fournir des services de paiement à partir du 13 janvier 2019.

(4)

Lorsque la CSSF a déjà la preuve que les personnes visées au paragraphe (3), alinéa 1 er respectent les exigences définies à l’article 48, ces personnes continuent à bénéficier de leur dérogation et elles restent inscrites dans les registres visés à l’article 36.

La CSSF informe les personnes physiques ou morales concernées en conséquence.

(5)

Par dérogation au paragraphe (1), les établissement de paiement qui ont obtenu l’agrément pour la fourniture des services de paiement visés à l’annexe, point 7, de la présente loi telle qu’en vigueur avant le 13 janvier 2018 maintiennent leur agrément pour la fourniture desdits services de paiement qui sont considérés comme des services de paiement visés à l’annexe, point 3, si la CSSF, au plus tard le 13 janvier 2020, a la preuve que ces établissements de paiement respectent les exigences définies aux articles 15, paragraphe (3) et 17.

(6)

Les personnes morales qui ont exercé au Luxembourg avant le 12 janvier 2016 des activités de prestataires de services d’initiation de paiement ou de prestataires de services d’information sur les comptes au sens de la présente loi doivent solliciter un agrément conformément à l’article 8 ou un enregistrement conformément à l’article 48-1 bis, si elles souhaitent continuer à exercer lesdites activités. Elles sont cependant autorisées à poursuivre leurs activités au Luxembourg après le 13 janvier 2018 jusqu’au plus tard dix-huit mois après l’entrée en vigueur des normes techniques de réglementation visées à l’article 98 de la directive (UE) 2015/2366. Si les personnes concernées n’ont pas obtenu l’agrément ou l’enregistrement dans ce délai, il leur sera interdit, conformément à l’article 4, de continuer à fournir leurs activités.

(7)

Les mesures de sécurité visées aux articles 81-1, 81-2, 81-3 et 105-3 s’appliquent à partir de dix-huit mois après l’entrée en vigueur des normes techniques de réglementation visées à l’article 98 de la directive (UE) 2015/2366.

(8)

La période transitoire jusqu’à l’application des mesures de sécurité visées aux articles 81-1, 81-2, 81-3 et 105-3 ne peut servir de prétexte aux prestataires de services de paiement gestionnaires de comptes pour bloquer ou entraver l’utilisation de services d’initiation de paiement ou de services d’information sur les comptes pour les comptes dont ils sont gestionnaires.» .

Art. 91.

L’annexe de la même loi est modifiée comme suit :

1. Le point 5 prend la teneur suivante :
« 5. L’émission d’instruments de paiement ou l’acquisition d’opérations de paiement. » ;
2. Le point 7 prend la teneur suivante :
« 7. Les services d’initiation de paiement. » ;
3. Il est ajouté un point 8, libellé comme suit :
« 8. Les services d’information sur les comptes. ».

Mandons et ordonnons que la présente loi soit insérée au Journal officiel du Grand-Duché de Luxembourg pour être exécutée et observée par tous ceux que la chose concerne.

Le Ministre des Finances,

Pierre Gramegna

Cabasson, le 20 juillet 2018.

Henri


Doc. parl. 7195 ; sess.ord. 2017-2018 ; Dir. 2015/2366/UE.


Retour
haut de page