Le règlement ECSP : PSFP = CIP + IFP ?

Jean-Marc Fourré • 21 juin 2021

Une ordonnance publiée il y a quelques jours au JO lance officiellement les préparatifs de mise en œuvre du nouveau règlement européen sur le financement participatif – ECSP – ‘‘European Crowdfunding Service Providers’’, qui entrera en vigueur le 10 novembre 2021.

§ Petit rappel des faits … et perspectives.

Le règlement (UE) 2020/1503 relatif aux prestataires de services de financement participatif crée un statut européen unique pour toutes les activités du financement participatif sous forme de souscription de titres ou de prêts. Dans le cadre de la construction de l’union des marchés de capitaux (UMC) en Europe, c’est un pas de plus vers l’édification de statuts communs aux acteurs opérant dans les différents pays membres de l’Union Européenne.

§ En France, PSFP = CIP + IFP

En France, ce nouveau statut de PSFP - prestataire de services de financement participatif remplacera donc les deux statuts actuels de conseiller en investissement participatif (CIP, contrôle AMF) et d’intermédiaire en financement participatif (IFP, contrôle ACPR). Les entités CIP et IFP actuelles auront douze mois (à compter de nov. 2021), au minimum, pour se conformer au nouveau statut.

§ Un statut européen

Le statut de PSFP affiche clairement une dimension transfrontalière (le règlement ECSP est européen) : exit donc les statuts réglementaires (CIP et IFP ou équivalents étrangers) purement nationaux – le statut de prestataire de services d’investissement (PSI) est inchangé, bien sûr.

§ Un formalisme accru, des exigences organisationnelles renforcées

Le processus d’agrément du PSFP, le contenu du dossier d’agrément, les exigences organisationnelles de la plateforme semblent renforcées à la lecture du règlement ECSP. Les processus de diligences sur les porteurs de projets (art. 5), de connaissance investisseurs (y compris la LCB-FT), de sélection, d’analyse, de suivi et d’évaluation des projets (art. 4), de gestion des risques de crédit et de liquidité font l’objet d’articles spécifiques dans le règlement.

De même pour la gouvernance et les moyens du prestataire, ses dispositifs de traitement des réclamations (art. 7), d’identification des conflits d’intérêts (art. 8), de supervision des prestataires externes (en particulier techniques et informatiques, ou en matière de services de paiement, art. 9), et la conservation des actifs (art. 10), mais ces éléments figuraient déjà largement dans la réglementation française.

§ De nouvelles exigences prudentielles

L’exigence en fonds propres réglementaires passe à 25 000 EUR ou ¼ des frais généraux annuels, selon une approche maintenant tout à fait habituelle (pour rappel : CIP : 0, PSI - CIP : 50 K EUR au min.).

§ Des diligences Investisseurs renforcées

Le règlement distingue deux catégories d’investisseurs : les investisseurs avertis et les investisseurs non avertis. Des diligences précises devront être menées sur les investisseurs non avertis avant mise à disposition des informations sur les projets. Ces diligences sont renforcées – en ce qui concerne les risques – lors de l’investissement, avec la mise en place de nombreuses alertes et mises en garde automatisées, au cours du ‘‘parcours client’’.

§ Un plafond de financement abaissé à 5 M EUR ?

Le plafond de financement de 8 M EUR (en France, depuis la loi Pacte de mai 2019) n’est pas reconduit dans le règlement ECSP, qui indique un plafond annuel de 5 M EUR par offre de valeurs mobilières et d’instruments. A voir si des dérogations pour les offres purement nationales seront possibles.

§ Points en suspens et application concrète

Outre le plafond de financement de 5 M EUR à confirmer au vu du périmètre géographique du PSFP ou de l’offre, la notion de conseil en investissement semble explicitement écartée du règlement, cf. la mention relative aux ‘‘outils de filtrage [ne devant pas] être considérée comme un conseil en investissement […], aussi longtemps que ces outils fournissent des informations aux clients de manière neutre, sans constituer une recommandation.’’. Il faudra donc alerter ou avertir, promouvoir ou présenter, sélectionner ou catégoriser … sans conseiller. A voir en pratique.

CIP et IFP ont rencontré PSFP, donc.

Pour en savoir plus, le règlement UE 2020/1503 :

Réglement (UE) 2020-1503 - Prestataires européens de services de financement participatif

Ill. Molecule Man, J. Borofsky (1999), Friedrichshain.

< Post plus ancien

Post plus récent >

HARVEST O2S - Cybermalveillance

par Vincent Boisseau • 3 mars 2025

Depuis le jeudi 27 février, l'outil O2S d'HARVEST est bloqué suite à une cyberattaque. L'information est officielle depuis le vendredi 28 février. A ce jour , lundi 3 mars, l'outil n'est pas rétabli. A ce jour, aucun élément n'indique qu'il y a eu fuite de données. CONSTATS & ANALYSES Suite à la cyberattaque d’HARVEST, il y a des obligations CNIL à faire en tant que vous Responsable des Traitements et HARVEST sous-traitant. D'autant qu'O2S contient une quantité astronomique de Données à Caractère Personnel sur les clients : adresse, mail, téléphone, RIB, patrimoine, CNI, peut-être données médicales...bref, c'est énorme. Donc il y a effectivement des choses à faire. Voici le lien vers la CNIL qui traite des violations de données personnelles : https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles En effet notre analyse est: qu’il y a eu une violation de données du fait d’un cas cité : perte de disponibilité , d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite) En revanche on ne sait pas encore s’il y a eu fuite de données, LE DISPOSITIF d'HARVEST Voici les informations reçues par un CGP, en juillet 2024, sur le dispositif HARVEST : plutôt sérieux. "Sécurité physique : Les serveurs sont hébergés dans un Datacenter Interxion dans l’UE. Le Datacenter a de nombreuses certifications : ISO 14001:2004, ISO 27001 & ISO 22301, ISO 50001:2011, OHSAS 18001, ITIL V3 ,PCI-DSS, HDS (Hébergeur Données Santé). Les infrastructures sont monitorées 24h/24 et 7h/7. Les baies hébergeant les systèmes sont fermées à clé, seul le personnel habilité a accès aux baies : Notre sous-traitant (Waycom) pour la mise à disposition et la supervision des infrastructures d’hébergement travaillant pour le compte d’Harvest (hors baies privées dédiées dont l’accès est géré uniquement par Harvest) Les membres habilités de la DSI Harvest. Les grappes de disques ainsi que les alimentations sont redondées (ainsi que tous les éléments critiques physiques du Datacenter : réseaux internet, réseaux électriques, etc…). Sécurité logique : Les données de production sont accessibles uniquement par un nombre de personnes restreint, défini en accord avec le comité des risques d’Harvest. En aucun cas nos sous-traitants ont accès aux données applicatives. L’accès est basé sur une authentification : compte / mot de passe. Les droits et habilitations sont donnés selon le profil de l’utilisateur. Les flux sont chiffrés (HTTPS). Les données des applications répliquées en continue sur un serveur de secours local et sauvegardées sur un serveur de sauvegarde distant. Les opérations effectuées sur les serveurs sont journalisées. Les serveurs sont mis à jour régulièrement et possèdent un antivirus à jour. Des tests de vulnérabilité sont effectués périodiquement et donnent lieu, si nécessaire, à des plans de remédiation. Réglementaire : Dans le cadre de la réglementation européenne RGPD, un registre des traitements a été créé, il est maintenu par le DPO (Data Protection Officer) d’Harvest. Plan de continuité (PUPA), dans ce cadre Harvest : Dispose d’une procédure de gestion et d’escalade des incidents. A mis en place un comité des risques et est accompagné par un cabinet d’audit externe Activation de la cellule de crise en cas de problème majeurRéalise des évolutions régulières sur l’infrastructure matérielle et logicielle de ses environnements pour améliorer en permanence les performances et la sécurité " QUE FAUT IL FAIRE en interne ? La violation de données et la cyberattaque ne concernent pas VOS systèmes mais ceux d'un sous-traitant. Donc pas de panique. Quand on lit les instructions CNIL, dans cette configuration, il faut documenter la violation de données en interne. QUE FAUT IL FAIRE vis à vis de la CNIL? Là l'instruction est claire : il faut notifier l’incident à la CNIL dans les 72 heures (donc aujourd'hui pour ceux qui ne l'ont pas faite). Pour ce faire, la CNIL vous accompagne : compléter le document préparatoire (aide au remplissage) : https://www.cnil.fr/sites/cnil/files/2023-07/trame_des_notifications_de_violations_de_donnees_0.odt puis faite la notification en ligne : https://notifications.cnil.fr/notifications/ QUE FAUT IL FAIRE vis à vis de vos clients ? Ne faites rien pour le moment ! Il faut prévenir les clients si la fuite de données est avérée. En effet, la CNIL précise : en cas de doute sur l’incidence de la fuite de données personnelles concernant la vie privée des personnes concernées (c’est le cas à ce jour car nous ne savons pas s’il y a eu fuite ou non de données), notifiez à la CNIL qui vous indiquera s’il est nécessaire d’informer les personnes. Voilà Croisons les doigts pour que vous puissiez rapidement travailler et que les données des clients ne fuitent pas.!

Le règlement ECSP : PSFP = CIP + IFP ?

HARVEST O2S - Cybermalveillance

SR(R)I..on s'y perd ? Dommage !...c'est impactant

L'ACPR revise encore une fois le parcours client en Assurance..et c'est tant mieux

Démarchage téléphonique et VAD (vente à distance) . La fin de la récré?

Agrément des SGP...quelques nouveautés !

Pour l'AMF, les AMC...c'est du produit "complexe"

Mandat d'arbitrage en assurance-vie et contrat de capitalisation

Assurance : enfin des précisions sur l'actualisation du conseil

OPADEO à PATRIMONIA...la gouvernance produits dans tous ses états