Intervention de Éric Woerth

Monsieur le président, madame la secrétaire d'État, madame la rapporteure, mes chers collègues, la directive du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, dite DSP 1, a marqué la première grande étape de l'unification du marché intérieur en matière de services de paiement ; ceux-ci étaient auparavant fragmentés en autant de marchés que d'États membres de l'Union européenne. Près de dix ans après son entrée en vigueur, il était devenu nécessaire d'adapter le cadre juridique à l'évolution des technologies et des besoins des consommateurs – pour les directives européennes, cela prend toujours du temps.

Le texte que nous examinons aujourd'hui n'est pas si technique que cela. Comme Mme la rapporteure l'a souligné, c'est en réalité la vie quotidienne de chacun d'entre nous qui est concernée par la sécurisation des données. Il existe d'ailleurs un lien entre le présent texte et celui relatif à la protection des données personnelles que nous avons examiné cette semaine. En seulement quelques années, le paysage financier mondial a beaucoup évolué. Sous l'impulsion des d'acteurs offrant des prestations d'un type nouveau, les « fintech », les usages bancaires se sont modifiés, avec pour conséquence des incertitudes juridiques concernant la protection des données personnelles des utilisateurs et les régimes de responsabilité des prestataires.

Dans ce contexte, la directive du 25 novembre 2015, dite DSP 2, permet d'accompagner la mutation numérique des services de paiement. Évolution essentielle, elle entérine l'existence des nouveaux intermédiaires, tout en donnant un cadre légal à leurs activités ; il faut en effet réguler lorsque des activités nouvelles émergent.

La sécurité des utilisateurs sera renforcée par une plus grande protection des données. Celles-ci seront communiquées via des interfaces, dites API, mises en place directement par les établissements de crédit et conformes aux normes édictées par la Commission européenne.

Les fintech seront ainsi dans l'obligation de s'identifier, via ces plateformes, auprès du gestionnaire, lorsqu'ils souhaiteront accéder aux données bancaires. Ces dispositions n'entreront toutefois en vigueur qu'à l'issue d'une période de transition de dix-huit mois, c'est-à-dire en août 2019.

La récupération des informations, plus sécurisée, permettra aux clients de ces nouveaux acteurs de réduire le risque d'une fuite ou d'un vol d'informations. La confiance dans l'utilisation de ce type d'application sera ainsi renforcée.

Ce sera en outre une occasion à saisir. D'abord, l'emploi d'une API devrait permettre aux fintech d'être plus compétitives, grâce à l'utilisation de solutions « clés en main », préparées par les établissements de crédit pour accéder aux données des clients. L'entrée en vigueur de la DSP 2 pourrait également renforcer les liens entre les fintech et les banques – les relations entre ces deux types d'acteurs n'ayant pas été toujours facile – , en développant les échanges et les partenariats entre eux.

Je souhaite toutefois appeler l'attention du Gouvernement sur plusieurs points, sur lesquels il conviendra d'être vigilant. L'accès aux données via les API permettra-t-il aux fintech d'obtenir les mêmes informations que celles auxquelles ils ont accès aujourd'hui ? La qualité de l'accès à l'information sera-t-elle la même ?

Il faudra aussi que le Gouvernement soit attentif à ce qu'il n'y ait pas de barrières techniques au développement des acteurs de la fintech. L'impératif de protection des données est essentiel, mais il ne doit pas se faire au détriment d'un écosystème dans lequel la France tire son épingle du jeu – nous sommes plutôt bons dans ce domaine.

Je souhaite aussi relever un paradoxe dans les orientations prises par la directive, dont les mesures ne sont applicables qu'aux seuls comptes de paiement. Les comptes d'épargne et les contrats d'assurance, par exemple, n'entrent pas dans son champ. L'accès à ces comptes continuera donc à se faire de façon peu sécurisée. Mme la rapporteure a cité les chiffres ; ce paradoxe doit impérativement être levé et le Gouvernement doit travailler avec la Commission pour y remédier. La question des modalités d'accès aux données financières se pose en effet dans les mêmes termes s'agissant de ces autres comptes ; pour que l'agrégation des différents comptes ait lieu dans des conditions satisfaisantes, il faut traiter le sujet dans son ensemble.

Le Gouvernement a déposé un amendement qui vise à réduire de huit mois le délai transitoire, pour une entrée en vigueur en janvier ou février 2019. Je ne suis pas sûr qu'il y ait une si grande urgence à abréger la période transitoire pour les comptes de paiement, sachant que l'accès continue à se faire par une technique peu sécurisée pour les autres types de compte.

La surtransposition à la française a vécu.