Intervention de Nadia Hai

Ce projet de loi de ratification de l'ordonnance du 9 août 2017 transposant la directive du 25 novembre 2015 sur les services de paiement dans le marché intérieur a été adopté par notre assemblée en première lecture le 8 février dernier et par le Sénat le 22 mars. La commission mixte paritaire, qui s'est tenue le 19 avril dernier, n'a pas abouti à un texte commun.

La directive « DSP 2 » modernise le cadre juridique de « DSP 1 », qui datait de 2007, pour poursuivre l'harmonisation des normes en matière de services de paiement et pour prendre en compte l'impact des nouvelles technologies sur le secteur. Elle s'articule autour de quatre axes principaux.

Le premier axe est la consécration juridique au niveau européen de deux nouveaux types d'acteurs : les prestataires de services d'initiation de paiement et les prestataires de services d'information sur les comptes. Les premiers, également appelés initiateurs de paiements, passent des ordres de paiement à la demande du consommateur, à partir d'un compte de paiement détenu auprès d'une banque. Ils permettent aux consommateurs de payer leurs achats en ligne par simple virement, en donnant aux commerçants l'assurance que le paiement a bien été initié. La France compte environ 2,5 millions d'utilisateurs de ces services. Les seconds, appelés agrégateurs, permettent aux consommateurs de disposer d'une vision transversale de leurs finances sur l'ensemble de leurs comptes, gérés par une ou plusieurs banques. On compte 4 millions d'utilisateurs de ces services en France. DSP 2 offre à ces acteurs un cadre d'action, formalise leurs droits et les obligations qui leur incombent. Elle améliore la qualité des services de paiement et favorise la concurrence dans le secteur, au bénéfice du consommateur.

Le deuxième axe est le renforcement des normes de sécurité d'accès aux données des comptes de paiement des utilisateurs.

Le troisième axe est l'enrichissement des droits des utilisateurs de services de paiement, notamment en matière de frais dont ils doivent s'acquitter ou de remboursements dont ils bénéficient en cas d'opérations mal exécutées.

Le quatrième axe est l'amélioration de la supervision transfrontalière des établissements de paiement et des établissements de monnaie électronique.

Le projet de loi soumis à notre examen a pour objet de ratifier l'ordonnance du 9 août 2017 de transposition de cette directive. Il procède également à des ajustements du code monétaire et financier, en rapport avec les règles de DSP 2.

Le texte déposé par le Gouvernement a été modifié par plusieurs amendements en première lecture. L'Assemblée nationale a adopté deux amendements du Gouvernement.

Le premier aura une conséquence directe sur le quotidien des Français. Il fixe des règles permettant aux commerçants de fournir des espèces à leurs clients, lors d'un paiement par carte bancaire. Par exemple, à l'occasion de l'achat d'un bien d'une valeur de 15 euros, il lui sera possible de régler un montant de 20 euros par carte ; le commerçant lui rendra 5 euros en espèces. En théorie, cette pratique est autorisée depuis l'entrée en vigueur de DSP 1, mais, faute d'un encadrement suffisant par la loi, il était risqué pour les commerçants de réaliser les investissements nécessaires à son développement. Je ne reviens pas sur les bénéfices de cette mesure, que nous avons évoqués en séance publique. Le Sénat a adopté conforme l'article en question.

L'Assemblée nationale a également adopté en première lecture un amendement du Gouvernement pour accélérer l'entrée en vigueur de certaines normes de sécurité concernant l'accès aux données des comptes de paiement. Actuellement, je vous le rappelle, l'accès aux données bancaires des consommateurs s'opère par la technique de l'accès direct non identifié, également appelée « web scraping non identifié ». Cette technique ne présentant pas les garanties de sécurité suffisantes, le législateur européen a décidé de fixer des normes de sécurité renforcées pour l'accès aux données des comptes de paiement.

DSP 2 prévoit en effet que les agrégateurs, les initiateurs de paiements et les banques communiquent entre eux les informations sur les comptes de paiement de manière sécurisé. En France, les banques développent une interface dédiée de type API (application programming interface), qui devra correspondre aux critères de sécurité édictés par le droit européen. Les principaux agrégateurs et initiateurs de paiements sont associés au développement de cette interface au sein d'un groupe de travail dont le secrétariat est assuré conjointement par la direction générale du Trésor et la Banque de France.

Ces normes techniques de réglementation doivent, en l'état du droit, entrer en vigueur au mois de septembre 2019. L'amendement du Gouvernement, adopté par l'Assemblée, permettra d'anticiper cette entrée en vigueur de quelques mois.

Au Sénat, deux amendements notables ont été adoptés.

Le premier, à l'initiative du Gouvernement, clarifie la rédaction du code monétaire et financier, afin que la loi étende explicitement le bénéfice de la garantie des dépôts aux sommes déposées par les sociétés de financement, les établissements de monnaie électronique et les établissements de paiement, lorsque ces sommes ne sont pas déposées en leur nom et pour leur compte propre. Il s'agit de garantir par transparence les sommes que les consommateurs confient à ces acteurs. Concrètement, lorsqu'un particulier ou une entreprise confie des fonds à un établissement de paiement ou à un établissement de monnaie électronique, celui-ci peut le déposer sur un compte de cantonnement dont l'objet est de protéger ces fonds. Si la banque qui tient ce compte fait faillite, les ayants droit de ces sommes seront indemnisés dans le cadre du mécanisme de garantie des dépôts.

Actuellement, un arrêté prévoit cette protection par transparence, mais la rédaction de la loi est ambiguë. L'amendement la clarifie pour sécuriser juridiquement le dispositif réglementaire.

Le second amendement adopté par le Sénat, à l'initiative de M. Albéric de Montgolfier, rapporteur du texte, a pour objet de soumettre à une obligation d'assurance les établissements de paiement, les établissements de monnaie électronique et les agrégateurs, au titre de leurs activités concernant des comptes autres que ceux de paiement. Il s'agit donc de comptes hors du champ de la directive. Je proposerai un amendement de suppression de cette disposition, compte tenu des difficultés que son adoption entraînerait.

En effet, il s'agit d'abord d'une surtransposition de la directive. Cette obligation d'assurance ne s'accompagne d'ailleurs pas du renforcement des normes de sécurité sur les comptes autres que les comptes de paiement.

Ensuite, la disposition proposée engendrerait des distorsions de concurrence. Elle ne concernerait pas les agrégateurs qui seraient spécialisés sur les comptes hors du champ de DSP 2 et le contrôle du respect de l'obligation d'assurance ne pourrait pas bénéficier des procédures spécifiques de coopération entre les autorités nationales de régulation. Il n'est pas certain que la disposition soit d'ordre public et qu'elle puisse s'appliquer aux prestataires agréés dans d'autres pays de l'Union européenne.

Il n'est pas certain non plus qu'un marché de l'assurance puisse se développer sur ce segment. Et les représentants des professionnels de l'assurance ne sont eux-mêmes pas favorables à l'introduction de cette disposition.

Enfin, rappelons que la plupart des prestataires tiers ayant des activités sur les comptes hors du champ de DSP 2 ont également des activités dans le champ de DSP 2. Leurs agréments sur les comptes de paiement permettent de garantir que, dans l'ensemble, leur système de sécurité répond aux exigences de la directive.

Cette proposition a toutefois permis de mettre davantage l'accent sur la protection du consommateur et sur la prévention des risques que les activités d'initiation de paiement et d'agrégation peuvent comporter.

Il serait utile que la Commission nationale de l'informatique et des libertés (CNIL), en lien avec l'Autorité de contrôle prudentiel et de résolution (ACPR) et l'Agence nationale de la sécurité des systèmes d'information (ANSSI), édicte des recommandations ou des lignes directrices qui favorisent les bonnes pratiques dans le secteur.

Je vous proposerai d'adopter ce projet de loi, moyennant l'adoption de cet amendement de suppression et d'amendements rédactionnels. Ainsi transposée, DSP 2 permet à la fois de favoriser la concurrence dans le secteur des services de paiement, d'améliorer la qualité de services pour les utilisateurs de services de paiement et de renforcer la protection des données des consommateurs. Ce projet de loi de ratification a été utilement modifié dans cet objectif.