EXPOSÉ GÉNÉRAL
Mesdames, Messieurs,
Le Sénat est saisi du projet de loi ratifiant l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, dite « DSP 2 ». Il fait l'objet d'une procédure accélérée et a été adopté par l'Assemblée nationale le 8 février 2018.
La directive devait être transposée en droit national au 13 janvier 2018, date fixée pour l'entrée en vigueur de la plupart de ses dispositions. Dans cette perspective, l'article 70 de la loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique 1 ( * ) - dite « Sapin 2 » - avait habilité le Gouvernement à procéder aux adaptations législatives requises par ordonnance. De fait, l'ordonnance du 9 août 2017 a procédé à la transposition des dispositions de la directive en droit national, en modifiant le code monétaire et financier.
Le présent projet de loi comportait initialement six articles, le premier ratifiant l'ordonnance du 9 août 2017, les suivants opérant des corrections et coordinations complémentaires.
À l'initiative du Gouvernement, l'Assemblée nationale a adopté deux articles additionnels, visant à préciser le cadre juridique applicable à la fourniture d'espèces à l'occasion d'une opération d'achat de biens ou de services - dite « cashback » - (article 1 er bis ) et à permettre au pouvoir réglementaire d'introduire, à titre transitoire jusqu'à l'application au 1 er septembre 2019 des normes techniques de réglementation prévues par la directive, les modalités de communication standardisée et sécurisée issues de l'harmonisation européenne (article 1 er ter ).
*
Quatre ans après l'entrée en vigueur de la première directive concernant les services de paiement dans le marché intérieur du 13 novembre 2007 - dite « DSP 1 » 2 ( * ) -, la Commission européenne a présenté le 24 juillet 2013 un « paquet paiement » , intégrant deux propositions de règlements 3 ( * ) et une proposition de directive révisant la directive précitée de 2007.
La directive « DSP 1 » entendait répondre au constat de fragmentation des services de paiement au sein de l'Union européenne. Considérant le paiement comme l'acte final de l'achat et les systèmes de paiement comme « la trame financière invisible de l'économie réelle » 4 ( * ) , la Commission européenne prolongeait ainsi son action en faveur de l'intégration du marché intérieur.
La directive de 2007 a innové en ouvrant les services de paiement à la concurrence . Définissant la catégorie juridique des établissements de paiement, soumis à un régime prudentiel spécifique et à un agrément unique au sein de l'Union européenne, elle a rompu avec le monopole bancaire en matière de paiements . Ces établissements, prestataires de services de paiement, n'interviennent pas dans l'activité de réception de dépôts ou d'émission de monnaie électronique 5 ( * ) . Ses dispositions sont entrées en vigueur à compter de novembre 2009 6 ( * ) .
Le contexte a rapidement évolué , tant en raison de l'essor du commerce en ligne que du développement de nouveaux services de paiement rendus possibles à la faveur des progrès technologiques. De fait, « de nombreux produits ou services de paiement innovants [demeuraient] totalement, ou dans une large mesure, en dehors du champ d'application de la directive », cette dernière se révélant « tout simplement obsolète au regard de l'évolution du marché » 7 ( * ) .
C'est en effet en matière de services de paiement que l'innovation financière se révèle la plus dynamique. Sur les quelques 1 400 fintech dénombrées dans le monde, dont 130 en France, 40 % se sont spécialisées dans les moyens de paiement. Or, les moyens de paiement peuvent parallèlement représenter près du quart du revenu des établissements bancaires 8 ( * ) .
Le nombre d'utilisateurs de ces nouveaux services a parallèlement connu une croissance rapide. Environ 50 millions de consommateurs ont recours à l'initiation de paiement 9 ( * ) en Europe , dont 2,5 millions de Français, contre 15 millions de personnes pour les agrégateurs d'informations 10 ( * ) , dont 4 millions en France 11 ( * ) .
L'utilité de ces services s'accroît dans un contexte où la mobilité bancaire se trouve facilitée depuis le 1 er février 2017, avec l'entrée en vigueur des dispositions de la loi du 6 août 2015 pour la croissance, l'activité et l'égalité des chances économiques 12 ( * ) qui a renforcé la concurrence.
I. TRANSPOSANT LA DIRECTIVE DU 25 NOVEMBRE 2015, L'ORDONNANCE DU 9 AOÛT 2017, QUE LE PRÉSENT PROJET DE LOI PROPOSE DE RATIFIER, ACTUALISE LE CADRE JURIDIQUE DES SERVICES DE PAIEMENT
L'article 1 er du présent projet de loi procède à la ratification de l'ordonnance du 9 août 2017 ayant transposé les dispositions de la directive du 25 novembre 2015. Les articles 2 à 6 procèdent à des ajustements de références et à des mesures de coordination corrigeant des erreurs et omissions de l'ordonnance.
A. DES MESURES NOUVELLES POUR PROTÉGER LE CONSOMMATEUR ET SOUTENIR L'INNOVATION
1. L'adaptation du cadre juridique aux nouveaux types de services de paiement
Un décalage s'était créé entre le cadre juridique et les pratiques, source d'incertitudes multiples , en particulier s'agissant de la protection des consommateurs, de la sécurité et de la responsabilité, rendant nécessaire une actualisation des règles applicables.
Tel est précisément l'objet de la directive du 25 novembre 2015 13 ( * ) . Alors que la directive « DSP 1 » a posé les fondements du marché unique des services de paiement, la directive « DSP 2 » vise à les intégrer au sein d'un environnement plus large et en mutation, celui de l'économie numérique . Il s'agit de répondre au constat dressé par la Commission européenne dans son livre vert de janvier 2012 de basculement du « commerce du monde réel vers le monde virtuel » et de donner les moyens à l'Union européenne de « gérer les évolutions futures de l'acte de payer » 14 ( * ) .
Dans cette perspective, la directive de 2015 s'inscrit dans un double objectif consistant, d'une part, à actualiser le cadre juridique pour encadrer les nouveaux acteurs de services de paiement et, d'autre part, à améliorer la concurrence et le service fourni au consommateur en exploitant le potentiel de croissance de ces nouveaux outils.
Elle comporte trois dispositions essentielles :
- elle pose les bases d'un droit d'accès aux comptes de paiement , en consacrant deux nouveaux acteurs - les prestataires de services d'initiation de paiement (PSIP) d'une part et les prestataires d'information sur les comptes d'autre part (PSIC) -, intervenant en relation avec le prestataire de services de paiement gestionnaire de comptes ( cf . infra ) ;
- elle renforce les normes de sécurité des données en rendant obligatoire l'authentification forte 15 ( * ) et en précisant les modes d'accès du client à son compte de paiement en ligne ;
- elle consolide les droits des utilisateurs de services de paiement et améliore la supervision transfrontalière des établissements de paiement et des établissements de monnaie électronique.
2. Une actualisation en partie obérée par les caractéristiques de la directive
Si la directive du 25 novembre 2015 s'inscrit directement dans le sillage de la directive de 2007 qu'elle abroge, elle présente une structure juridique distincte.
Il en résulte une double limite .
La première limite est structurelle . Ses dispositions visent les services de paiement, de sorte qu' elle ne concerne que les comptes de paiement 16 ( * ) . Bien que définissant le statut de prestataire de services d'information sur les comptes, la directive « DSP 2 » ne connaît ces activités que pour le périmètre des comptes de paiement. Cette particularité obère sa portée, puisque plus de 80 % des comptes agrégés par ces services ne sont pas des comptes de paiement 17 ( * ) , à l'instar des comptes d'épargne ou encore des comptes d'assurance.
La seconde limite est temporaire . Alors que la première directive de 2007 formait un ensemble unique, la directive du 25 novembre 2015 renvoie, pour plusieurs de ses dispositions 18 ( * ) , à un acte délégué de la Commission européenne fixant les normes techniques de réglementation (NTR).
Ces normes sont attendues car jusqu'à présent, la pratique actuelle d'extraction de données non identifiée, dite de « web scraping », s'appliquait. Or, à défaut d'identification, cette méthode se révèle particulièrement fragile et incertaine quant à l'établissement des responsabilités en cas d'opérations mal exécutées. Concrètement, les utilisateurs communiquent aux prestataires de services de paiement leurs identifiants afin que ces derniers se connectent directement sur l'interface de leur compte de paiement, sans qu'il soit possible de déterminer que la connexion est effectivement réalisée par le titulaire du compte ou opérée par un tiers.
Bien que l'acte délégué de la commission européenne ait été publié le 13 mars dernier au Journal officiel de l'Union européenne 19 ( * ) , les dispositions qu'il prévoit s'agissant des modalités de communication entre les PSIC-PSIP et les gestionnaires de comptes ne seront applicables qu'à partir du 1 er septembre 2019. Jusqu'à cette date, le « web scraping » devrait donc prévaloir.
À l'initiative du Gouvernement, l'Assemblée nationale a complété le dispositif initial en permettant au pouvoir réglementaire de déterminer pour la France des modalités transitoires de communication sécurisée jusqu'à l'entrée en vigueur des normes techniques réglementaires au niveau européen (article 1 er ter ). Si cette mesure vise à accélérer la sécurisation des connexions, il convient de mieux inscrire les règles transitoires dans le sillage des dispositions des normes techniques réglementaires et de garantir un accès effectif des prestataires de services de paiement aux données des comptes de paiement ( cf . infra ).
* 1 Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique.
* 2 Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur.
* 3 Règlement (UE) 2015/751 du Parlement européen et du Conseil du 29 avril 2015 relatif aux commissions d'interchange pour les opérations de paiement liées à une carte et règlement (UE) 2015/847 du Parlement européen et du Conseil du 20 mai 2015 sur les informations accompagnant les transferts de fonds.
* 4 Communication de la Commission au Conseil et au Parlement européen concernant un « Nouveau cadre juridique pour les paiements dans le marché intérieur », 2003/0718 final.
* 5 Les établissements de monnaie électronique relèvent de la directive 2009/110/CE du Parlement européen et du Conseil du 16 septembre 2009 concernant l'accès à l'activité des établissements de monnaie électronique et son exercice ainsi que la surveillance prudentielle de ces établissements, transposée en 2013.
* 6 La transposition en droit national a été effectuée par l'ordonnance n° 2009-866 du 15 juillet 2009 relative aux conditions régissant la fourniture de services de paiement et portant création des établissements de paiement.
* 7 Considérant 4 de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.
* 8 « Les banques aux prises avec les fintech », Matthieu Llorca, L'économie politique n° 75, 2017/3.
* 9 Ce service permet d'initier un ordre de paiement à la demande de l'utilisateur sous la forme d'un virement. Le consommateur peut ainsi payer un achat, tandis que le commerçant est assuré que le paiement a bien été initié.
* 10 Ce service fournit à l'utilisateur des informations consolidées de ses comptes sur une interface unique, indépendante des établissements gestionnaires de ces différents comptes.
* 11 Assemblée nationale, compte rendu de la séance du 8 février 2018.
* 12 Loi n° 2015-990 du 6 août 2015 pour la croissance, l'activité et l'égalité des chances économiques.
* 13 Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.
* 14 Livre vert, « Vers un marché européen intégré des paiements par carte, par internet et par téléphone mobile », Commission européenne, COM (2011) 941 final, 11 janvier 2012.
* 15 Il s'agit d'un système combinant au moins deux facteurs d'authentification parmi la possession, la connaissance et l'inhérence.
* 16 Le I de l'article L. 522-4 du code monétaire et financier les définit ainsi : « les comptes ouverts par les établissements de paiement sont des comptes de paiement qui sont exclusivement utilisés pour des opérations de paiement. Cette destination exclusive doit être expressément prévue dans le contrat-cadre de services de paiement qui régit le compte. Est exclu tout placement au nom du client de ces fonds, même temporaire, dans un produit d'épargne ou d'investissement. »
* 17 Assemblée nationale, compte rendu de la séance du 8 février 2018.
* 18 Il s'agit en particulier des dispositions relatives à la généralisation de l'authentification forte du payeur et aux normes ouvertes communes et sécurisées de communication entre les différents prestataires de services de paiement.
* 19 Journal officiel de l'Union européenne L69/23 du 13 mars 2018, pages 23 à 43.