AVANT-PROPOS
En première lecture, le projet de loi ratifiant l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, dite « DSP 2 », tel que transmis par l'Assemblée nationale au Sénat, comportait 8 articles, 6 articles initiaux et 2 articles additionnels (articles 1 er bis et 1 er ter ).
Le Sénat a adopté 13 amendements au texte voté par l'Assemblée nationale, correspondant à douze amendements en commission et un amendement en séance présenté par le Gouvernement.
Il a voté 3 articles conformes (articles 1 er , 1 er bis et 5), modifié 5 articles et adopté un article additionnel (article 1 er ter A). Il restait donc 6 articles en discussion et devant être examinés par l'Assemblée nationale en nouvelle lecture, après l'échec de la commission mixte paritaire le 19 avril dernier.
Cet échec est dû au désaccord entre les députés et les sénateurs sur l'article 1 er ter A, introduit par le Sénat en première lecture et proposant un dispositif assurantiel afin de répondre au problème des comptes non couverts par la directive et de protéger ainsi les consommateurs.
1/ En nouvelle lecture, des votes de l'Assemblée nationale reprenant très largement la position du Sénat mais confirmant aussi le principal point de divergence : créer une obligation assurantielle pour couvrir les comptes non couverts par la directive en vue de protéger les consommateurs
Le Sénat s'était inscrit dans une démarche constructive lors de l'examen du projet de loi en première lecture. Il avait en particulier voté conforme l'article 1 er, qui ratifie l'ordonnance de transposition de la directive , compte tenu de la transposition fidèle proposée et des apports indéniables de la directive, qui améliore le marché intérieur des paiements et prend en compte l'essor incontestable des Fintech .
D'ailleurs, l'Assemblée nationale a, en nouvelle lecture, conservé la quasi-totalité des améliorations apportées par le Sénat , seul l'un des douze amendements rédactionnels, de cohérence et de coordination adoptés par elle revenant sur un amendement adopté à l'article 4 par la commission des finances du Sénat, qui ne présentait pas d'enjeu majeur. Ces modifications de l'Assemblée nationale ne posent donc pas de difficulté.
En revanche, l'Assemblée nationale a supprimé l'article 1 er ter A , introduit par le Sénat et unique « pierre d'achoppement » entre les deux chambres.
Pourtant, le constat est partagé . La directive que l'on transpose en droit français encadre l'activité des agrégateurs de comptes et des initiateurs de paiement pour les seuls comptes de paiement , c'est-à-dire les « comptes courants ».
Or, il s'agit d'une limite majeure puisque les services offerts aux utilisateurs portent sur l'ensemble des comptes et produits d'épargne. Dans ce cas, l'utilisateur pourrait, en effet, difficilement être indemnisé en cas de fraude ou de fuite de données, la banque considérant qu'elle n'y est pas tenue puisqu'il a révélé ses identifiants à un tiers et la fintech qui verrait sa responsabilité engagée n'ayant pas nécessairement les moyens d'y procéder, faute d'obligation d'assurance et avec des fonds propres exigés de seulement 50 000 euros.
Il est donc indispensable de protéger les consommateurs qui ignorent bien souvent les risques qu'ils prennent en recourant à ces services. La solution assurantielle proposée par le Sénat avait le mérite de répondre à ces difficultés identifiées.
Les arguments avancés par l'Assemblée nationale pour s'y opposer peuvent être pour partie nuancés voire contestés . En particulier, la mesure proposée ne constitue aucunement une « sur-transposition » de la directive puisqu'elle couvre des cas qui se situent hors de son champ.
L'obligation assurantielle proposée doit par ailleurs s'entendre comme une solution nationale temporaire à un problème identifié, dans l'attente d'une réponse européenne indéniablement plus adaptée . Elle peut certes créer des difficultés dans sa mise en oeuvre - même si ces dernières ne doivent pas être surestimées, comme le démontre le commentaire de l'article 1 er ter A supra- et votre rapporteur avait d'ailleurs invité le Gouvernement et l'Assemblée nationale à travailler de concert pour trouver le meilleur dispositif possible.
En tout état de cause, si toute solution nationale transitoire est par nature imparfaite, elle doit surtout être évaluée de telle façon à déterminer si les inconvénients induits par son adoption excèdent les bénéfices attendus en termes de protection des consommateurs.
2/ Malgré ce désaccord, l'adoption du texte issu de l'Assemblée nationale sans modification, dans l'attente d'engagements fermes et précis du Gouvernement en séance publique
Le dispositif adopté à l'article 1 er ter A a mis en exergue un « vide juridique » indéniable et a ainsi permis de contraindre le Gouvernement à se saisir du sujet .
En effet, depuis la première lecture au Sénat, le Gouvernement s'est engagé à intervenir selon trois modalités :
- devant le Sénat, Mme Delphine Gény-Stephann, secrétaire d'État auprès du ministre de l'économie et des finances avait annoncé le lancement d'une « mission de réflexion pour formuler des propositions adéquates à porter auprès de nos partenaires européens et de la Commission européenne » et susceptible « le cas échant, [de] conduire à formuler toute mesure transitoire pertinente à adopter au niveau national » 1 ( * ) ;
- devant l'Assemblée nationale, lors de l'examen du projet de loi en nouvelle lecture, la ministre a également annoncé que la Commission européenne avait été saisie pour « établir un cadre juridique unifié au niveau européen sécurisant l'utilisation de l'ensemble des données financières individuelles et incluant les données issues de comptes d'épargne » 2 ( * ) ;
- enfin, elle a également indiqué à cette même occasion que le Gouvernement saisirait la Commission nationale de l'informatique et des libertés (CNIL) concernant les modalités d'accès aux comptes non couverts par la directive , pour qu'elle édicte des « lignes directrices », en travaillant avec la Banque de France, l'Autorité de contrôle prudentiel et de résolution (ACPR) et l'Agence nationale de la sécurité des systèmes d'information (ANSSI).
En effet, le règlement général sur la protection des données (RGPD) est applicable à tout traitement de données à caractère personnel et, en matière de sécurité, le responsable du traitement est tenu de mettre en oeuvre les mesures appropriées pour garantir un niveau de sécurité adapté. Dans ce cadre, la CNIL dispose d'outils de régulation permettant de guider les acteurs dans leur démarche de conformité.
Ces engagements constituent indéniablement un « premier pas » pour répondre à la difficulté identifiée par le Sénat . Les efforts pour convaincre de la nécessité d'intervenir n'ont pas été vains et l'échec de la commission mixte paritaire a eu pour effet d'obliger le Gouvernement à revenir vers le Parlement avec des pistes d'évolution .
Cependant, les réponses apportées par le Gouvernement restent imparfaites , notamment parce qu'elles ne permettent toujours pas de garantir à l'utilisateur une indemnisation en cas de fuite de ses données et surtout de fraude.
Au stade de la nouvelle lecture et alors que l'examen du projet de loi s'achèvera très prochainement , votre rapporteur entend interpeller le Gouvernement , sans proposer au stade de la commission de rétablir l'article 1 er ter A, sur ces différents points en séance publique . Il souhaite ainsi lui faire préciser ses engagements , dans la perspective d'assurer la protection des consommateurs , les mesures proposées au niveau national constituant une « première étape » encore insuffisante dans l'attente d'une solution européenne.
* 1 Discours de Mme Delphine Gény-Stephann, secrétaire d'État auprès du ministre de l'économie et des finances lors de la séance du 22 mars 2018 au Sénat, dans le cadre de la discussion générale du projet de loi.
* 2 Première séance du 5 juillet 2018 à l'Assemblée nationale.