Rapport d'information n° 345 (2017-2018) de M. Jean-François RAPIN , fait au nom de la commission des affaires européennes, déposé le 8 mars 2018
Disponible au format PDF (639 Koctets)
-
AVANT-PROPOS
-
I. LA DIRECTIVE : SÉCURISER LES PAIEMENTS ET
LES DONNÉES À CARACTÈRE PERSONNEL TOUT EN
AMÉLIORANT L'INFORMATION DES CONSOMMATEURS SUR LEUR SITUATION
FINANCIÈRE
-
A. UN CADRE D'EXERCICE POUR LES SERVICES DE PAIEMENT
TIERS
-
B. LA RÉVISION DES CONDITIONS
D'AGRÉMENT ET D'EXERCICE DES SERVICES DE PAIEMENT
-
C. LA SURVEILLANCE PRUDENTIELLE COORDONNÉE
DES ÉTABLISSEMENTS DE PAIEMENT
-
D. LE RENFORCEMENT DES EXIGENCES DE
SÉCURITÉ DES DONNÉES
-
E. LA PROTECTION DES DONNÉES À
CARACTÈRE PERSONNEL DES CLIENTS
-
F. L'AMÉLIORATION DE LA PROTECTION DES
CLIENTS EN CAS DE FRAUDE AU PAIEMENT
-
A. UN CADRE D'EXERCICE POUR LES SERVICES DE PAIEMENT
TIERS
-
II. L'ORDONNANCE DE TRANSPOSITION : UN
EXERCICE RIGOUREUX
-
A. L'INTRODUCTION DES NOUVEAUX SERVICES DE PAIEMENT
DANS LE CODE MONÉTAIRE ET FINANCIER
-
B. L'AMÉLIORATION DES DROITS DES TITULAIRES
DE COMPTE EN CAS D'UTILISATION FRAUDULEUSE DE LEUR CARTE PAR UN TIERS
-
C. L'EXPLOITATION DE QUELQUES FACULTÉS
PRÉVUES PAR LA DIRECTIVE
-
D. L'OPPORTUNITÉ D'UNE EXTENSION AUX COMPTES
D'ÉPARGNE DU SERVICE D'INFORMATION SUR LES COMPTES
-
A. L'INTRODUCTION DES NOUVEAUX SERVICES DE PAIEMENT
DANS LE CODE MONÉTAIRE ET FINANCIER
-
I. LA DIRECTIVE : SÉCURISER LES PAIEMENTS ET
LES DONNÉES À CARACTÈRE PERSONNEL TOUT EN
AMÉLIORANT L'INFORMATION DES CONSOMMATEURS SUR LEUR SITUATION
FINANCIÈRE
-
EXAMEN EN COMMISSION
-
OBSERVATIONS
N° 345
SÉNAT
SESSION ORDINAIRE DE 2017-2018
|
Enregistré à la Présidence du Sénat le 8 mars 2018 |
RAPPORT D'INFORMATION
FAIT
au nom de la commission des affaires européennes (1) sur le projet de loi, adopté par l'Assemblée nationale après engagement de la procédure accélérée, ratifiant l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (n° 292, 2017-2018),
Par M. Jean-François RAPIN,
Sénateur
|
(1) Cette commission est composée de : M. Jean Bizet, président ; MM. Philippe Bonnecarrère, André Gattolin, Mmes Véronique Guillotin, Fabienne Keller, M. Didier Marie, Mme Colette Mélot, MM. Pierre Ouzoulias, Cyril Pellevat, André Reichardt, Simon Sutour, vice-présidents ; M. Benoît Huré, Mme Gisèle Jourda, MM. Pierre Médevielle, Jean-François Rapin, secrétaires ; MM. Pascal Allizard, Jacques Bigot, Yannick Botrel, Pierre Cuypers, René Danesi, Mme Nicole Duranton, MM. Thierry Foucaud, Christophe-André Frassa, Mme Joëlle Garriaud-Maylam, M. Daniel Gremillet, Mme Pascale Gruny, Laurence Harribey, M. Claude Haut, Mmes Christine Herzog, Sophie Joissains, MM. Guy-Dominique Kennel, Claude Kern, Jean-Yves Leconte, Jean-Pierre Leleux, Mme Anne-Catherine Loisier, MM. Franck Menonville, Jean-Marie Mizzon, Georges Patient, Michel Raison, Claude Raynal, Mme Sylvie Robert. |
AVANT-PROPOS
La deuxième directive sur les services de paiement 1 ( * ) dite « DSP2 » entend favoriser l'innovation, la concurrence, l'efficience et la sécurité des services de paiement fournis au sein de l'Union européenne afin d'élargir et d'améliorer les choix des consommateurs.
La commission des affaires européennes a examiné les conditions dans lesquelles l'ordonnance du 9 août 2017 2 ( * ) , actuellement soumise au Sénat aux fins de ratification 3 ( * ) , a procédé à la transposition de cette directive, et plus particulièrement dans quelle mesure les modifications et compléments qu'elle a apportés à cet effet au code monétaire et financier sont susceptibles de comprendre des éléments de sur-transposition.
La sur-transposition des textes européens par les États membres peut en effet nuire au bon fonctionnement du marché intérieur et pénaliser ce faisant les consommateurs. De nature à générer une surcharge administrative et des coûts supplémentaires pour les entreprises, elle est en outre susceptible de nuire à leur efficacité concurrentielle.
Cette problématique préoccupe à juste titre la Commission européenne 4 ( * ) tout comme le Gouvernement français 5 ( * ) . Celui-ci s'est ainsi engagé à limiter le nombre de normes, notamment lors de la transposition du droit européen en droit interne 6 ( * ) et entend examiner le droit en vigueur pour identifier et évaluer les sur-transpositions existantes.
De son côté, la commission des affaires européennes a engagé en janvier 2018, conjointement avec la délégation aux entreprises, une démarche de recensement auprès des entreprises des sur-transpositions qu'elles estiment pénalisantes pour l'exercice de leurs activités 7 ( * ) .
La Conférence des Présidents a en outre confié à la commission des affaires européennes, le 21 février dernier, à titre expérimental, une mission de veille sur l'intégration des normes européennes en droit interne afin notamment d'informer le Sénat sur d'éventuelles sur-transpositions. C'est dans cette optique que la commission des affaires européennes a examiné ce projet de loi sur les services de paiement et a formulé quelques observations.
I. LA DIRECTIVE : SÉCURISER LES PAIEMENTS ET LES DONNÉES À CARACTÈRE PERSONNEL TOUT EN AMÉLIORANT L'INFORMATION DES CONSOMMATEURS SUR LEUR SITUATION FINANCIÈRE
La directive, qui se substitue à la directive dite « DSP1 » qu'elle abroge, révise les conditions d'agrément et d'exercice des services de paiement fournis par les banques et les autres établissements de paiement (versements ou retrait d'espèces, prélèvements, opérations de paiement effectuées avec une carte, virements ou transmissions de fonds ), renforce les exigences de sécurité et de protection des données ainsi que les droits des utilisateurs des services de paiement.
Elle encadre en outre les services de paiement dits tiers, services de paiement connexes innovants dont les fournisseurs sont des sociétés de technologie financière (les « FinTech ») qu'elle désigne sous l'appellation de prestataires de services de paiement tiers (« PSP tiers » ).
Sans entrer dans le détail de la directive, il convient de rappeler qu'elle fixe le cadre d'agrément, d'exercice et de contrôle des services de paiement tiers, révise les conditions d'agrément des établissements de paiement, renforce leur supervision prudentielle et les exigences de sécurité des données ainsi que la protection des données à caractère personnel des clients et leurs droits en cas de fraude au paiement.
A. UN CADRE D'EXERCICE POUR LES SERVICES DE PAIEMENT TIERS
Les services de paiement tiers qu'ajoute la directive sont de deux ordres :
- le service d'initiation de paiement (SIP), qui initie les paiements à la demande et pour le compte de clients à partir des comptes de paiement que ceux-ci détiennent auprès de prestataires de services de paiement : il donne au commerçant l'assurance que le paiement a été initié, ce qui lui permet de livrer les biens ou de fournir les services sans délai ;
- le service d'information sur les comptes (SIC), qui donne au client une vue agrégée d'ensemble sur ses comptes et soldes disponibles.
La directive encadre ces services de paiement tiers et prévoit des conditions d'agrément et d'enregistrement tenant compte de leurs différences de nature (articles 11.1 et 33.1). Elle prévoit des règles dérogatoires en matière de fonds propres, dans la mesure où ces prestataires ne détiennent pas les fonds des clients, mais leur impose de souscrire une assurance de responsabilité civile professionnelle couvrant les territoires où ils proposent des services, ou une garantie comparable.
Afin que ces prestataires puissent avoir matériellement accès aux informations utiles auprès des établissements de crédit, la directive impose aux gestionnaires des comptes des obligations de communication d'informations qui devraient entrer en vigueur dix-huit mois après la publication du règlement dérivé de la Commission concernant les normes techniques d'interfaçage.
B. LA RÉVISION DES CONDITIONS D'AGRÉMENT ET D'EXERCICE DES SERVICES DE PAIEMENT
La directive fixe les conditions d'octroi et de retrait d'agrément des prestataires de services de paiement ainsi que les conditions d'exercice de ces services.
Elle reprend largement à cet égard la directive précédente 8 ( * ) et la complète, en particulier les conditions de délivrance des agréments. Elle révise également le capital initial minimum, prévoit un contrôle de l'actionnariat en cas de cession d'une participation qualifiée, fixe le mode calcul des fonds propres, définit les exigences de protection des fonds reçus des utilisateurs des services de paiement ou d'autres prestataires de services de paiement et précise les règles comptables applicables.
Elle définit en outre les activités complémentaires que les établissements de paiement sont autorisés à exercer et encadre l'externalisation de leurs activités.
C. LA SURVEILLANCE PRUDENTIELLE COORDONNÉE DES ÉTABLISSEMENTS DE PAIEMENT
La directive précise par ailleurs les modalités de surveillance prudentielle des établissements de paiement et organise les échanges d'informations entre les autorités nationales compétentes pour cette surveillance. Pour faciliter la coordination et renforcer la réactivité de la surveillance transfrontalière, elle laisse la possibilité aux États membres d'exiger des établissements de paiement exerçant sur leur territoire en vertu du droit d'établissement qu'ils désignent un point de contact central sur leur territoire.
Par ailleurs, elle instaure un système de règlement des différends entre les autorités nationales de supervision et leur ouvre la possibilité de demander l'assistance de l'Autorité bancaire européenne (ABE).
Enfin, elle étend les pouvoirs des États membres d'accueil en cas de non-conformité des établissements de paiement aux règles générales s'imposant à eux.
D. LE RENFORCEMENT DES EXIGENCES DE SÉCURITÉ DES DONNÉES
La directive prévoit des normes techniques de sécurité exigeantes comme l'« authentification forte » des clients, qui combine plusieurs éléments d'authentification afin de mieux protéger les consommateurs lorsqu'ils effectuent des paiements ou des transactions électroniques, par exemple dans le cadre de l'utilisation des services de banque en ligne ou lors d'achats en ligne.
Sauf dérogation, les prestataires de services de paiement devront prouver qu'ils ont mis en oeuvre, testé et vérifié ces mesures de sécurité.
E. LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL DES CLIENTS
Les données à caractère personnel sont strictement protégées 9 ( * ) . L'accès à ces données, leur utilisation et leur traitement ne sont en effet possibles qu'avec l'autorisation expresse préalable du client. Les prestataires de services de paiement tiers ne peuvent donc pas accéder à des données du compte de paiement autres que celles qui ont fait l'objet d'une telle autorisation.
En outre, une fois que des interfaces de programme sécurisées 10 ( * ) auront été mises en place par les établissements de paiement, ces prestataires ne devraient plus pouvoir accéder aux données du client par le recours aux techniques de capture de données d'écran (« screen scraping »), qui utilisent les données de sécurité communiquées par le client du client et qu'elles pratiquent actuellement. Outre qu'elle impose une ressaisie fastidieuse des données, cette technique est peu sécurisée car elle donne accès à l'état des comptes sans véritable traçabilité ni encadrement, sans compter l'incertitude quant au régime de responsabilité afférent en cas de détournement des données.
F. L'AMÉLIORATION DE LA PROTECTION DES CLIENTS EN CAS DE FRAUDE AU PAIEMENT
La directive prévoit notamment qu'en cas d'opération de paiement frauduleuse, le consommateur pourra prétendre à un remboursement intégral. Elle impose en effet au prestataire de services de paiement du payeur de lui rembourser le montant de l'opération de paiement non autorisée immédiatement après avoir pris connaissance de celle-ci et, au plus tard, à la fin du premier jour ouvrable suivant. Bien entendu cette obligation ne s'applique pas si le prestataire soupçonne le payeur de fraude, auquel cas il est tenu d'en informer l'autorité nationale compétente.
En cas d'utilisation frauduleuse d'un instrument de paiement à la suite de sa perte ou d'un vol, le prestataire de services de paiement ne peut plus dorénavant laisser à la charge de l'utilisateur que les 50 premiers euros de perte, contre 150 euros actuellement.
Par ailleurs, afin d'accélérer et de faciliter le traitement des incidents, les établissements de paiement doivent mettre en place une procédure de réclamation que les consommateurs peuvent suivre avant l'engagement d'une procédure de règlement extrajudiciaire ou judiciaire.
Il est à noter que si les commerçants eux-mêmes n'entrent pas dans le champ d'application de ces normes, il leur appartient en revanche de s'entendre avec leurs prestataires de services de paiement sur la manière d'atteindre l'objectif de réduction de la fraude.
II. L'ORDONNANCE DE TRANSPOSITION : UN EXERCICE RIGOUREUX
Prise sur le fondement de l'habilitation donnée par l'article 70 de la loi du 9 décembre 2016 dite « Sapin 2 » 11 ( * ) , l'ordonnance du 9 août 2017 modifie le code monétaire et financier pour transposer la nouvelle directive sur les services de paiement. Celle-ci définissant très précisément les mesures qui doivent être reprises dans les législations nationales, la transposition est fortement encadrée. Quelques aménagements nationaux sont toutefois autorisés.
Les dispositions figurant dans la directive précédente avaient d'ores et déjà été transposées en droit interne, ce qui conduit alors à ne modifier qu'à la marge le code monétaire et financier. D'autres les complètent substantiellement ou sont totalement nouvelles, ce qui se traduit par l'insertion d'articles additionnels, voire, par exemple pour les prestataires de services de paiement tiers, de dispositifs complets entièrement nouveaux. Enfin, l'ordonnance n'a retenu qu'un petit nombre des facultés ouvertes aux États membres.
A. L'INTRODUCTION DES NOUVEAUX SERVICES DE PAIEMENT DANS LE CODE MONÉTAIRE ET FINANCIER
L'article 6 de l'ordonnance complète l'article L. 314-1 du code monétaire et financier, qui établit la liste des services de paiement 12 ( * ) , pour y ajouter les deux nouveaux services créés par la directive. Il précise que le service d'initiation de paiement peut être fourni par les établissements de crédit, les établissements de monnaie électronique et les établissements de paiement, tandis que le service d'information sur les comptes est exclusivement exercé par des prestataires de services d'information sur les comptes.
Le régime prudentiel auquel sont soumis ces services est dérogatoire. Le risque associé à leur fourniture présente en effet un caractère modéré en l'absence de détention de fonds par leurs prestataires. Ceux-ci n'ont ainsi pas à justifier d'un capital initial minimum ni, pour les prestataires de services d'information sur les comptes, de fonds propres. Leurs obligations en matière de lutte contre le blanchiment et le financement du terrorisme sont également adaptées à la nature du service fourni, de même que leurs obligations d'information des clients.
L'ordonnance précise, conformément à la directive, que les établissements de paiement qui fournissent le service d'initiation de paiement doivent disposer au moment de l'agrément d'une assurance de responsabilité civile professionnelle couvrant les territoires où ils proposent des services ou d'une autre garantie comparable contre l'engagement de leur responsabilité 13 ( * ) .
Quant aux conditions d'enregistrement et de radiation des prestataires de services d'information sur les comptes reprises de la directive, elles figurent dans une sous-section nouvelle du code monétaire et financier 14 ( * ) . Ces prestataires doivent également disposer au moment de l'agrément d'une assurance de responsabilité civile professionnelle couvrant les territoires où ils proposent des services ou d'une autre garantie comparable contre l'engagement de leur responsabilité, vis-à-vis du prestataire de services de paiement gestionnaire du compte ou du client, à la suite d'un accès non autorisé ou frauduleux aux données des comptes de paiement ou d'une utilisation non autorisée ou frauduleuse de ces données 15 ( * ) .
B. L'AMÉLIORATION DES DROITS DES TITULAIRES DE COMPTE EN CAS D'UTILISATION FRAUDULEUSE DE LEUR CARTE PAR UN TIERS
Des dispositions nouvelles, reprises de la directive, sont introduites au chapitre III du titre III du livre Ier du code monétaire et financier pour renforcer les droits des utilisateurs des services de paiement, en particulier l'abaissement de 150 à 50 euros de la franchise en cas paiements non autorisés, c'est-à-dire consécutif à un vol, une perte ou un détournement de l'instrument de paiement, sauf fraude du payeur 16 ( * ) .
C. L'EXPLOITATION DE QUELQUES FACULTÉS PRÉVUES PAR LA DIRECTIVE
Sous condition de notification à la Commission européenne avant le 13 janvier 2018 17 ( * ) , la directive ouvre des marges de liberté aux États membres, en particulier pour alléger les conditions d'agrément et d'exercice des petits établissements de paiement. À l'inverse, elle les autorise à obliger les établissements agréés dans un autre État membre qui opèrent sur leur territoire à désigner un point de contact chez eux.
Les quelques aménagements mis en oeuvre par l'ordonnance, conformément aux facultés ouvertes par la directive, apparaissent justifiées.
1. Une procédure et des conditions allégées pour les petits établissements de paiement
L'article 32.1 de la directive autorise les États membres à exempter ou autoriser leurs autorités compétentes à exempter de tout ou partie de la procédure ou de certaines des conditions qu'elle prévoit, les prestataires de services de paiement dont la moyenne mensuelle de la valeur totale des opérations de paiement est inférieure à 3 millions d'euros.
L'article L. 526-19-I du code monétaire et financier, tel que modifié par l'article 16, 6° de l'ordonnance, prévoit ainsi une procédure simplifiée d'agrément pour les établissements de monnaie électronique dont les opérations de paiement n'excèdent pas une moyenne mensuelle totale dont le montant sera fixé à ce niveau par décret et maintient à leur égard un niveau moins élevé d'exigences prudentielles.
La procédure simplifié d'agrément ainsi retenue pour les petits établissements de monnaie électronique est de nature à alléger les contraintes administratives auxquelles sont soumis ces établissements sans faire peser un risque supplémentaire sur la sécurité des transactions et des fonds des clients.
2. La mise en place d'un point de contact central pour les établissements de paiement agréés dans un autre État membre ayant recours en France à des succursales ou à des agents en libre établissement
En matière de supervision des activités transfrontalières, l'article 13 de l'ordonnance remplace l'article L. 522-13 du code monétaire et financier et fait usage de la faculté ouverte par le paragraphe 4 de l'article 29 de la directive pour imposer la désignation d'un point de contact central à tous les établissements de paiement agréés dans un autre État membre qui ont recours en France à des agents en libre établissement ou à des succursales.
La mise en place d'un point de contact national devrait faciliter la supervision prudentielle et la sécurité des opérations de paiement exécutées sur le territoire national pour le compte de résidents français, sans entraver la possibilité pour ces derniers de faire appel à des agents ou à des succursales établis en France par des entreprises de paiement agréées dans un autre État de l'Union. Il s'agit en effet ce faisant d'assurer une bonne communication et une bonne information sur la conformité et de faciliter la surveillance exercée par l'Autorité de contrôle prudentiel et de résolution (ACPR) dont le point de contact sera l'interlocuteur 18 ( * ) . Il est à noter par ailleurs que l'ACPR peut désormais prendre des mesures conservatoires en cas d'urgence à l'égard d'établissements agréés dans un autre État membre.
D. L'OPPORTUNITÉ D'UNE EXTENSION AUX COMPTES D'ÉPARGNE DU SERVICE D'INFORMATION SUR LES COMPTES
La directive concerne le marché intérieur des paiements et les services de paiement. Elle ne couvre donc pas l'information sur des comptes autres que les comptes de paiement, en particulier les comptes d'épargne. De ce fait, l'obligation de mise en place par les banques d'une interface d'échange de données, imposée par la directive, ne s'applique que pour les comptes de paiement.
Or les comptes d'épargne constituent la part la plus importante de la situation financière des personnes physiques, motif pour lequel les prestataires de services d'information sur les comptes souhaiteraient que l'obligation d'interfaçage puisse s'appliquer à ces comptes afin de pouvoir fournir à leurs clients une vision agrégée exhaustive de leur situation financière.
La commission des finances de l'Assemblée nationale a examiné un amendement en ce sens proposé par l'un de ses vice-présidents, le député Jean-Noël Barrot, qui a notamment fait valoir que les prestataires de services d'information sur les comptes agrégeaient d'ores et déjà ces données grâce au scraping . Il a estimé que cet élargissement permettrait de répondre aux attentes des consommateurs et de réduire l'incertitude actuelle quant au régime de responsabilité applicable. Des applications téléchargeables sur les téléphones portables existent en effet déjà, qui demandent aux clients leurs identifiants afin d'aspirer les données financières personnelles de leurs comptes d'épargne.
Cette extension n'étant pas prévue par la directive, l'amendement a finalement été retiré, après que la rapporteure a fait observer qu'il n'était pas opportun de s'engager dans la voie de l'élargissement des règles que l'ordonnance transpose aux comptes de paiement au moment où le Gouvernement avait annoncé qu'il évaluait les mesures de transposition du droit européen allant au-delà de ce qui est nécessaire à son application. Sur le fond, elle a estimé que la démarche méritait une évaluation préalable et surtout une approche européenne 19 ( * ) . À nouveau déposé en séance publique et cosigné par le député Jean-Louis Boulanges, cet amendement n'a finalement pas été soutenu et n'a donc pas fait l'objet d'une discussion dans l'hémicycle.
Cette extension du champ de la directive mérite examen, car elle peut, à certains égards, être qualifiée de sur-transposition de la directive. Pour autant l'opportunité de cette extension mérite examen dans la mesure où elle permettrait de traiter l'existant, répondrait aux attentes des consommateurs et ouvrirait aux sociétés de technologie financière, - les « Fintech » -, qui se sont engagées dans la fourniture de ce service étendu, la possibilité de développer leurs activités.
La communication par les clients à ces prestataires de leurs données de connexion à leurs comptes d'épargne s'effectue actuellement sans qu'une protection suffisante des consommateurs, tant en matière de sécurité technique que de responsabilité de ces sociétés vis-à-vis des banques et des clients en cas d'utilisation frauduleuse des données de connexion.
Des mesures d'encadrement technique propre à garantir la sécurité des accès à ses comptes ainsi qu'un régime de responsabilité et d'assurance adapté devraient donc être définis sans tarder. La question de l'ouverture des interfaces mises en place par les établissements de crédit dans le cadre de la directive doit également être examinée, en particulier la prise en charge des coûts afférents.
Pour tous ces motifs, la commission estime que les conditions, les modalités et les conséquences de l'extension de l'agrégation d'informations aux comptes d'épargne devraient rapidement faire l'objet d'un examen approfondi au niveau européen.
EXAMEN EN COMMISSION
La commission des affaires européennes s'est réunie le jeudi 8 mars 2018 pour l'examen du présent rapport. À l'issue de la présentation faite par M. Jean-François Rapin, le débat suivant s'est engagé :
M. André Gattolin . - Un mot sur le « cash back » qui permet de se faire rembourser en espèces un bien réglé par carte au moment où on le restitue. Cette pratique me semble ouvrir un vrai risque alors que l'on s'efforce de limiter les transactions en espèces pour réduire la fraude.
M. Jean-François Rapin . - Dans les zones rurales, les commerçants ont la faculté d'encaisser une prestation de carte bancaire et de remettre du numéraire en contrepartie. Cette pratique est utile lorsqu'il n'y a pas de distributeur automatique de billets et me paraît en l'état correctement encadrée.
*
À l'issue du débat, la commission des affaires européennes a, à l'unanimité, autorisé la publication du rapport d'information et adopté les observations dans la rédaction suivante :
OBSERVATIONS
La directive (UE) 2015/2366 concernant les services de paiement vise à favoriser l'innovation, la concurrence, l'efficience et la sécurité des services de paiement fournis au sein de l'Union européenne afin d'élargir et d'améliorer les choix des consommateurs et de faciliter les achats en ligne.
Plus particulièrement,
- elle complète les conditions d'octroi et de retrait d'agrément des prestataires de services de paiement ainsi que les conditions d'exercice de ces services définies par la directive 2007/64/CE du 13 novembre 2007 concernant les services de paiement dans le marché intérieur à laquelle elle se substitue ;
- elle créée et encadre les services de paiement tiers en matière d'initiation de paiement (SIP) et d'information sur les comptes (SIC) ;
- elle fixe le mode calcul des fonds propres et renforce les exigences de protection des fonds reçus des utilisateurs des services de paiement ou d'autres prestataires de services de paiement ;
- elle précise les activités complémentaires que les établissements de paiement sont autorisés à exercer et encadre l'externalisation de leurs activités ;
- elle renforce les modalités de surveillance prudentielle des établissements de paiement en organisant les échanges d'informations entre les autorités nationales compétentes, en instaurant un système de règlement des différends entre les autorités nationales de supervision et en leur ouvrant la possibilité de demander l'assistance de l'Autorité bancaire européenne (ABE) ;
- elle étend les pouvoirs des États membres d'accueil en cas de non-conformité des établissements de paiement aux règles générales s'imposant à eux ;
- elle renforce les exigences de sécurité des données en prévoyant des normes techniques exigeantes comme l'« authentification forte » des clients qui combine plusieurs éléments d'authentification afin de mieux protéger les consommateurs lorsqu'ils effectuent des paiements ou des transactions électroniques ;
- elle renforce la protection des données à caractère personnel en soumettant tout accès, utilisation ou traitement à l'autorisation expresse préalable de la personne, et le respect des droits prévus par le règlement général sur la protection des données à caractère personnel ;
- elle renforce les droits des utilisateurs : en particulier elle réduit de 150 euros à 50 euros le laisser à charge en cas de perte occasionnées par l'utilisation frauduleuse d'une carte de paiement par un tiers et prévoit une procédure de réclamation au sein des établissements de paiement avant l'engagement d'une procédure de règlement extrajudiciaire ou judiciaire.
Vu l'article 288 du Traité sur le fonctionnement de l'Union européenne,
Vu la directive (UE) 2015/2366 du Parlement et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur,
Vu l'article 70 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique,
Vu le projet de loi ratifiant l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive (UE) 2015/2366 du Parlement et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur,
Vu l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive (UE) 2015/2366 du Parlement et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur,
La commission des affaires européennes fait les observations suivantes :
Sur la transposition de la directive par l'ordonnance :
- elle constate que l'ordonnance du 9 août 2017 a pour objet d'insérer dans le code monétaire et financier les dispositions et modifications législatives nécessaires à la transposition de la directive (UE) 2015/2366, conformément à l'habilitation donnée au Gouvernement par l'article 70 de la loi n° 2016-1691 ;
- elle relève que ces dispositions et modifications sont rédigées dans le respect de l'objectif de développement du marché intérieur intégré des paiements électroniques sûrs fixé par la directive et en conformité avec le cadre très précis qu'elle définit pour la prestation de services de paiement dans le marché intérieur ;
Sur l'allégement des obligations des petits établissements de monnaie électronique :
- elle constate que l'article 16, 6° de l'ordonnance remplace les dispositions de l'article L. 526-19-I du code monétaire et financier pour alléger les contraintes administratives pesant sur les petits établissements de monnaie électronique, ainsi l'autorise l'article 32-1 de la directive qui prévoit que les États membres peuvent exempter ou autoriser leurs autorités compétentes à exempter les prestataires de ces services de tout ou partie de de la procédure ou de certaines des conditions qu'elle prévoit dès lors que le volume total mensuel d'opérations de paiement est inférieur à 3 millions d'euros ;
- elle considère que ce régime dérogatoire est de nature à alléger les contraintes administratives auxquelles sont soumis ces établissements sans faire peser un risque supplémentaire sur la sécurité des transactions et des fonds des clients ;
Sur la création de points de contact sur le territoire français :
- elle constate également que l'article 13 de l'ordonnance remplace l'article L. 522-13 du code monétaire et financier pour faire usage de la faculté ouverte par le paragraphe 4 de l'article 29 de la directive pour imposer la désignation d'un point de contact central aux établissements de paiement qui créent une succursale en France ou y ont recours à des agents en libre établissement ;
- elle considère que la mise en place d'un point de contact national est de nature à faciliter la supervision prudentielle et la sécurité des opérations de paiement exécutées sur le territoire français par des succursales ou agents d'entreprises de paiement agréées dans un autre État membre, sans entraver la libre prestation de services de paiement ;
Sur le périmètre des comptes dont les informations sont susceptibles d'être agrégées :
- elle observe que la directive encadre le service d'information sur les comptes de paiement mais pas l'agrégation d'informations sur les comptes d'épargne pourtant proposée actuellement ;
- elle constate que l'ordonnance ne prévoit pas non plus d'encadrer l'agrégation d'informations sur les comptes d'épargne ;
- elle estime que l'agrégation d'informations sur les comptes d'épargne telle que pratiquée actuellement présente des risques pour la sécurité des données de connexion et des incertitudes quant au régime de responsabilité applicable en cas de détournement de ces données ;
- elle constate que l'agrégation d'informations sur les comptes de paiement et les comptes d'épargne répond aux attentes des consommateurs et ouvre de nouvelles opportunités aux entreprises de technologie financière ;
- elle considère en conséquence que l'opportunité et les conditions d'un encadrement de l'agrégation d'informations sur les comptes d'épargne devraient rapidement faire l'objet d'un examen approfondi au niveau européen.
* 1 Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.
* 2 Prise par le Gouvernement dans le cadre de l'habilitation qui lui a été donnée par l'article 70 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (dite loi «Sapin II »).
* 3 Par le projet de loi, adopté par l'Assemblée nationale le 30 janvier 2018, ratifiant l'ordonnance n° 2017-1252 du °août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.
* 4 Voir notamment la communication au Conseil COM 2010/543 du 8 octobre 2010 « Une réglementation intelligente au sein de l'Union européenne ».
* 5 Voir notamment l'étude du Conseil d'État, « Directives européennes : anticiper pour mieux transposer » (2015).
* 6 Circulaire du Premier ministre du 26 juillet 2017 qui pose notamment que « toute mesure allant au-delà des exigences de la directive est en principe proscrite ».
* 7 Une plateforme de consultation a été mise en place, dans un premier temps à l'occasion de l'examen du projet de loi pour un État au service d'une société de confiance adopté par l'Assemblée nationale le 30 janvier 2018. La présidente de la délégation aux entreprises et le président de la commission des affaires européennes ont présenté une communication sur les réponses reçues lors d'une réunion commune le 8 mars 2018.
* 8 Directive 2007/64/CE du 13 novembre 2007 concernant les services de paiement dans le marché intérieur.
* 9 Y compris le droit d'accès et le droit à l'oubli, conformément au Règlement général de protection des données personnelles (RGPDP).
* 10 Ou API (pour « application programming interface »).
* 11 Loi n°2016-1691 du 9 décembre 2016 sur la transparence, la lutte contre la corruption et la modernisation de la vie économique.
* 12 Il s'agit de :
- l'exécution d'opérations de paiement associées à un compte telles que virement, prélèvement, paiement par carte ou par tout autre dispositif numérique ou de télécommunications ;
- la gestion de comptes dédiés à la réalisation d'opérations de paiement ;
- l'octroi de crédit, tant qu'il demeure accessoire à une opération de paiement ;
- les services de transmission de fonds, d'émission d'instruments de paiement ou encore l'acquisition d'ordres de paiement.
* 13 Art. L. 122-7-1, I du code monétaire et financier introduit par l'article 13 de l'ordonnance.
* 14 L'article 13 de l'ordonnance insère notamment une nouvelle sous-section après l'article L. 522-11-1 du code monétaire et financier.
* 15 Art. L. 122-7-1, II du code monétaire et financier.
* 16 Art. 2 de l'ordonnance modifiant l'article L. 133-19 du code monétaire et financier en application de l'article 74 de la directive.
* 17 Art. 34 de la directive.
* 18 Art. L. 522-13-II du code monétaire et financier modifié par l'article 13 de l'ordonnance.
* 19 Commission des finances, de l'économie générale et du contrôle budgétaire, compte rendu n° 65 de la réunion du m ercredi 31 janvier 2018 .