Projet de loi ratifiant l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur

EXAMEN DES ARTICLES

ARTICLE 1er - Ratification de l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 concernant les services de paiement dans le marché intérieur

. Commentaire : le présent article prévoit de ratifier l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.

I. LE DROIT EXISTANT

Certaines activités sont réservées aux établissements de crédit, constituant ainsi ce qu'il est convenu d'appeler un « monopole bancaire » , dont la violation est sanctionnée pénalement ^{42 ( * )} .

Historiquement, le « monopole bancaire » réservait quatre principales activités aux établissements de crédit :

- la réception des dépôts et autres fonds remboursables du public ;

- les opérations de crédit ;

- la fourniture de services de paiement ^{43 ( * )} tels que le versement et le retrait d'espèces sur un compte de paiement, l'exécution des prélèvements, virements et opérations de paiement, etc. ;

- l'émission et la gestion de monnaie électronique , qui constitue un « substitut électronique aux pièces et billets de banques destiné à être utilisé pour effectuer des paiements » (par exemple, les cartes-cadeaux prépayées) et est de ce fait assimilée à des fonds, et non à un instrument de paiement ^{44 ( * )} .

Si les deux premiers volets conservent aujourd'hui toute leur force et se justifient pleinement par la nécessité de protéger les déposants contre les risques importants qu'implique la transformation bancaire ^{45 ( * )} , le monopole sur les services de paiement et la monnaie électronique est apparu disproportionné .

Aussi, deux principales directives européennes sont venues y mettre fin, dans le but de stimuler l'innovation et la concurrence, tout en faisant émerger un véritable « marché intérieur » des paiements :

- la directive sur les services de paiement (« DSP 1 ») du 13 novembre 2007 ^{46 ( * )} , transposée en 2009 ^{47 ( * )} ;

- la deuxième directive « monnaie électronique » (« DME 2 ») du 16 septembre 2009 ^{48 ( * )} , transposée en 2013 ^{49 ( * )} .

L'article L. 525-1 du code monétaire et financier autorise désormais non seulement les établissements de crédit mais aussi les établissements de monnaie électronique à émettre de la monnaie électronique. Ces deux acteurs, conjointement avec les établissements de paiement, sont par ailleurs autorisés par l'article L. 521-1 du code monétaire et financier à fournir des services de paiement - formant ainsi la catégorie des « prestataires de services de paiement ».

Deux nouveaux acteurs spécialisés ont ainsi été créés : les établissements de paiement (régis par le chapitre II du titre II du livre V du code monétaire et financier) et les établissements de monnaie électronique (régis par le chapitre VI du titre II du livre V du même code).

Soumis à des exigences proportionnées aux risques qu'emportent leurs activités, ils font l'objet d'une procédure d'agrément ^{50 ( * )} et sont placés sous le contrôle de l'Autorité de contrôle prudentiel et de résolution (ACPR). Pour délivrer l'agrément, l'ACPR vérifie par exemple que l'établissement dispose d'un capital initial suffisant, d'un niveau de fonds propres prudentiels cohérent avec les activités exercées ou encore d'une gouvernance et de procédures de contrôle des risques adaptées. Un agrément « simplifié » est prévu pour les établissements dont le montant prévisionnel d'opérations de paiement ou de monnaie électronique en circulation apparaît limité.

II. LE DISPOSITIF PROPOSÉ

Le présent article vise à ratifier l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, dite « DSP 2 ».

En application de l'article 70 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, l'ordonnance comporte :

- d'une part, des dispositions nécessaires à la transposition de la directive précitée ;

- d'autre part, des dispositions permettant de rendre applicables et d'adapter les dispositions pertinentes à l'outre-mer.

La directive « DSP 2 », qui comporte 116 articles, ayant pour objectif de refondre le paysage européen des paiements, l'ordonnance modifie un grand nombre de dispositions du code monétaire et financier , principalement au sein des quatre blocs suivants :

- le chapitre III (« Les règles applicables aux autres instruments de paiement ») du titre III du livre I ^er , qui régit principalement l'exécution des opérations de paiement, les relations entre parties en matière d'instruments de paiement et les responsabilités en cas d'opération de paiement non autorisée ;

- le chapitre IV (« Les services de paiement ») du titre I ^er du livre III ;

- le chapitre I ^er (« Les prestataires de services de paiement ») et le chapitre II (« Les établissements de paiement ») du titre II du livre V ;

- le chapitre V (« Les émetteurs de monnaie électronique ») et le chapitre VI (« Les établissements de monnaie électronique ») du titre II du livre V.

Les évolutions portées par la directive et transposées par l'ordonnance précitée procèdent de cinq principaux objectifs .

A. ÉTENDRE LE CHAMP D'APPLICATION DE LA DIRECTIVE

1. Une extension du champ territorial

La directive « DSP 1 » fixe pour principe général que les règles relatives aux services de paiement sont applicables aux services « fournis au sein de la Communauté ».

Toutefois, son article 2 précise que les dispositions imposant des exigences de transparence et d'information aux prestataires de services de paiement (titre III) et définissant les droits et les obligations liés à la prestation et à l'utilisation de services de paiement (titre IV) ne s'appliquent que lorsque deux conditions sont réunies :

- le prestataire du payeur et celui du bénéficiaire sont situés dans l'Union ;

- les services de paiement sont fournis en euros ou dans la devise d'un État membre en dehors de la zone euro.

Si l'article 2 de la directive « DSP 2 » reprend le principe général selon lequel ses dispositions sont applicables « aux services de paiement fournis au sein de l'Union », les règles protectrices prévues aux titres III et IV sont désormais partiellement applicables lorsque ces deux conditions ne sont pas réunies.

En effet, la plupart ^{51 ( * )} des dispositions des titres III et IV sont étendues aux opérations de paiement dans une devise qui n'est pas la devise d'un État membre « lorsque le prestataire du payeur et celui du bénéficiaire sont tous deux situés dans l'Union ». De façon plus restrictive ^{52 ( * )} , ces règles sont également étendues aux opérations de paiement effectuées dans toutes les devises lorsqu'un seul des prestataires de services de paiement est situé dans l'Union .

L'article L. 133-1 du code monétaire et financier est ainsi refondu par le 2° de l'article 2 de l'ordonnance, afin de tirer les conséquences de cette évolution.

L'extension du champ territorial de la directive se double d'une extension de son champ matériel.

2. Une extension du champ matériel

Sur le plan matériel, le champ d'application de la directive épouse logiquement les contours des notions de « compte de paiement » de « services de paiement » , fixés à l'article 4 et dans l'annexe I de la directive.

S'agissant des « comptes de paiement », les définitions européennes et nationales sont inchangées.

L'article 4 de la directive définit le compte de paiement comme un compte « qui est détenu au nom d'un ou de plusieurs utilisateurs de services de paiement et qui est utilisé aux fins de l'exécution d'opérations de paiement » ^{53 ( * )} .

En droit interne, relèvent de cette catégorie les comptes de dépôt à vue, les comptes ouverts par les établissements de paiement conformément à l'article L. 522-4 du code monétaire et financier (qui doivent « exclusivement » être utilisés pour des opérations de paiement) ainsi que tout autre compte répondant à la définition européenne, transposée à l'article L. 314-1 du même code. Concrètement, il s'agit donc de ce qui est communément désigné sous le vocable de « compte courant » .

En revanche, les comptes soumis à une réglementation particulière - notamment les comptes sur livret, les comptes à terme, les comptes d'instruments financiers et les comptes espèces qui y sont liés - sont expressément exclus de cette catégorie par une disposition réglementaire ^{54 ( * )} .

Il peut être observé que cette interprétation apparaît plus restrictive que celle retenue par la Commission européenne , qui a indiqué en 2008 que les comptes d'épargne « pour lesquels le détenteur peut placer et retirer des fonds sans aucune intervention ou accord de son prestataire de services de paiement devraient être considérés comme un compte de paiement au sens de la directive » - à l'inverse, par exemple, des comptes à terme ^{55 ( * )} .

Si la deuxième directive et l'ordonnance qui la transpose n'emportent aucune modification sur la définition des « comptes de paiement », les contours des « services de paiement » sont substantiellement modifiés.

Tirant les conséquences des évolutions intervenues au niveau européen, le 1° de l'article 6 de l'ordonnance refond ainsi la liste des services de paiement figurant à l'article L. 314-1 du code monétaire et financier.

En dehors de l'ajout de deux nouveaux services de paiement ^{56 ( * )} , qui a déjà été évoqué et fera l'objet de développements approfondis ci-après, l'extension du champ matériel de la directive se manifeste également par le resserrement des différents régimes d'exclusion .

En effet, un certain nombre d'activités qui devraient normalement relever de la catégorie des « services de paiement » bénéficiaient d'une exclusion du champ de la première directive .

Toutefois, face au constat d'une application du régime d'exclusion « au-delà de la portée » qu'il était censé avoir, alors même que son bénéfice « implique des risques plus importants et une absence de protection juridique pour les utilisateurs » ^{57 ( * )} , l'article 3 a fait l'objet d'une réécriture dans un sens plus restrictif à l'occasion de la deuxième directive.

Deux principales exclusions sont concernées.

Il s'agit tout d'abord de l'exclusion des « réseaux limités », applicable pour la fourniture de moyens de paiement utilisés au sein d'un réseau limité d'accepteurs ou pour l'acquisition d'un « éventail limité » de biens ou services (ex : cartes d'enseigne, titres-repas, etc.).

À cet égard, trois restrictions ont été apportées par la nouvelle directive.

- les instruments ne doivent pouvoir être utilisés que pour acquérir un éventail « très » limité de biens ou services ;

- les prestataires formant le réseau limité d'accepteurs doivent être « directement liés par un contrat commercial » à un émetteur ;

- il doit s'agir d'un émetteur « professionnel ».

Il peut néanmoins être observé qu'aucune de ces trois restrictions n'a fait l'objet d'une transposition dans le cadre de l'ordonnance.

S'agissant de la première restriction, le Gouvernement estime que l'ajout de l'adverbe « très », fruit d'un « compromis politique », serait « superfétatoire » d'un point de vue légistique. Si l'on ne peut que regretter qu'une formulation aussi ambiguë ait été retenue, il semble plus prudent de transposer ce terme , dans la mesure où il traduit manifestement une volonté politique et pourrait fournir une base légale à l'ACPR pour limiter les dérogations prises sur ce fondement. Votre commission a adopté un amendement à l'article 4 du présent projet de loi en ce sens .

S'agissant de la seconde restriction, le Gouvernement fait valoir, d'une part, que le 1° du I de l'article L. 521-3 du code monétaire et financier impose déjà que l'émetteur et les accepteurs soient liés par un accord commercial, et que, d'autre part, l'exigence d'un lien « direct » apparaît redondant.

Enfin, l'absence de transposition de l'exigence tenant à la nature « professionnelle » de l'émetteur se justifie par l'impossibilité d'en tirer les conséquences sur le périmètre de la dérogation. Ainsi que le relève le Gouvernement, « une activité d'émission d'instruments de paiement spécifiques ne sera examinée au regard de la qualification de fourniture de services de paiement que si l'activité présente un caractère de profession habituelle ; dès lors, en l'absence d'exercice de l'activité à titre de profession habituelle, la question de l'application ou non de cette dérogation ne se posera pas ».

En complément, l'exclusion dont bénéficient les opérations de paiement réalisées via un agent commercial est également restreinte .

Ainsi que le relève la directive, cette exclusion a fait l'objet d'une « application très divergente selon les États membres », certains permettant son utilisation « par des plates-formes de commerce électronique agissant en qualité d'intermédiaires pour le compte à la fois d'acheteurs et de vendeurs sans disposer d'une marge réelle pour négocier ou conclure l'achat ou la vente de produits ou de services » ^{58 ( * )} .

Aussi, la nouvelle rédaction figurant à l'article 3 de la directive et transposée à l'article L. 314-1 du code monétaire et financier réserve le bénéfice de l'exclusion aux seuls agents qui exercent leur activité uniquement auprès du vendeur ou de l'acheteur.

B. ENCADRER LES NOUVEAUX SERVICES D'INITIATION DE PAIEMENT ET D'INFORMATION SUR LES COMPTES

1. La reconnaissance de deux nouveaux services

Sur le fond, l'innovation majeure de la directive réside, ainsi que cela a été précédemment rappelé, dans la reconnaissance de deux nouveaux services de paiement jusqu'à présent non régulés et désormais inscrits aux 7° et 8° de l'article L. 314-1 du code monétaire et financier :

- le service d' initiation de paiement , qui consiste à « initier un ordre de paiement à la demande de l'utilisateur de services de paiement concernant un compte de paiement détenu auprès d'un autre prestataire de services de paiement » ^{59 ( * )} ;

- le service d' information sur les comptes , qui vise à « fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l'utilisateur de services de paiement soit auprès d'un autre prestataire de services de paiement, soit auprès de plus d'un prestataire de services de paiement » ^{60 ( * )} .

Le service d'initiation de paiement ne peut être fourni que par les acteurs existants , à savoir les établissements de crédit, les établissements de monnaie électronique et les établissements de paiement.

Si le service d'information sur les comptes peut également être fourni par ces trois acteurs, sa reconnaissance s'accompagne de la création de la catégorie des « prestataires de services d'information sur les comptes » (PSIC) , qui rejoint ainsi la liste des prestataires de services de paiement fixée à l'article L. 521-1 du code monétaire et financier.

Aux termes de l'article L. 522-1 du code monétaire et financier, les PSIC sont « les personnes physiques ou morales (...) qui fournissent à titre de profession habituelle le service d'information sur les comptes » ^{61 ( * )} . Contrairement aux établissements de paiement, les PSIC peuvent donc être des personnes physiques . L'exercice de leur activité est subordonné à une procédure d'enregistrement auprès de l'ACPR, et non à un agrément ^{62 ( * )} . En revanche, ils ne peuvent fournir aucun autre service de paiement ^{63 ( * )} .

Dans la mesure où ces nouveaux services n'impliquent pas de détenir de fonds, ils bénéficient tous deux d'un régime prudentiel allégé.

Pour obtenir leur agrément, les établissements de paiement qui fournissent le service d'initiation de paiement bénéficient d'une exigence minimum de capital réduite à 50 000 euros , tandis que les PSIC ne sont soumis à aucune exigence de capital ^{64 ( * )} .

Contrairement aux autres services de paiement, les deux nouveaux services ne sont pas pris en compte pour le calcul des exigences de fonds propres que les établissements de paiement sont tenus de respecter ^{65 ( * )} .

En revanche, la fourniture de ces deux nouveaux services est subordonnée à la souscription d'une assurance de responsabilité civile professionnelle ou d'une autre garantie comparable, afin de garantir la capacité des prestataires à faire face à leurs responsabilités en cas d'accès non autorisé ou d'utilisation frauduleuse ^{66 ( * )} .

Enfin, si la directive est muette sur ce point, les nouveaux services bénéficient également en droit interne de dispositions dérogatoires en matière de lutte contre le blanchiment et le financement du terrorisme .

En effet, l'article L. 561-2-3 du code monétaire et financier, issu de l'article 18 de l'ordonnance, exonère la fourniture du service d'information sur les comptes des obligations de lutte contre le blanchiment des capitaux et le financement du terrorisme. Une mesure réglementaire est par ailleurs venue ajouter en droit interne le service d'initiation de paiement à la liste ^{67 ( * )} des opérations présentant un « risque faible », pour lesquelles le professionnel n'est soumis à aucune contrainte de vigilance.

2. L'encadrement des relations entre ces nouveaux acteurs et les gestionnaires de comptes de paiement

La reconnaissance de ces deux nouveaux services s'accompagne de mesures visant à encadrer les relations entre les prestataires tiers et les gestionnaires de comptes , qui sont rassemblées au sein d'une nouvelle section du code monétaire et financier (« Modalités d'accès aux comptes de paiement », section 13 du chapitre III du titre III du livre 1 ^er ).

Est tout d'abord consacrée la liberté pour l'utilisateur d'accéder aux données de ses comptes de paiement et d'initier un paiement en s'adressant au prestataire de son choix ^{68 ( * )} .

Afin de garantir l'effectivité du libre choix laissé à l'utilisateur, les gestionnaires de comptes sont soumis à un principe de non-discrimination ^{69 ( * )} vis-à-vis des nouveaux prestataires de services de paiement. En outre, ils ne peuvent subordonner la fourniture des nouveaux services à l'existence de relations contractuelles ^{70 ( * )} avec les prestataires tiers.

En contrepartie, les prestataires de services de paiement fournissant les deux nouveaux services sont tenus de respecter différentes obligations tant vis-à-vis de l'utilisateur que du gestionnaire de compte, en particulier ^{71 ( * )} :

- recueillir le consentement exprès de l'utilisateur ;

- accéder, consulter et stocker uniquement les informations et données nécessaires à la fourniture du service ;

- veiller à la sécurité des données de sécurité de l'utilisateur ;

- s'identifier pour chaque session de communication auprès du gestionnaire de compte et communiquer de manière sécurisée , l'article et l'ordonnance renvoyant sur ce point à un acte délégué, ainsi que cela a été précédemment rappelé dans le cadre de l'exposé général ^{72 ( * )} .

Enfin, un régime de responsabilité spécifique est défini ^{73 ( * )} afin de garantir à la fois un remboursement immédiat de l'utilisateur et un partage équitable des responsabilités en cas de fraude. Quelle que soit l'identité du responsable de l'opération, c'est au gestionnaire de compte qu'il revient de procéder au remboursement de l'utilisateur « immédiatement, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant ». Toutefois, s'il apparaît que le prestataire tiers qui a fourni le service d'initiation de paiement est responsable de l'opération ^{74 ( * )} , ce dernier est tenu d'indemniser « immédiatement » le gestionnaire du compte.

C. RENFORCER LES EXIGENCES DE SÉCURITÉ ET DE PROTECTION DES DONNÉES SENSIBLES

L'encadrement de ces nouveaux services s'accompagne de la mise en place d'exigences renforcées en matière de sécurité et de protection des données pour l'ensemble des établissements.

1. Renforcer les exigences de sécurité pour les paiements électroniques

Sur le plan de la sécurité , la principale innovation de la directive tient à l'obligation faite au prestataire de services de paiement, transposée à l'article L. 133-44 du code monétaire et financier, d'appliquer « l'authentification forte du client » lorsque le payeur :

- « accède à son compte de paiement en ligne » ;

- « initie une opération de paiement électronique » ;

- « exécute une opération par le biais d'un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse ».

Pour être qualifiée de « forte », une authentification doit reposer sur l'utilisation d'au moins deux éléments indépendants appartenant aux catégories « connaissance » (quelque chose que seul l'utilisateur connaît), « possession » (quelque chose que seul l'utilisateur possède) et « inhérence » (quelque chose que l'utilisateur est) ^{75 ( * )} . À titre d'illustration, une technique déjà largement utilisée par les banques françaises consiste à demander à l'utilisateur, en complément de ses identifiants habituels, d'entrer un code envoyé sur son téléphone mobile - même si une affaire récente est venue rappeler les limites de ce schéma ^{76 ( * )} .

En outre, les prestataires sont désormais tenus d' informer « sans retard injustifié » l'ACPR, en cas d'incident opérationnel majeur, et la Banque de France, en cas d'incident de sécurité majeur ^{77 ( * )} .

2. Assurer une meilleure protection des données financières des consommateurs

En matière de protection des données, l'article 94 de la directive, transposé aux articles L. 521-5 et L. 521-6 du code monétaire et financier, fixe deux principes :

- principe de nécessité : les traitements de données à caractère personnel ne peuvent être mis en oeuvre que « lorsque cela est nécessaire pour garantir la prévention, la recherche et la détection des fraudes en matière de paiement s » ;

- principe du consentement : les prestataires n'ont accès, ne traitent et ne conservent les données à caractère personnel « qu'avec le consentement exprès de l'utilisateur ».

De façon tout à fait cohérente, l'article L. 521-7 du code monétaire et financier, confie à la Commission nationale de l'informatique et des libertés (Cnil), et non à l'ACPR, le soin de veiller au respect de ces dispositions.

D. LUTTER CONTRE LE RISQUE D'ARBITRAGE RÉGLEMENTAIRE

Les services de paiement constituent un domaine privilégié d'utilisation du « passeport européen » , système d'agrément unique permettant aux établissements de crédit, de paiement et de monnaie électronique « d'exercer leurs activités dans l'ensemble des États membres de l'Union européenne ou de l'Espace économique européen, dès lors qu'ils ont obtenu dans leur pays d'origine un agrément de l'autorité compétente » ^{78 ( * )} .

Si le « passeport européen » constitue un élément indispensable à l'émergence d'un véritable marché unique des paiements, il peut avoir pour effet pervers d'encourager la migration des acteurs financiers vers les États membres où la régulation est plus laxiste , provoquant ainsi une forme de course à l'arbitrage réglementaire.

Aussi, la directive « DSP 2 » comporte de nouvelles dispositions visant à limiter ce risque .

L'octroi de l'agrément à un établissement est tout d'abord subordonné au fait que ce dernier exerce au moins une partie de son activité dans son État membre d'origine ^{79 ( * )} .

En outre, l'ordonnance fait à juste titre usage de la faculté ouverte par la directive ^{80 ( * )} d'imposer aux établissements ayant recours à des agents en libre établissement de désigner un point de contact central , afin que l'ACPR puisse disposer sur son territoire d'un interlocuteur identifié.

Enfin, rompant partiellement avec la logique traditionnelle en vertu de laquelle l'établissement exerçant à l'étranger dans le cadre du « passeport européen » reste placé sous le contrôle de son État membre d'origine, il est désormais permis à l'autorité de contrôle de l'État membre d'accueil de prendre des mesures conservatoires « dans des situations d'urgence, lorsqu'une action immédiate est nécessaire pour remédier à une menace grave pesant sur les intérêts collectifs des utilisateurs de services de paiement » ^{81 ( * )} .

Les conditions strictes fixées par l'article 30 de la directive sont reprises aux articles L. 613-33-2 et L. 613-33-3 du code monétaire et financier. Ainsi, les mesures conservatoires doivent être « appropriées et proportionnées à l'objectif de protection des intérêts collectifs des utilisateurs de services de paiement résidant en France » et ne pas avoir pour effet de « privilégier ces utilisateurs » par rapport à ceux résidant sur le territoire d'autres États membres. Enfin, ces mesures doivent présenter un caractère « temporaire » et prendre fin « lorsqu'il a été remédié à la menace grave constatée ».

E. PROTÉGER LES INTÉRÊTS DES CONSOMMATEURS

La directive comporte également de nombreuses dispositions visant à garantir un meilleur niveau d'information et de protection aux consommateurs dans leurs relations avec les prestataires de services de paiement.

Ainsi, la responsabilité de l'utilisateur n'est plus engagée qu'à concurrence d'un montant de 50 euros en cas d'opération non autorisée consécutive à un vol, à la perte ou au détournement d'un instrument de paiement (ex : carte bancaire), contre 150 euros précédemment ^{82 ( * )} .

Dans les cas où l'utilisateur donne son consentement à une opération de paiement dont le montant exact n'est pas connu (ex : stations-service, réservation d'une chambre d'hôtel, etc.), le prestataire ne peut désormais procéder au blocage des fonds que lorsque le client a validé le montant exact des fonds à bloquer ^{83 ( * )} .

En cas de réclamation , les prestataires de services de paiement sont tenus de répondre aux utilisateurs au plus tard sous quinze jours ouvrables . En cas d'impossibilité liée à des motifs échappant au contrôle du prestataire, le délai pour recevoir une réponse peut être porté à trente-cinq jours ouvrables , une réponse d'attente devant toutefois être envoyée dans le délai de droit commun de quinze jours ouvrables ^{84 ( * )} .

Il peut être noté que la version française de la directive « DSP 2 » comporte sur ce point une erreur de traduction . En effet, en français l'article 2 de la directive, après avoir rappelé l'obligation d'envoyer une « réponse d'attente », dispose que « le délai pour recevoir une réponse définitive ne dépasse pas trente-cinq jours ouvrables supplémentaires », suggérant ainsi que le délai maximum pour l'envoi de la réponse définitive s'élève à cinquante jours (quinze jours pour la réponse d'attente, puis trente-cinq jours complémentaires). À l'inverse, la version anglaise, dont les services de la Commission européenne ont indiqué qu'elle était conforme à l'intention du législateur européen, indique sans ambiguïté que le délai total ne saurait dépasser trente-cinq jours (« in any event, the deadline for receiving the final reply shall not exceed 35 business days » ). C'est donc à raison que la nouvelle rédaction de l'article L. 133-45 du code monétaire et financier dispose que « l'utilisateur de services de paiement reçoit une réponse définitive au plus tard trente-cinq jours ouvrables suivant la réception de la réclamation ».

En complément, différentes dispositions encadrent plus strictement les frais susceptibles d'être facturés par les prestataires de services de paiement . À titre d'exemple, l'utilisateur a désormais la possibilité de résilier sans frais un contrat-cadre, sauf si la résiliation intervient moins de six mois après son entrée en vigueur, contre douze mois auparavant ^{85 ( * )} . Dans ce cas, les frais doivent être « appropriés et correspondre aux coûts » (article 55 de la directive) ou, selon la terminologie retenue dans le cadre de l'ordonnance, « proportionnés aux coûts induits par cette résiliation » (article 5 de l'ordonnance).

À cet égard, il peut être noté que l'encadrement des frais susceptibles d'être facturés par les prestataires de services de paiement au titre du refus de l'exécution d'un ordre, qui doivent désormais présenter un caractère « raisonnable » (article 79 de la directive), n'a pas été transposé à l'article L. 133-10 du code monétaire et financier. Interrogé sur ce point, le Gouvernement a indiqué que « ce terme imprécis d'inspiration anglo-saxone n'est pas apparu pertinent dans des dispositions de niveau législatif en droit français ». Aussi, votre commission a adopté un amendement de votre rapporteur à l'article 2 du présent projet de loi, visant à préciser que les frais facturés doivent être « proportionnés aux coûts induits ».

Diverses dispositions visent par ailleurs à améliorer l'information des utilisateurs . À titre d'illustration, une obligation d'informer « sans délai » les utilisateurs est mise à la charge du prestataire lorsque se produit un incident opérationnel ou de sécurité majeur susceptible d'avoir des répercussions sur les intérêts financiers des utilisateurs ^{86 ( * )} .

Enfin, il doit être observé que, dans le cadre de la transposition, il n'a pas été fait usage de la possibilité ouverte par les articles 38 et 61 de la directive d' étendre aux microentreprises les exigences dont bénéficient les consommateurs en matière d'information et de transparence ainsi que les droits liés à la prestation et à l'utilisation des services de paiement qui leur sont reconnus. Interrogé sur ce point par votre rapporteur, le Gouvernement a indiqué qu'« outre la difficulté que cela poserait dans la gestion d'éventuels changements de statut de l'entreprise, il semble préférable de laisser aux microentreprises la possibilité de négocier les informations dont elles souhaitent disposer dans le cadre des opérations de paiement qu'elles effectuent ».

F. MODALITÉS D'ENTRÉE EN VIGUEUR ET CONDITIONS D'APPLICATION OUTRE-MER

Les modalités d'entrée en vigueur, fixées à l'article 34 de l'ordonnance, ainsi que les conditions d'application outre-mer, déterminées aux articles 22 à 33, sont respectivement modifiées par les articles 1 ter et 6 du présent projet de loi et font à ce titre l'objet de commentaires propres.

III. LES MODIFICATIONS APPORTÉES PAR L'ASSEMBLÉE NATIONALE

Le présent article a été adopté sans modification par l'Assemblée nationale.

IV. LA POSITION DE VOTRE COMMISSION DES FINANCES

Si l'ordonnance transpose de manière globalement fidèle la directive et fait bon usage des marges de manoeuvre laissées aux États membres - en particulier en imposant la désignation d'un point de contact central aux prestataires utilisant le « passeport européen » et en maintenant une procédure simplifiée d'agrément pour les établissements dont le montant prévisionnel d'opérations de paiement ou de monnaie électronique en circulation apparaît limité -, neuf amendements ont été adoptés aux articles 2 à 4 du présent projet de loi afin d' améliorer la cohérence des dispositions du code monétaire et financier issues de l'ordonnance avec la directive et de corriger des erreurs de référence .

Sous réserve de leur adoption, le rapporteur a proposé de ratifier l'ordonnance .

Décision de la commission : votre commission a adopté cet article sans modification.

ARTICLE 1er bis - (Art. L. 112-14 du code monétaire et financier) - Encadrement de la fourniture d'espèces à l'occasion d'une opération de paiement

. Commentaire : le présent article prévoit d'encadrer la possibilité, pour les commerçants, de fournir des espèces au consommateur à l'occasion d'une opération de paiement pour l'achat de biens ou de services.

I. LE DROIT EXISTANT

Reprenant directement les dispositions de la première directive sur les services de paiement dans le marché intérieur ^{87 ( * )} (dite « DSP 1 »), l'article 3 de la directive du 25 novembre 2015 ^{88 ( * )} (dite « DSP 2 ») recense les opérations qui n'entrent pas dans son champ d'application. Parmi celles-ci figurent les « services pour lesquels des espèces sont fournies par le bénéficiaire au bénéfice du payeur dans le cadre d'une opération de paiement, à la demande expresse de l'utilisateur de services de paiement formulée juste avant l'exécution de l'opération de paiement via un paiement pour l'achat de biens ou de services ». Il s'agit concrètement de la possibilité, pour un consommateur achetant un produit, de payer par carte un montant supérieur et d'obtenir des espèces en retour.

Par conséquent, ce type de services n'est pas réservé à un prestataire de services de paiement relevant des dispositions de la directive « DSP 2 », mais peut être proposé par un commerçant.

Quoique prévue dès la première directive sur les services de paiement, cette pratique n'avait pas été transposée en droit national . Il en résultait une situation paradoxale, puisque ce service, également appelé « cashback », était théoriquement applicable en France mais, à défaut de cadre juridique prévoyant ses modalités d'application, il ne pouvait être mis en oeuvre .

L'ordonnance du 9 août 2017 ^{89 ( * )} , qui vise à transposer la directive, a complété l'article L. 314-1 du code monétaire et financier afin de préciser que la fourniture d'espèces au consommateur dans le cadre d'une opération de paiement pour l'achat de biens ou de services n'est pas considérée comme un service de paiement.

Toutefois, elle ne comporte aucune disposition régissant les modalités d'application du « cashback » , dans la mesure où elle ne fait que transposer la directive.

II. LE DISPOSITIF ADOPTÉ PAR L'ASSEMBLÉE NATIONALE

À l'initiative du Gouvernement et après un avis favorable de la commission des finances, l'Assemblée nationale a adopté un amendement visant à définir le cadre applicable à la fourniture d'espèces dans le cadre d'une opération de paiement, correspondant à la pratique du « cashback ».

À cet effet, le présent article introduit une sixième section au sein du chapitre II du titre I ^er du livre I ^er du code monétaire et financier, composée d'un article unique L. 112-14.

Le I de cet article précise que les commerçants mentionnés à l'article L. 121-1 du code de commerce ^{90 ( * )} peuvent fournir des espèces à l'utilisateur de services de paiement dans le cadre d'une opération de paiement pour l'achat de biens ou de services. Il s'agit bien d'une simple possibilité , qui repose donc sur une démarche volontaire du commerçant .

Le II complète cette possibilité en précisant que ce service ne peut être fourni qu'à la demande du consommateur , formulée juste avant l'exécution d'une opération de paiement.

Le périmètre de ce service est doublement restreint :

- s'agissant du type d'utilisateur de services de paiement, puisqu'il n'est pas ouvert aux utilisateurs agissant à des fins professionnelles ;

- s'agissant du moyen de paiement utilisé , puisqu'il n'est pas ouvert aux paiements effectués par chèques, par titres-papiers, par instruments spéciaux de paiement ^{91 ( * )} ou par titres spéciaux de paiement dématérialisés ^{92 ( * )} .

Ces dispositions visent en particulier à assurer la qualité de la circulation fiduciaire et à réduire les risques de blanchiment d'argent et de financement du terrorisme.

De même, le III de l'article L. 112-14, que le présent article propose d'introduire dans le code monétaire et financier, prévoit que les modalités de fourniture de ce service sont précisées par un décret qui détermine un double encadrement :

- un plancher appliqué à l'opération d'achat d'une part, à savoir le montant minimal de l'opération de paiement d'achat dans le cadre de laquelle des espèces sont fournies ;

- un plafond maximal de fourniture d'espèces d'autre part, à savoir le montant maximal en numéraire pouvant être décaissé à cette occasion.

Par ailleurs, le IV de cet article permet à la Banque de France, en cas de menace pour la qualité de la circulation fiduciaire ou d'événement exceptionnel ayant pour conséquence d'entraver de manière significative l'approvisionnement de billets en euros, de procéder à deux modifications temporaires, après en avoir informé le ministre chargé de l'économie :

- moduler temporairement à la hausse ou à la baisse le montant maximal en numéraire pouvant être décaissé ;

- ajuster la liste des instruments de paiement ne pouvant pas donner lieu à la fourniture d'espèces.

Ce pouvoir résulte directement des missions de la Banque de France précisées à l'article L. 141-5 du code monétaire et financier, au terme duquel elle « a pour mission d'assurer l'entretien de la monnaie fiduciaire et de gérer la bonne qualité de sa circulation sur l'ensemble du territoire ».

III. LA POSITION DE VOTRE COMMISSION DES FINANCES

Exclue du champ de la directive « DSP 1 », la possibilité de fournir des espèces à l'occasion d'une opération de paiement était laissée au choix des États membres. À défaut de cadre juridique régissant ce service en France, le « cashback » ne s'y est pas développé .

L'ordonnance du 9 août 2017 procédant à la transposition de la directive « DSP 2 » complète le code monétaire et financier en excluant explicitement la fourniture d'espèces à l'occasion d'une opération de paiement. Ainsi, il n'est pas nécessaire d'être reconnu comme prestataire de services de paiement pour proposer ce service.

À l'instar de plusieurs États membres de l'Union européenne qui le permettent déjà, comme l'Allemagne, l'Italie ou l'Espagne, l'Assemblée nationale a, à l'initiative du Gouvernement, défini un cadre juridique régissant le « cashback ».

D'après l'étude pilotée par la Banque centrale européenne sur l'utilisation des espèces en point de vente ^{93 ( * )} , le « cashback » représente 7 % des retraits d'espèces en volume parmi l'ensemble des sources de retrait - mais seulement 2 % en valeur. En moyenne, les consommateurs de la zone euro y ont recours 4,4 fois par an, pour un montant moyen de 15 euros.

Ce service s'inscrit dans un double contexte :

- le redimensionnement du réseau d'agences bancaires d'une part, conduisant parfois, pour certains territoires, à la disparition de certains distributeurs automatiques de proximité ;

- la poursuite de la stratégie nationale des moyens de paiement lancée en octobre 2015, visant à accélérer le développement de moyens de paiement innovants et la compétitivité de l'industrie française des paiements.

S'il complète l'accès de nos concitoyens aux espèces, le « cashback » ne constitue toutefois pas un palliatif à la fermeture de distributeurs automatiques de billets , en particulier compte tenu du montant maximal en numéraire pouvant être décaissé.

Le présent article vise à préciser les modalités de ce service pour les commerçants et les consommateurs, tout en posant le cadre permettant de prévenir les risques de blanchiment d'argent et de mise en circulation de faux billets.

La fourniture d'espèces à l'occasion d'une opération de paiement s'accompagne en effet de plusieurs difficultés que le dispositif proposé contribue à circonscrire .

D'abord, dans la mesure où il manipule davantage d'espèces, un risque existe pour la sécurité du commerçant pratiquant le « cashback ». Il est toutefois proposé de rendre possible ce service, sur une base volontaire, et non obligatoire . De fait, les commerçants désireux d'accroître la fréquentation de leur magasin ou d'optimiser la gestion de leur fonds de caisse pourraient y être intéressés, d'autant plus qu'il est prévu qu'ils puissent prélever des commissions sur chaque opération ^{94 ( * )} .

S'agissant surtout des risques liés à la circulation de faux billets et au blanchiment d'argent , plusieurs garde-fous sont prévus :

- s'agissant du périmètre des opérations permettant la fourniture d'espèces, les opérations professionnelles et les paiements effectués par l'intermédiaire de moyens de paiement, qui sont plus facilement falsifiables, en sont exclus par le présent article ;

- s'agissant des montants considérés, puisqu'un double encadrement réglementaire, relatif au montant de l'opération d'achat et au montant en numéraire pouvant être décaissé, sera défini.

Selon les précisions fournies par Jérôme Reboul, sous-directeur des banques et des financements d'intérêt général à la direction générale du Trésor, à l'occasion de la table-ronde organisée le 14 février dernier par la commission des finances du Sénat, « le seuil n'a pas encore été fixé . Il ne sera en aucun cas analogue à celui du paiement maximal en espèce. [...] L'objectif est de fixer un seuil préservant un bon arbitrage entre l'intérêt de service pour le client et la prévention des risques . Le seuil doit être suffisamment bas pour écarter la remise de grosses coupures, qui sont les plus vulnérables au risque de fraude » ^{95 ( * )} . Le montant maximal pouvant être décaissé devrait être compris entre 80 euros et 150 euros ^{96 ( * )} .

Il importera ensuite de préciser le contenu du décret , à l'issue d'une concertation de place, afin de rendre applicable le dispositif proposé tout en assurant une mise en oeuvre sécurisée et garante du service.

Conjuguées au pouvoir de contrôle et de modulation confié à la Banque de France, ces dispositions devront permettre de limiter les risques d'utilisation frauduleuse du « cashback ».

Décision de la commission : votre commission a adopté cet article sans modification.

ARTICLE 1er ter A (nouveau) (Art. L. 522-7-2 [nouveau] du code monétaire et financier) - Obligation d'assurance et d'immatriculation pour les prestataires et établissements qui initient des ordres ou permettent d'accéder aux données concernant des comptes et produits autres que les comptes de paiement

. Commentaire : le présent article, introduit par votre commission, propose d'imposer aux prestataires et établissements qui initient des ordres ou permettent d'accéder aux données concernant des comptes et produits autres que les comptes de paiement de souscrire une assurance et de s'immatriculer auprès de l'Autorité de contrôle prudentiel et de résolution (ACPR).

I. LE DROIT EXISTANT

De nouveaux services permettent aujourd'hui aux utilisateurs de disposer d'une vision consolidée de leurs finances personnelles, en agrégeant les données de l'ensemble de leurs comptes et produits (comptes de paiement, livrets, contrats d'assurance vie, crédits, etc.) et en leur offrant la possibilité de réaliser des ordres.

Or, la directive 2015/2366 du 25 novembre 2015, dite « DSP 2 », encadre uniquement les services portant sur les comptes de paiement, avec ^{97 ( * )} :

- la reconnaissance de deux nouveaux services de paiement (le service d'initiation de paiement et le service d'information sur les comptes), assortie d'une obligation d'agrément ou d'enregistrement auprès de l'ACPR ;

- un régime de responsabilité sui generis en cas d'opération frauduleuse, qui permet à l'utilisateur d'obtenir immédiatement un remboursement auprès de son gestionnaire de compte, y compris lorsque l'opération a été initiée par un prestataire tiers ;

- une obligation d'assurance pour les prestataires fournissant les nouveaux services , afin de garantir leur capacité à rembourser le gestionnaire de compte si leur responsabilité est engagée ;

- un système garantissant la sécurité de l'accès au compte de paiement et l'identification des prestataires , soit par le biais d'une interface dédiée, soit par accès direct.

S'il n'apparaît pas souhaitable d'étendre les dispositions de la directive aux autres comptes et produits - ce chantier devant être mené au niveau européen, compte tenu notamment de ses implications en termes de concurrence -, la question de la responsabilité en cas d'accès ou d'utilisation frauduleuse aux comptes et produits non couverts par la directive ne peut être laissée longtemps sans réponse .

En effet, l'absence d'encadrement des services proposés sur les comptes et produits autres que les comptes de paiement conduit à rendre l'utilisateur seul responsable en cas de fraude , dans la mesure où :

- la communication à un tiers de ses codes confidentiels par l'utilisateur est le plus souvent contraire aux dispositions contractuelles régissant le fonctionnement des comptes, ce qui devrait permettre à la banque gestionnaire de compte de refuser de procéder au remboursement ;

- le prestataire tiers s'exonère généralement de toute responsabilité dans le cadre des contrats passés avec les clients ;

- même en l'absence de telles clauses, le prestataire tiers ne serait vraisemblablement pas en mesure de procéder au remboursement des clients si sa responsabilité était engagée, faute d'assurance souscrite à cet effet.

Ce risque, qui pèse aujourd'hui sur plusieurs millions d'utilisateurs, apparaît d'autant moins acceptable que 80 % des comptes agrégés par les nouveaux acteurs ne sont pas des comptes de paiement ^{98 ( * )} .

II. LE DISPOSITIF ADOPTÉ PAR VOTRE COMMISSION DES FINANCES

Dans l'attente d'une solution européenne et afin de garantir la possibilité pour l'utilisateur d'obtenir un remboursement auprès du prestataire tiers en cas de fraude, votre commission des finances a, à l'initiative de son rapporteur, adopté un amendement COM-1 rectifié tendant à créer un nouvel article L. 522-7-2 au sein du code monétaire et financier.

Le I de l'article confirmerait tout d'abord la possibilité d'engager la responsabilité du prestataire tiers en cas de fraude, ce qui rendrait ainsi inopposables les clauses contractuelles contraires.

Seraient visés les prestataires de services de paiement qui fournissent le service mentionné au 7° (initiation de paiement) ou au 8° (information sur les comptes) du II de l'article L. 314-1 du code monétaire et financier et qui, à la demande de l'utilisateur, initient un ordre ou lui permettent d'accéder aux données concernant ses :

- comptes sur livret ;

- comptes à terme ;

- comptes-titres ;

- comptes liés aux produits d'épargne générale à régime fiscal spécifique (livret A, épargne populaire, livret jeune, livret de développement durable et solidaire, épargne-logement, plan d'épargne en actions, compte PME innovation, épargne codéveloppement et compte épargne d'assurance pour la forêt)

- crédits immobiliers ;

- crédits à la consommation ;

- bons, contrats de capitalisation ou contrats d'assurance vie.

Par suite, le II de l'article obligerait les prestataires à disposer d'une assurance de responsabilité civile professionnelle les couvrant contre l'engagement de leur responsabilité , dont ils devraient pouvoir justifier à tout moment. Contrairement aux établissements de monnaie électronique, aux établissements de paiement et aux prestataires de services d'information sur les comptes, les établissements de crédit ne seraient pas tenus de souscrire cette assurance complémentaire, par parallélisme avec le dispositif prévu par la directive et compte tenu des règles prudentielles spécifiques qui leur sont applicables - leur responsabilité pouvant néanmoins être engagée sur le fondement du I.

Un décret en Conseil d'État fixerait les modalités d'application de cette obligation, les critères permettant de déterminer le montant minimal de l'assurance de responsabilité civile professionnelle ainsi que les délais dans lesquels l'indemnisation doit intervenir .

Enfin, le III de l'article imposerait aux prestataires entrant dans le champ de l'obligation d'assurance de s'immatriculer sur un registre unique, librement accessible et tenu par l'ACPR . Là encore, un décret en Conseil d'État préciserait les conditions d'immatriculation, les modalités de la tenue du registre et les informations devant être rendues publiques.

Ce régime d'immatriculation souple, inspiré de celui prévu à l'article L. 546-1 du code monétaire et financier pour les intermédiaires financiers et conseillers en investissements financiers, apparaît préférable à la mise en place d'une procédure d'agrément ad hoc , source de redondances administratives et de complexité excessive pour les entreprises. En effet, ainsi que le relève l'ACPR, si l'agrément prévu par la directive « DSP 2 » n'est délivré que sur l'activité relative aux seuls comptes de paiement, « les dispositifs de contrôle, de gestion des risques et de sécurité, dont la qualité est une condition de l'agrément délivré, sont en pratique les mêmes pour les comptes d'épargne et les comptes de paiement » ^{99 ( * )} .

Décision de la commission : votre commission a adopté cet article additionnel ainsi rédigé.

ARTICLE 1er ter (Art. 34 de l'ordonnance n° 2017-1252 du 9 août 2017) - Mobilités transitoires de communication entre prestataires de services de paiement et gestionnaires de compte

. Commentaire : le présent article prévoit qu'un décret définisse des modalités transitoires de communication entre les prestataires de services de paiement et les gestionnaires de compte, dans l'attente de l'entrée en vigueur en septembre 2019 des normes techniques de réglementation définissant les modalités de communication standardisée au niveau européen.

I. LE DROIT EXISTANT

Les articles 65, 66 et 67 de la directive du 25 novembre 2015 concernant les services de paiement dans le marché intérieur ^{100 ( * )} renvoient à des normes techniques de réglementation pour déterminer les modalités sécurisées de communication entre les prestataires de services de paiement d'initiation de paiement et d'information sur les comptes (PSIP/PSIC) et les gestionnaires de compte.

Il s'agit de garantir l'identification des prestataires de services de paiement lors de leur connexion , ce que la méthode actuelle du « web scraping » non authentifié (méthode d'extraction de données) ne permet pas. Par ce biais, le régime de responsabilité établi par la directive du 25 novembre 2015 deviendra effectif .

La directive prévoit deux solutions :

- soit l'adaptation de l'interface bancaire existante pour les clients ;

- soit la création d'une nouvelle interface spécifique pour les prestataires de services de paiement, souvent désignée sous le terme d'« interface de programmation applicative » ( application programming interface , API).

Ces normes techniques de réglementation ont été adoptées par la Commission européenne sur le fondement de l'article 98 de la directive et publiées au Journal officiel de l'Union européenne le 13 mars dernier ^{101 ( * )} .

Les dispositions retenues dans l'acte délégué adopté par la Commission européenne enserrent le développement de ces interfaces. En particulier, le gestionnaire de compte devra communiquer trois mois à l'avance tout changement important des spécifications de l'interface et fournir un environnement de test.

S'ils optent pour une interface spécifique, les gestionnaires de compte doivent mettre en place des mesures de sauvegarde d'urgence. Ce mécanisme de secours vise à garantir la continuité du service fourni et à préserver la concurrence loyale sur le marché.

Toutefois, une exemption est possible à condition que l'interface de communication spécifique et pleinement opérationnelle soit conforme aux critères de qualité définis par les normes techniques de réglementation. Elle est accordée par l'autorité nationale de régulation au cas par cas, après consultation de l'Agence bancaire européenne ; elle peut être révoquée sous certaines hypothèses ^{102 ( * )} .

Surtout, l'interface proposée par le gestionnaire de compte doit fournir le même niveau de performance et de disponibilité ainsi que le même niveau de secours que celui mis en oeuvre par les interfaces réservées aux clients. L'article 28 de la directive prévoit que tout dysfonctionnement constaté en la matière pourra être remonté au régulateur national.

Toutefois, ces dispositions n'entreront en vigueur qu'à partir du 1 ^er septembre 2019 ^{103 ( * )} : jusqu'à cette date, la méthode actuelle du web scraping non identifié demeurera de facto applicable.

L'acte délégué de la Commission européenne prévoit que toutes les interfaces de communication, qu'elles soient spécifiques ou non, doivent faire l'objet d'un essai de prototype de trois mois puis d'un essai dans les conditions réelles de marché de trois mois également .

La Commission européenne a formé un groupe de marché , composé de représentants des établissements bancaires, des nouveaux prestataires de services de paiement reconnus par la directive du 25 novembre 2015 et d'utilisateurs de services de paiement, chargé d'examiner la qualité des interfaces de communication spécifique.

II. LE DISPOSITIF ADOPTÉ PAR L'ASSEMBLÉE NATIONALE

À l'initiative du Gouvernement et après un avis favorable de sa commission des finances, l'Assemblée nationale a adopté un amendement permettant au pouvoir réglementaire de définir par décret les modalités transitoires de communication entre les PSIP/PSIC, les utilisateurs et les établissements bancaires, dans l'attente de l'entrée en vigueur des normes techniques de réglementation européenne.

Ce décret préciserait les conditions d'entrée en vigueur et les conditions suivant lesquelles les PSIP et les PSIC communiquent de manière sécurisée avec les utilisateurs de services de paiement et les prestataires de services de paiement gestionnaires de comptes.

Il est précisé que ces modalités doivent permettre aux PSIP et aux PSIC de continuer à exercer leurs activités.

Cette possibilité est ouverte jusqu'à dix-huit mois après l'entrée en vigueur de l'acte délégué définissant les normes techniques de réglementation, adopté en vertu du 1 de l'article 98 de la directive du 25 novembre 2015, soit avant le 1 ^er septembre 2019 .

III. LA POSITION DE VOTRE COMMISSION DES FINANCES

La méthode actuelle de connexion non authentifiée à laquelle ont recours les prestataires de services d'initiation de paiement et d'information sur les comptes soulève deux difficultés majeures :

- en termes de sécurité d'une part, dès lors que, selon les précisions de Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi), « ces nouveaux acteurs sont amenés à collecter et à stocker un grand nombre d'informations confidentielles d'authentification dont la compromission serait potentiellement très dommageable pour la confidentialité de données personnelles et patrimoniales » ^{104 ( * )} ;

- en termes de protection du consommateur , dès lors qu'en l'absence d'identification d'une connexion par un prestataire tiers, les modalités de partage de responsabilité en cas de fraude prévues par la directive pour un ordre de paiement émis par un initiateur tiers ne pourraient pas être mises en oeuvre.

Le Gouverneur de la Banque de France a ainsi alerté le ministre de l'économie et des finances sur les risques liés à la prolongation du web scraping non authentifié durant la période transitoire jusqu'à l'application des normes techniques de réglementation en septembre 2019.

C'est pourquoi, à l'initiative du Gouvernement, l'Assemblée nationale a complété le projet de loi initial en permettant une application anticipée du nouveau mode de connexion.

Les banques françaises ont opté pour le développement d'interfaces spécifiques. L'objectif est de leur permettre, pour celles qui seraient prêtes à l'avance, de tester puis de rendre obligatoire le recours à ces interfaces.

Deux exigences doivent toutefois être conciliées :

- d'une part, garantir la sécurité de l'accès au compte de paiement, en assurant l'identification du prestataire de services de paiement ;

- d'autre part, garantir l'effectivité de l'accès des prestataires de services de paiement aux comptes de paiement, dès lors que le titulaire y a consenti.

L'accès aux comptes de paiement détermine en effet la capacité des nouveaux prestataires de services de paiement reconnus par la directive du 25 novembre 2015 à fournir leurs services. Le respect des normes techniques de réglementation est donc crucial pour préserver la concurrence et assurer un niveau élevé de sécurité à l'utilisateur.

Selon les indications de Delphine Gény-Stephann, secrétaire d'État auprès du ministre de l'économie et des finances, devant l'Assemblée nationale en séance publique le 8 février dernier, « le souhait du Gouvernement est de prévoir une entrée en vigueur anticipée des dispositions des normes techniques réglementaires relatives aux modalités de communication sécurisées » ^{105 ( * )} .

Deux conditions devraient être remplies pour autoriser la généralisation anticipée des interfaces spécifiques :

- l'interface devrait satisfaire aux exigences de performance et de qualité définies par la norme technique de réglementation ;

- les gestionnaires de compte devraient assurer que les nouveaux acteurs tiers pourront continuer à exercer leurs activités .

Cependant, la rédaction actuelle du champ du décret prévu pour déterminer les conditions d'entrée en vigueur et de communication ne mentionne pas explicitement son assujettissement aux dispositions de l'acte délégué adopté par la Commission européenne pour déterminer les normes techniques de réglementation.

Il importe donc de compléter le dispositif initial en précisant que les modalités de communication transitoires définies par le décret sont conformes aux dispositions des normes techniques de réglementation qui trouveront à s'appliquer à partir de septembre 2019. À l'initiative de son rapporteur, votre commission a adopté un amendement COM-2 en ce sens.

Il convient de préciser que ces dispositions ne s'appliqueront néanmoins qu'aux comptes relevant du périmètre de la directive « DSP 2 » , soit les comptes de paiement. Les services de paiement et d'information sur les autres comptes , comme les comptes d'épargne ou les comptes d'assurance, continueront à s'effectuer par la méthode du « web scraping » non authentifié .

Or 80 % des comptes agrégés par les services d'information sur les comptes ne sont pas des comptes de paiement ^{106 ( * )} .

Il importe donc qu'une démarche européenne soit engagée, afin de prolonger l'harmonisation déjà opérée pour les comptes de paiement et garantir aux utilisateurs des conditions de sécurité renforcées ( cf . commentaire des articles 1 ^er et 1 ^er ter A) .

Décision de la commission : votre commission a adopté cet article ainsi rédigé.

ARTICLE 2 (Art. L. 133-1, L. 133-2, L. 133-28, L. 133-39, L. 133-40, L. 133-41 et L. 133-45 du code monétaire et financier) - Corrections apportées aux dispositions de l'ordonnance relatives aux instruments de paiement et à l'accès aux comptes

. Commentaire : le présent article prévoit diverses corrections aux dispositions de l'ordonnance et précise les obligations d'information à la charge des prestataires de paiement, à l'adresse des utilisateurs de services de paiement professionnels, s'agissant des procédures de règlement extrajudiciaire à leur disposition.

L'ordonnance du 9 août 2017 ^{107 ( * )} , que l'article 1 ^er du présent projet de loi propose de ratifier, procède à la transposition des dispositions de la directive du 25 novembre 2015 concernant les services de paiement dans le marché intérieur ^{108 ( * )} .

Le 1° du présent article modifie l'article L. 133-1 du code monétaire et financier, afin de rétablir une disposition supprimée accidentellement par l'ordonnance. Elle précise que les opérations de paiement effectuées entre prestataires de services de paiement pour leur propre compte n'entrent pas dans le périmètre d'application des règles prévues pour les instruments de paiement et l'accès aux comptes ^{109 ( * )} .

Le 3° transpose le point b) de l'article 63 de la directive oublié par l'ordonnance. À cet effet, il modifie l'article L. 133-28 du code monétaire et financier encadrant les possibilités de déroger au droit commun pour les opérations de faibles montants.

Dans le cas d'une utilisation anonyme de l'instrument de paiement ou de l'impossibilité pour le prestataire de prouver qu'une opération a été autorisée, il est prévu que le payeur et le prestataire de services de paiement peuvent déroger par contrat aux deux règles suivantes :

- l'absence de conséquences financières pour le payeur qui a perdu ou s'est fait voler son instrument de paiement et a prévenu son prestataire de services de paiement pour qu'il le bloque ;

- l'obligation pour le prestataire de services d'initiation de paiement de prouver que l'ordre de paiement a été reçu par le gestionnaire et correctement exécuté , dans le cas où l'utilisateur nie avoir exécuté l'opération ou affirme qu'elle a été mal exécutée.

Les 2° et 4° à 8° procèdent à des mesures de coordination et à des modifications rédactionnelles aux articles L. 133-2, L. 133-19, L. 133-40 et L. 133-41 du code monétaire et financier.

*

Outre un amendement rédactionnel adopté par la commission des finances à l'initiative de notre collègue députée Nadia Hai, rapporteur, l'Assemblée nationale a adopté, en séance publique et après un avis favorable de la commission des finances, un amendement du Gouvernement.

Cet amendement vise à clarifier les obligations d'information à la charge des prestataires de services de paiement, à l'adresse des utilisateurs de services de paiement professionnels, à propos des procédures de règlement extrajudiciaire à leur disposition .

L'article 102 de la directive du 25 novembre 2015 concernant les services de paiement dans le marché intérieur impose la mise en oeuvre de procédures de règlement extrajudiciaire. Toutefois, il est précisé à l'article 61 de cette même directive que cette obligation ne trouve pas à s'appliquer lorsque l'utilisateur de services de paiement n'est pas un consommateur. C'est sur ce fondement que la France a choisi de réserver aux consommateurs le droit de recourir à un médiateur (article L. 316-1 du code monétaire et financier).

L'article 101 de la directive, transposé par l'ordonnance du 9 août 2017 à l'article L. 133-45 du code monétaire et financier, précise cependant que le prestataire de services de paiement doit informer l'utilisateur de services de paiement d'au moins une instance de règlement extrajudiciaire compétente. Il n'est pas précisé comment cette obligation est remplie lorsqu'une telle instance n'existe pas, ce qui est le cas en France s'agissant des utilisateurs professionnels.

C'est pourquoi il est proposé de compléter l'article L. 133-4 du code monétaire et financier afin de préciser que, s'agissant des utilisateurs de services de paiement professionnels, seule une obligation d'information relative à l'existence ou non d'une instance de règlement extrajudiciaire s'impose au prestataire de services de paiement .

À l'initiative de son rapporteur, la commission a complété le présent article en adoptant quatre amendements COM-3, COM-4, COM-5 et COM-6, visant à améliorer la cohérence des dispositions du code monétaire et financier avec la rédaction de la directive.

Décision de la commission : votre commission a adopté cet article ainsi rédigé.

ARTICLE 3 (Art. L. 351-1 du code monétaire et financier) - Correction d'une erreur de référence

. Commentaire : le présent article prévoit diverses mesures de coordination et procède à la correction d'une erreur de référence.

Le 1° du présent article modifie les alinéas visés à la première phrase du premier alinéa de l'article L. 351-1 du code monétaire et financier afin de corriger une erreur de référence de l'ordonnance du 9 août 2017.

Le 2° résulte d'un amendement adopté par l'Assemblée nationale à l'initiative de notre collègue députée Nadia Hai, rapporteur, après un avis favorable du Gouvernement. Il procède aux coordinations rendues nécessaires par la nouvelle rédaction de l'article L. 351-1 du code monétaire et financier, issue de l'article 16 de l'ordonnance du 4 octobre 2017 relative à la dématérialisation des relations contractuelles dans le secteur financier ^{110 ( * )} , qui entrera en vigueur le 1 ^er avril 2018.

Votre commission, à l'initiative de son rapporteur, a adopté un amendement COM-7 de coordination visant à prendre en compte les rédactions des articles L. 312-1-1 et L. 314-13 du code monétaire et financier qui entreront en vigueur à compter du 1 ^er avril 2018 au sein des articles L. 314-5 et L. 351-1 du même code.

Décision de la commission : votre commission a adopté cet article ainsi rédigé.

ARTICLE 4 (Art. L. 521-3-2, L. 522-3, L. 522-8, L. 522-13, L. 525-9, L. 526-19, L. 526-24, L. 526-28 et L. 561-2 du code monétaire et financier) - Dispositions de coordination et corrections de rédaction au titre II du livre V du code monétaire et financier

. Commentaire : le présent article prévoit les modalités de contrôle applicable aux instruments de paiement spécifiques et procède à diverses mesures de coordination ainsi que de corrections rédactionnelles ou de références dans plusieurs articles du code monétaire et financier.

Les 1° à 8° du présent article procèdent à :

- des mesures de coordination omises par l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur aux articles L. 522-3 et L. 526-28 du code monétaire et financier ;

- des améliorations rédactionnelles aux articles L. 522-8, L. 522-13 et L. 526-24 du même code ;

- des corrections de références résultant d'erreurs de l'ordonnance du 9 août 2017 aux articles L. 526-9, L. 526-19, L. 526-28, L. 561-12 et L. 561-2 du même code.

*

À l'initiative du Gouvernement et après l'avis favorable de la commission des finances, l'Assemblée nationale a adopté un amendement visant à préciser les modalités de contrôle applicable aux instruments de paiement spécifiques. Pour mémoire, il s'agit d'instruments de paiement ne pouvant être utilisés que de manière limitée comme, par exemple, les cartes prépayées.

Il est ainsi proposé de compléter l'article L. 521-3-2 du code monétaire et financier afin de confier à la Banque de France le pouvoir de contrôle de ces instruments de paiement spécifiques .

À ce titre, il est prévu que la Banque de France « s'assure de la sécurité des services reposant sur des instruments de paiement spécifiques et de la pertinence des normes applicables en la matière ». Si elle estime que les garanties de sécurité de l'instrument de paiement spécifique sont insuffisantes, « elle peut recommander à son émetteur de prendre toutes mesures destinées à y remédier ». À défaut d'effet, la Banque de France peut « décider de formuler un avis négatif publié au Journal officiel ».

Ces dispositions reprennent expressément les modalités du contrôle déjà assuré par la Banque de France pour les titres spéciaux de paiement dématérialisés et prévu à l'article L. 525-4 du même code. Il s'agit des « titres spéciaux de paiement dématérialisés soumis à des dispositions législatives ou réglementaires spécifiques ou à un régime spécial de droit public qui en destinent l'usage exclusivement à l'acquisition d'un nombre limité de catégories de biens ou de services déterminées ou à une utilisation dans un réseau limité » (article L. 525-4 du code monétaire et financier). En pratique, cette catégorie recouvre les supports de paiement émis à des fins sociales ou fiscales spécifiques, à l'instar des chèques-vacances et des titres-restaurant.

Ces deux types de moyens de paiement spécifiques n'entrent pas dans le champ des services de paiement prévus à l'article L. 314-1 du même code. Leur émission n'est donc pas réservée à des prestataires de services de paiement soumis au cadre de la directive « DSP 2 ».

Selon le Gouvernement, ces dispositions entendent assurer un contrôle équivalent des instruments de paiement spécifiques et des titres spéciaux de paiement. L'objectif est donc de prévenir un risque d'éviction des titres spéciaux de paiement dématérialisés, actuellement placés sous le contrôle de la Banque de France, vers les instruments de paiement spécifiques, afin de se soustraire au contrôle de la Banque de France.

À l'initiative de son rapporteur, votre commission a adopté un amendement COM-11 de correction d'une erreur matérielle ainsi que trois amendements COM-8, COM-9 et COM-10 tendant à mettre en cohérence plusieurs articles du code monétaire et financier avec la nouvelle rédaction de l'article 3 de la directive précitée du 25 novembre 2015.

Décision de la commission : votre commission a adopté cet article ainsi rédigé.

ARTICLE 5 (Art. L. 612-2 et L. 613-33-3 du code monétaire et financier) - Correction d'une erreur de rédaction concernant les compétences de l'Autorité de contrôle prudentiel et de résolution

. Commentaire : le présent article prévoit de corriger une erreur de rédaction concernant l'étendue des compétences de l'Autorité de contrôle prudentiel et de résolution (ACPR) sur l'activité de prestation de services d'investissement des établissements de crédit et des entreprises d'investissement ou des entreprises de marché.

Le 1° du présent article rétablit l'alinéa de l'article L. 612-2 du code monétaire et financier, supprimé par erreur par l'article 19 de l'ordonnance n° 2017-1252 du 9 août 2017 , précisant que le contrôle de l'Autorité de contrôle prudentiel et de résolution (ACPR) sur l'activité de prestation de services d'investissement ^{111 ( * )} des établissements de crédit et des entreprises d'investissement ou des entreprises de marché ^{112 ( * )} s'exerce sous réserve de celui de l'Autorité des marchés financiers (AMF) s'agissant du contrôle des règles de bonne conduite et autres obligations professionnelles.

Le 2° de cet article corrige une erreur de référence à l'article L. 613-33-3 du code monétaire et financier.

À l'initiative de notre collègue députée Nadia Hai, rapporteur, la commission des finances de l'Assemblée nationale a adopté un amendement rédactionnel au 1°, visant à compléter la dénomination de l'Autorité de contrôle prudentiel et de résolution au sein de l'article L. 612-2 du code monétaire et financier.

Décision de la commission : votre commission a adopté cet article sans modification.

ARTICLE 6 (Art. L. 741-2-1 A, L. 743-3, L. 743-7-1, L. 745-8, L. 745-8-1, L. 745-13, L. 746-2, L. 751-2-1, L. 751-2-1 A, L. 753-2, L. 753-3, L. 753-7-1, L. 755-8-1, L. 755-13, L. 756-2, L. 761-1-2, L. 761-1-2 A, L. 763-3, L. 763-7-1, L. 765-8-1, L. 765-13 et L. 766-2 du code monétaire et financier) - Dispositions de coordinations et corrections d'erreurs de rédaction relatives à l'application de l'ordonnance n° 2017-1252 du 9 août 2015 en Nouvelle-Calédonie, en Polynésie française et à Wallis-et-Futuna

. Commentaire : le présent article prévoit les coordinations rendues nécessaires dans les articles précisant les règles d'application et les adaptations requises en Nouvelle-Calédonie, en Polynésie-française et à Wallis-et-Futuna.

Le présent article modifie les articles du livre VII du code monétaire et financier relatif au régime de l'outre-mer afin d'actualiser la liste des dispositions de l'ordonnance du 9 août 2017 applicables à la Nouvelle-Calédonie, à la Polynésie-française et à Wallis-et-Futuna.

De façon générale, les dispositions relatives aux instruments de paiement, à l'accès aux comptes et aux services de paiement sont applicables dans ces territoires d'outre-mer si le prestataire de services de paiement du bénéficiaire et celui du payeur sont situés sur le territoire de la République et que l'opération est effectuée en euros ou en francs Pacifique (CFP).

Il s'agit donc d'un aménagement par rapport aux règles d'extraterritorialité prévues par l'ordonnance, dont les dispositions s'appliquent lorsque l'un des prestataires est situé en France métropolitaine et l'autre dans un État partie à l'Espace économique européen (EEE).

À l'initiative de notre collègue députée Nadia Hai, rapporteur, l'Assemblée nationale a procédé à des corrections d'erreurs matérielles et à des modifications rédactionnelles.

Il convient également de supprimer les dispositions du 5° du présent article concernant l'article L. 753-2 du code monétaire et financier, rendues caduques par l'ordonnance du 14 février 2018 relative à l'extension en Nouvelle-Calédonie, en Polynésie-française et à Wallis-et-Futuna, de diverses dispositions en matière bancaire et financière ^{113 ( * )} .

À l'initiative de son rapporteur, un amendement COM-12 a été adopté en ce sens par la commission.

Décision de la commission : votre commission a adopté cet article ainsi rédigé.

---

* ⁴² L'article L. 571-3 du code monétaire et financier punit ainsi la violation du « monopole bancaire » de trois ans d'emprisonnement et de 375 000 euros d'amende.

* ⁴³ Les services de paiement sont inscrits à l'article L. 314-1 du code monétaire et financier.

* ⁴⁴ Autorité de contrôle prudentiel et de résolution, « L'agrément des acteurs du paiement et de la monnaie électronique », présentation du 28 septembre 2017, p. 6.

* ⁴⁵ À ce titre, il peut être rappelé que le monopole des dépôts est imposé par l'article 9-1 de la directive européenne 2013/36/UE. À l'inverse, la régulation du crédit relève de la responsabilité des États membres. Elle demeure particulièrement stricte en France, en dépit de certains assouplissements récents. Voir sur ce point : Haut comité juridique de la place financière de Paris, « Rapport sur le monopole bancaire », 2016.

* ⁴⁶ Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur.

* ⁴⁷ Ordonnance n° 2009-866 du 15 juillet 2009 relative aux conditions régissant la fourniture de services de paiement et portant création des établissements de paiement.

* ⁴⁸ Directive 2009/110/CE du Parlement européen et du Conseil du 16 septembre 2009 concernant l'accès à l'activité des établissements de monnaie électronique et son exercice ainsi que la surveillance prudentielle de ces établissements.

* ⁴⁹ Loi n° 2013-100 du 28 janvier 2013 portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière économique et financière.

* ⁵⁰ Prévue à l'article L. 522-6 du code monétaire et financier pour les établissements de paiement et à l'article L. 526-7 du même code pour les établissements de monnaie électronique.

* ⁵¹ À l'exception, pour le titre III, de l'article 45, paragraphe 1, point b), de l'article 52, point 2) e), et de l'article 56, point a), ainsi que, pour le titre IV, des articles 81 et 86.

* ⁵² À l'exception, pour le titre III, de l'article 45, paragraphe 1, point b), de l'article 52, point 2) e), de l'article 52, point 5) g), et de l'article 56, point a), ainsi que, pour le titre IV, de l'article 62, paragraphes 2 et 4, et des articles 76, 77 et 81.

* ⁵³ Concrètement, les opérations de paiement consistent à « verser, transférer ou retirer des fonds » et comprennent notamment « les prélèvements, les virements, les opérations de paiement effectuées avec une carte de paiement et l'émission d'instruments de paiement et/ou l'acquisition d'ordres de paiement (ex : chèques) ». Cf. « Portabilité du compte bancaire », rapport d'Inès Mercereau, décembre 2014, p. 8.

* ⁵⁴ Article 1 ^er de l'arrêté du 29 juillet 2009 relatif aux relations entre les prestataires de services de paiement et leurs clients en matière d'obligations d'information des utilisateurs de services de paiement et précisant les principales stipulations devant figurer dans les conventions de compte de dépôt et les contrats-cadres de services de paiement.

* ⁵⁵ Réponse de la Commission européenne du 15 juillet 2008 à la question n° 25 posée le 15 juillet 2008 (traduction de la commission des finances), « Payment Services Directive 2007/64/EC, Questions and answers », p. 22.

* ⁵⁶ Il peut être noté que l'exécution « d'opérations de paiement, lorsque le consentement du payeur est donné au moyen de tout dispositif de télécommunication, numérique ou informatique et que le paiement est adressé à l'opérateur du système ou du réseau de télécommunication ou informatique, agissant uniquement en qualité d'intermédiaire entre l'utilisateur de services de paiement et le fournisseur de biens ou services » est supprimée de la liste des services de paiement. Il s'agit toutefois d'une simple mesure de simplification, dès lors que ce service peut être couvert par les services prévus aux 3° (exécution de certaines opérations de paiement) et au 5° (émission d'instruments de paiement et / ou acquisition d'opérations de paiement) du II de l'article L. 314-1 du code monétaire et financier. À cet égard, le IV de l'article 34 de l'ordonnance précise que les établissements agréés pour fournir ce service sont réputés l'être pour ceux mentionnés aux 3° et 5° du II de l'article L. 314 1 du code monétaire et financier.

* ⁵⁷ Voir les considérants 12 et 13 de la directive.

* ⁵⁸ Considérant 11 de la directive.

* ⁵⁹ Article 4 de la directive.

* ⁶⁰ Ibid .

* ⁶¹ Cette disposition, issue de l'article 13 de l'ordonnance, figure à l'article 33 de la directive.

* ⁶² La procédure d'enregistrement, prévue à l'article L. 522-11-2 du code monétaire et financier et issue de l'article 13 de l'ordonnance, transpose les dispositions de l'article 33 de la directive.

* ⁶³ Article 33 de la directive, transposé au II de l'article L. 522-1 du code monétaire et financier par l'article 13 de l'ordonnance.

* ⁶⁴ Article 7 de la directive, transposé à l'article L. 522-7 du code monétaire et financier par l'article 13 de l'ordonnance.

* ⁶⁵ Paragraphe 1 de l'article 9 de la directive, transposé à l'article L. 522-14 du code monétaire et financier par l'article 13 de l'ordonnance.

* ⁶⁶ Paragraphes 2 et 3 de l'article 5 de la directive, transposés à l'article L. 522-7-1 du code monétaire et financier par l'article 13 de l'ordonnance.

* ⁶⁷ Cf. 11° de l'article R. 561-16 du code monétaire et financier.

* ⁶⁸ Paragraphe 1 de l'article 66 et paragraphe 1 de l'article 67 de la directive, transposés respectivement au I de l'article L. 133-40 et au I de l'article L. 133-41 du code monétaire et financier par l'article 2 de l'ordonnance.

* ⁶⁹ Paragraphe 3 de l'article 66 et paragraphe 4 de l'article 67 de la directive, transposés respectivement au III de l'article L. 133-40 et au III de l'article L. 133-41 du code monétaire et financier par l'article 2 de l'ordonnance.

* ⁷⁰ Paragraphe 5 de l'article 66 et paragraphe 4 de l'article 67 de la directive, transposés respectivement au IV de l'article L. 133-40 et au IV de l'article L. 133-41 du code monétaire et financier par l'article 2 de l'ordonnance.

* ⁷¹ Pour la liste complète, voir le paragraphe 3 de l'article 66 et paragraphe 2 de l'article 67 de la directive, transposés respectivement au II de l'article L. 133-40 et au II de l'article L. 133-41 du code monétaire et financier par l'article 2 de l'ordonnance.

* ⁷² Voir également le commentaire de l'article 1 ^er ter du présent projet de loi.

* ⁷³ Article 73 de la directive, transposé à l'article L. 133-18 du code monétaire et financier par l'article 2 de l'ordonnance.

* ⁷⁴ Ainsi que le prévoit l'article 73 de la directive, c'est au prestataire de services d'initiation de paiement qu'incombe la charge de prouver que, pour ce qui le concerne, l'opération en question a été « authentifiée et dûment enregistrée » et qu'elle n'a pas été affectée par « une déficience technique ou autre en relation avec le service de paiement qu'il doit assurer ».

* ⁷⁵ Article 4 de la directive, transposé à l'article L. 133-4 du code monétaire et financier par l'article 2 de l'ordonnance.

* ⁷⁶ Cf. Cour de cassation, chambre commerciale, financière et économique, arrêt n° 1327 du 25 octobre 2017. En l'espèce, le client avait répondu à un courriel se présentant comme émanant de son opérateur téléphonique, ce qui a permis au fraudeur d'intercepter les messages envoyés par la banque sur le téléphone mobile du client pour valider les paiements.

* ⁷⁷ Article 96 de la directive, transposé par l'article 12 de l'ordonnance à l'article L. 521-10 du code monétaire et financier.

* ⁷⁸ Cf. sur ce point : « Places financières : quelle stratégie française face au Brexit ? », rapport d'information n° 574 (2016-2017) d'Albéric de Montgolfier, fait au nom de la commission des finances et déposé le 7 juin 2017.

* ⁷⁹ Paragraphe 3 de l'article 11 de la directive, transposé aux articles L. 522-8 et L. 526-9 du code monétaire et financier par l'article 13 de l'ordonnance.

* ⁸⁰ Paragraphe 4 de l'article 29 de la directive, transposé aux articles L. 522-13 et L. 523-4 du code monétaire et financier par l'article 13 de l'ordonnance.

* ⁸¹ Paragraphe 2 de l'article 30 de la directive.

* ⁸² Paragraphe 1 de l'article 74 de la directive, transposé par l'article 2 de l'ordonnance à l'article L. 133-19 du code monétaire et financier.

* ⁸³ Paragraphe 1 de l'article 75 de la directive, transposé par l'article 2 de l'ordonnance à l'article L. 133-42 du code monétaire et financier.

* ⁸⁴ Paragraphe 2 de l'article 101 de la directive, transposé par l'article 2 de l'ordonnance à l'article L. 133-45 du code monétaire et financier.

* ⁸⁵ Paragraphe 2 de l'article 55 de la directive, transposé par l'article 5 de l'ordonnance à l'article L. 312-1-1 du code monétaire et financier.

* ⁸⁶ Paragraphe 1 de l'article 96 de la directive, transposé par l'article 12 de l'ordonnance à l'article L. 521-10 du code monétaire et financier.

* ⁸⁷ Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, dite « DSP 1 ».

* ⁸⁸ Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, dite « DSP 2 ».

* ⁸⁹ Ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.

* ⁹⁰ À savoir les personnes « qui exercent des actes de commerce et en font leur profession habituelle ».

* ⁹¹ Au sens de l'article L. 521-3-2 du code monétaire et financier. Il s'agit d'instruments de paiement ne pouvant être utilisés que de manière limitée comme, par exemple, les cartes prépayées.

* ⁹² Au sens de l'article L. 525-4 du code monétaire et financier. Il s'agit des « titres spéciaux de paiement dématérialisés soumis à des dispositions législatives ou réglementaires spécifiques ou à un régime spécial de droit public qui en destinent l'usage exclusivement à l'acquisition d'un nombre limité de catégories de biens ou de services déterminées ou à une utilisation dans un réseau limité ».

* ⁹³ Étude « Study on the use of cash by households », novembre 2017.

* ⁹⁴ Selon les indications de Delphine Gény-Stephann, secrétaire d'État auprès du ministre de l'économie et des finances, devant l'Assemblée nationale le 8 février 2018.

* ⁹⁵ Voir le compte-rendu de l'audition du 14 février 2018.

* ⁹⁶ Selon les informations transmises par la direction générale du Trésor, un tel encadrement est par exemple prévu en Allemagne, où la loi définit un seuil minimum d'achat de 20 euros et un plafond de retrait par opération de 200 euros.

* ⁹⁷ Pour une description détaillée, se reporter à l'exposé général et au commentaire de l'article 1 ^er du présent projet de loi.

* ⁹⁸ Assemblée nationale, compte rendu de la séance du 8 février 2018.

* ⁹⁹ Réponse de l'Autorité de contrôle prudentiel et de résolution au questionnaire du rapporteur général.

* ¹⁰⁰ Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.

* ¹⁰¹ Journal officiel de l'Union européenne L69/23 du 13 mars 2018, pages 23 à 43.

* ¹⁰² Ainsi en est-il lorsqu'une interface spécifique cesse, durant plus de deux semaines consécutives, de satisfaire aux critères de qualité prévus par les normes techniques de réglementation. Dans ce cas, l'autorité nationale de régulation informe l'Agence bancaire européenne et veille à ce que la banque mette en place un mécanisme automatisé de secours, au maximum dans les deux mois.

* ¹⁰³ En application du 4 de l'article 115 de la directive, précisant que « par dérogation au paragraphe 2, les États membres veillent à ce que les mesures de sécurité visées aux articles 65, 66, 67 et 97 s'appliquent dix-huit mois après l'entrée en vigueur des normes techniques de réglementation visées à l'article 9 8 ».

* ¹⁰⁴ Courrier n° 5927 adressé au Gouverneur de la Banque de France le 24 novembre 2017.

* ¹⁰⁵ Assemblée nationale, compte rendu de la séance du 8 février 2018.

* ¹⁰⁶ Assemblée nationale, compte rendu de la séance du 8 février 2018.

* ¹⁰⁷ Ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.

* ¹⁰⁸ Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.

* ¹⁰⁹ Cette exclusion est expressément prévue par l'article 3 de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015.

* ¹¹⁰ Ordonnance n° 2017-1433 du 4 octobre 2017 relative à la dématérialisation des relations contractuelles dans le secteur financier

* ¹¹¹ Les prestataires de services d'investissement (PSI), autres que les sociétés de gestion de portefeuille, sont des entreprises d'investissement et des établissements de crédit ayant reçu un agrément pour fournir des services d'investissement. L'exercice de chacun de ces services est soumis au respect de règles de bonne conduite et d'organisation ; après avis de l'AMF, l'agrément est délivré par l'Autorité de contrôle prudentiel et de résolution (ACPR) qui tient à jour la liste des prestataires agréés.

* ¹¹² À savoir les personnes mentionnées aux 1° et 2° de l'article L. 612-2 du code monétaire et financier.

* ¹¹³ Ordonnance n° 2018-95 du 14 février 2018 relative à l'extension en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna, de diverses dispositions en matière bancaire et financière.