TRAVAUX EN COMMISSION

I. AUDITION COMMUNE (14 FÉVRIER 2018)

Réunie le mercredi 14 février 2018, sous la présidence de M. Vincent Éblé, président, la commission a entendu, lors d'une audition commune, Mme Marie-Anne Barbat-Layani, directrice générale de la Fédération bancaire française, MM. Joan burkovic, fondateur de Bankin' et porte-parole de European AIS, groupement d'agrégateurs bancaires européens, Jean-Claude Huyssen, directeur des agréments, des autorisations et de la réglementation à l'Autorité de contrôle prudentiel et de résolution (ACPR) et Jérôme Reboul, sous-directeur des banques et des financements d'intérêt général à la Direction générale du trésor, sur le projet de loi ratifiant l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.

M. Vincent Éblé , président . - La commission des finances du Sénat est saisie du projet de loi de ratification de l'ordonnance du 9 août 2017 portant transposition de la directive du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (directive « DSP 2 »). La première directive sur les services de paiement, adoptée en 2007, avait mis fin au monopole bancaire dans les services de paiement. L'essor des nouvelles technologies a depuis lors favorisé l'émergence de nouveaux acteurs, tant pour l'initiation de paiement que pour l'information sur les comptes, qui n'étaient pas couverts par le droit de l'Union européenne. La directive « DSP 2 » s'attache donc à actualiser le cadre applicable en la matière, en se limitant néanmoins aux seuls moyens et comptes de paiement. Les comptes d'épargne et de crédit ainsi que l'assurance n'entrent donc pas dans le champ du texte.

À la suite d'une habilitation votée par le Parlement dans la loi dite « Sapin 2 », le Gouvernement a procédé à la transposition de cette directive par ordonnance. La plupart des dispositions de la directive devraient entrer en vigueur le 13 janvier dernier. L'application de certains articles n'interviendra toutefois pas avant août 2019 car ils nécessitent la publication de normes techniques de réglementation par la Commission européenne.

Compte tenu de l'essor rapide de ces nouveaux services, des opportunités et questions qu'ils soulèvent, nous avons souhaité échanger avec les différents acteurs. Nous avons le plaisir de recevoir M. Jérôme Reboul, sous-directeur des banques et des financements d'intérêt général à la direction générale du Trésor ; M. Jean-Claude Huyssen, directeur des agréments, des autorisations et de la réglementation à l'Autorité de contrôle prudentiel et de résolution (ACPR) ; M. Joan Burkovic, fondateur de Bankin' et porte-parole du groupement des agrégateurs bancaires European AIS et Mme Marie-Anne Barbat-Layani, directrice générale de la Fédération bancaire française.

Je vous rappelle que cette réunion est ouverte à la presse et retransmise sur le site internet du Sénat. Pour garder un caractère interactif à nos échanges, je vais donner la parole à nos intervenants pour de brèves interventions afin de laisser ensuite le débat s'installer.

Pour commencer, je donne la parole au représentant de la direction générale du Trésor, M. Jérôme Reboul, qui va revenir sur les principales évolutions prévues par la directive « DSP 2 » par rapport à la première directive de 2007 et préciser les options retenues dans l'ordonnance de transposition du 9 août 2017.

M. Jérôme Reboul . - Le Gouvernement a proposé à l'Assemblée nationale deux évolutions sur le texte de l'ordonnance. Il s'agit, d'une part, du cashback , et d'autre part, d'une entrée en vigueur anticipée de l'obligation de recourir aux interfaces dédiées, aussi appelées API (pour application programming interface ) pour se connecter aux comptes de paiement.

La directive « DSP 2 » actualise la directive dite DSP, laquelle avait pour objectif de créer une nouvelle catégorie d'entités bénéficiant d'un régime de régulation allégé par rapport aux établissements de crédits. Ce texte actualise également la directive dite « monnaie électronique », négociée en 2009, qui répondait à la même logique : permettre l'entrée de nouveaux acteurs, bénéficiant d'une réglementation allégée par rapport au régime bancaire traditionnel, afin de stimuler la concurrence ; mieux servir les consommateurs et mieux les protéger.

La directive DSP2, en mettant à jour les problématiques de supervision de la régulation des prestataires de services de paiement, s'inscrit pleinement dans cette double logique de facilitation de la concurrence et de protection des consommateurs. À titre d'exemple, elle permet de mettre en place des mesures de proportionnalité pour les acteurs réalisant de petits volumes de transaction. Elle permet également de diminuer les seuils de franchise qui s'appliquent aux consommateurs subissant un préjudice.

Je souhaite insister sur trois aspects. Tout d'abord, cette directive traduit la reconnaissance par la réglementation européenne de nouveaux acteurs - les agrégateurs et les initiateurs de paiements. Ces acteurs se sont beaucoup développés ces dernières années, et la directive met en place un cadre de régulation complet, qui comprend un régime d'agrément.

Ensuite, elle instaure un régime de responsabilité. La directive reconnaît la légitimité du business model de ces nouveaux acteurs. La France souhaite transposer très rapidement ce texte, afin de pouvoir se positionner comme un des points d'entrée sur le territoire européen pour ces derniers. Nous souhaitons ainsi devenir un pôle de développement. D'ailleurs, nous sommes le premier pays d'Europe à avoir donné un agrément à un agrégateur. Enfin, elle vise à renforcer la protection des consommateurs et à lutter contre le risque d'asymétrie règlementaire : en effet, ces acteurs pourraient choisir d'être agréés dans un pays qui serait moins-disant en termes de sécurité. La directive « DSP 2 » offre à cet égard la possibilité de mettre en oeuvre un certain nombre de mesures de sauvegarde. En particulier, elle permet à une autorité de supervision d'un pays, qui constaterait l'agissement d'un acteur en libre prestation de services dans des conditions non conformes aux dispositions de la directive, de se tourner vers l'autorité de supervision du pays où cet acteur a été agréé et lui demander de résoudre les difficultés qui résulteraient du comportement douteux de l'entité agréée. En outre, le superviseur peut prendre des mesures conservatoires temporaires, allant jusqu'à la suspension du service, si un acteur agréé dans un autre pays agissait dans des conditions qui ne seraient pas conformes à l'intérêt des consommateurs. On est donc bien en présence d'une logique de meilleure protection du consommateur européen contre un risque d'arbitrage réglementaire dont tireraient profit des acteurs ayant une reconnaissance européenne grâce au passeport européen.

Enfin, la directive « DSP 2 » élève les standards de sécurité pour les transactions. Est ainsi prévue une obligation d'une authentification forte pour les paiements en ligne. Vous avez sans doute déjà expérimenté cette technologie, utilisée par la plupart des banques et demandant d'indiquer un code reçu par SMS pour valider un paiement en ligne. Cela permet d'ajouter une sécurité supplémentaire, afin de se prémunir de la fraude. La directive « DSP 2 » va harmoniser ce niveau de protection et étendre le recours à cette technologie en définissant des standards techniques.

Cette directive apporte ainsi un équilibre entre une volonté de reconnaître de nouveaux acteurs, et en même temps un souhait de protéger les consommateurs contre les risques de fraudes ou de concurrence réglementaire. Aussi, les autorités françaises considèrent que cette directive constitue un pas dans la bonne direction. Nous avons d'ailleurs été le premier pays européen à avoir achevé sa transposition, illustrant le désir de la France d'être le pays d'accueil naturel de ces nouveaux acteurs.

Le Gouvernement a souhaité à l'occasion de l'examen de la loi de ratification présenter deux amendements. Le premier porte sur le cashback , soit la capacité pour un consommateur venant acheter un bien de pouvoir obtenir, au moment où il fait son achat, des espèces. C'est ainsi un nouveau mode de mise à disposition de l'argent liquide. Historiquement le cashback est interdit en France, par l'effet d'une disposition juridique assimilant ce procédé à un service de paiement, le réservant ainsi aux établissements de crédit. La directive prévoit expressément que le cashback n'est pas un service de paiement. On se retrouve dès lors dans une situation où les acteurs souhaitant développer ce type de service ont besoin d'un cadre réglementaire. Aussi, le Gouvernement a déposé à l'Assemblée nationale un amendement permettant de reconnaître la possibilité aux commerçants de pratiquer le cashback , sous des réserves qui seront précisées par voie réglementaire. Il s'agit notamment de la mise en place d'un seuil, afin d'éviter qu'il puisse permettre des échanges d'espèces totalement disproportionnés par rapport aux transactions réelles intervenant en même temps que la mise à disposition de l'argent liquide. Dans la plupart de nos pays voisins, comme en Allemagne ou en Grande-Bretagne, vous pouvez aller par exemple dans une station-service et obtenir un certain montant d'argent en liquide. Cela apporte un vrai service aux consommateurs, notamment dans un contexte d'évolution du réseau des établissements de crédits. Ainsi, à moyen terme, le nombre de distributeurs de billets, ou de points de contact avec une banque, va fortement diminuer. Nous souhaitons répondre à cette problématique dans des conditions sécurisées. La France prendra ainsi des mesures d'encadrement spécifiques.

La ratification du projet de directive est également l'occasion de proposer un amendement, visant à anticiper la mise en place de normes techniques réglementaires. La directive, en reconnaissant l'activité des agrégateurs et initiateurs de paiement, a prévu une obligation pour ces derniers d'utiliser des interfaces informatiques sécurisées. Aujourd'hui, ils fonctionnent essentiellement par le biais de la même interface que les consommateurs « classiques ». En réalité, ils doivent se faire passer pour vous vis-à-vis de votre banque, en utilisant vos identifiants et mots de passe bancaires. Afin de sécuriser la relation entre le consommateur, la banque et le tiers agrégateur, la directive prévoit une authentification obligatoire de l'agrégateur ou de l'initiateur de paiement. Elle prévoit également que l'accès au compte de paiement devra se faire à travers une interface plus sécurisée que l'interface client. Les agrégateurs et initiateurs de paiement devront ainsi avoir recours à la technologie dite de l'API. Il était initialement prévu que les dispositions de la directive relatives à l'accès au compte de paiement et celles sur la responsabilité des nouveaux acteurs entrent en vigueur en même temps que l'obligation d'accéder aux comptes dans des conditions informatiques sécurisées. Toutefois, la Commission européenne a pris beaucoup de retard dans l'élaboration de la norme technique réglementaire devant préciser le fonctionnement de ces API. Aussi, le texte de la directive prévoit une entrée en vigueur de ces dernières seulement à l'été 2019. C'est la raison pour laquelle la France a souhaité que les dispositifs relatifs à la sécurité entrent en vigueur le plus tôt possible. Il y a en effet un enjeu de sécurité majeur, rappelé par l'agence nationale de la sécurité des systèmes d'information (ANSSI) en matière de sécurité des données. Aussi, le Gouvernement a souhaité anticiper la mise en oeuvre de ces normes réglementaires, dès lors que nous aurons la certitude que les interfaces dédiées seront opérationnelles. Cette disposition est parfaitement conforme au droit européen.

Enfin, il y a aujourd'hui des débats sur une extension possible du champ de la directive, pour permettre aux agrégateurs et initiateurs de paiement d'avoir accès à d'autres types de comptes. Le Gouvernement a choisi d'adopter une position prudente sur ce sujet. Nous pensons qu'une anticipation unilatérale par la France de telles dispositions poserait de vraies questions en termes de concurrence et de sécurité.

M. Vincent Éblé , président . - Je donne maintenant la parole à M. Jean-Claude Huyssen, représentant de l'ACPR, afin de présenter les nouvelles modalités d'agrément et d'enregistrement prévues par la directive, ainsi que les règles applicables aux services fournis hors des comptes de paiement, non couverts par la directive.

M. Jean-Claude Huyssen . - Pour l'ACPR, la directive « DSP 2 » complète la première directive dans trois domaines essentiels. Tout d'abord, elle renforce l'harmonisation de la réglementation. Ensuite, elle permet de définir de nouveaux services de paiement ainsi que de nouveaux types d'acteurs. Enfin, elle renforce la sécurité.

En ce qui concerne l'harmonisation, plusieurs mesures nous paraissent utiles et bienvenues. Ainsi, la nouvelle directive a une conception plus restrictive des règles d'exclusion et d'exemption. En effet, jusqu'à présent, grâce à ces exclusions, des acteurs pouvaient offrir des services de paiement tout en étant en dehors du champ de la directive. La directive « DSP 2 » apporte à cet égard des clarifications utiles de la notion d'agent commercial. En effet, les places de marché sont des acteurs très importants pour le commerce en ligne, par lesquelles transitent des sommes significatives. Désormais, ces places de marché seront intégrées dans le champ des dispositions de la directive.

Est également clarifiée la définition en matière d'exemption de la notion de réseaux limités, ce qui permettra de mettre fin à des interprétations divergentes entre pays. La directive permet ainsi de restreindre le champ de ces exceptions, en précisant par exemple, qu'il n'est plus possible d'obtenir plus d'une exemption par type de réseau limité. Au-delà, un agrément sera nécessaire. Il ne sera plus non plus possible d'acquérir un éventail illimité de biens et services au sein d'un réseau limité. Enfin, il y a eu une clarification des exemptions pour les opérateurs de télécommunication, mais cela a déjà été transposé par anticipation en France.

Un rôle important est confié à l'Autorité bancaire européenne (ABE), qui se voit confier de nouvelles responsabilités dans quatre domaines. Un registre européen va être mis en place : il permettra à tous les consommateurs européens de savoir quels prestataires ont obtenu une autorisation. Ce registre ne sera toutefois effectif qu'à la fin de l'année prochaine. D'ici là, l'ACPR publiera sur son site internet un registre regroupant non seulement les établissements et prestataires agréés en France, mais également tous ceux qui ont déclaré exercer en France par l'intermédiaire du passeport européen. Ainsi, le consommateur français sera informé des prestataires habilités à intervenir. Par ailleurs, l'Autorité bancaire européenne se voit confier une responsabilité nouvelle en matière de médiation, afin de régler les différends entre les autorités compétentes nationales, lors d'interprétations différentes.

La Banque centrale européenne (BCE) doit également prendre onze textes d'application. Cinq ont déjà été adoptés.

En ce qui concerne la mise en place de ces nouveaux services, il est important de souligner, du point de vue de la délivrance de l'agrément, que ces services ne conduisent jamais les intermédiaires à entrer en possession des fonds. C'est la raison pour laquelle la directive « DSP 2 » prévoit un cadre d'autorisation et de supervision proportionné aux risques que font courir ces acteurs au système financier. Ainsi, les initiateurs, qui peuvent intervenir directement sur les comptes pour initier des paiements, sont soumis à un régime d'agrément, correspondant à celui des établissements de paiement. Au contraire, les prestataires qui ne font que de l'agrégation sont soumis à un simple régime d'enregistrement. De même, les initiateurs de paiement doivent disposer d'un capital minimal de 50 000 euros tandis que les prestataires d'agrégation ne sont pas soumis à cette contrainte. Dans tous les cas, un renforcement de la sécurité est prévu, puisque l'ensemble de ces prestataires devront désormais disposer d'une assurance civile professionnelle, apportant une garantie équivalente et couvrant l'ensemble des territoires sur lesquels ils exercent leurs services. Le montant minimum de cette dernière est fixé par une orientation de la BCE, et a été transposé en France par un arrêté. Ce dernier précise d'ailleurs que ces services et prestataires bénéficieront du passeport européen.

La directive est entrée en vigueur le 13 janvier 2018. A ce jour l'ACPR a reçu une quinzaine de dossiers, et a délivré deux agréments.

Enfin, en ce qui concerne le renforcement de la sécurité, trois points me paraissent essentiels. Tout d'abord, l'authentification forte va être généralisée. En outre, de nouvelles règles de communication entre les prestataires de services de paiement (PSP) vont être mises en place, avec l'introduction des API. Enfin, des règles de partage des responsabilités entre les différents prestataires de services de paiements vont être instaurées, en cas de mauvaise exécution des services de paiements. Il y a donc bien une volonté de renforcer la protection du consommateur. Le prestataire de services de paiements gestionnaire du compte aura obligation de rembourser, à charge pour lui ensuite de se retourner vers l'autre prestataire qui n'a pas correctement exécuté le service de paiement.

M. Vincent Éblé , président . - Je cède maintenant la parole à M. Joan Burkovic, fondateur de Bankin', premier prestataire agréé par l'ACPR et porte-parole du groupement des agrégateurs bancaires européens European AIS , pour nous exposer les principaux enjeux soulevés par la mise en oeuvre des règles de la directive et la finalisation des normes techniques réglementaires.

M. Joan Burkovic . - J'interviendrai également au nom de France Fintech, dont je suis l'un des représentants. Je souhaite revenir rapidement sur la genèse de cette directive. Elle est venue d'Allemagne. En effet, les Allemands utilisent très peu la carte bancaire, et beaucoup plus les espèces. Dès lors, l'achat sur internet est compliqué. Une start-up allemande a ainsi développé un outil pour payer sur internet avec un ordre de virement et une synchronisation utilisant les mêmes identifiants bancaires. Cette innovation a bousculé le secteur bancaire, puisque cette start-up faisait des virements bancaires depuis l'interface de la banque. Les banques ont entrepris des actions en justice, et ce sujet est remonté jusqu'à la Commission européenne. Cette dernière, au lieu de l'interdire, a voulu promouvoir cette innovation, tout en garantissant parallèlement la sécurité de ce nouveau service.

En 2011, en France, Bankin' était l'une des rares entreprises à proposer une consultation des comptes bancaires à partir d'un smartphone. Or, aujourd'hui, un peu plus de cinq millions de Français utilisent un service d'information sur leurs comptes. Pour les particuliers, il s'agit principalement d'une interface de gestion de leur argent. Toutefois, il y a beaucoup d'autres usages, notamment lorsque des entreprises ont besoin de récupérer les informations bancaires de leurs clients. C'est le cas notamment des comptables. Grâce à nos logiciels, la donnée arrive en temps réel dans un logiciel comptable, sans risque d'erreur et de fraude. De même, c'est une demande récurrente des acteurs du crédit. Grâce à ce système, on peut synchroniser les comptes, la donnée arrive instantanément dans le système bancaire et l'évaluation de la capacité d'endettement se fait immédiatement, sans risque d'erreur ou de fraude. Cela permet de répondre rapidement à la demande de crédit, et d'ouvrir l'accès au crédit à des personnes qui jusque-là en étaient privées. Enfin, notre technologie permet de faciliter la lutte contre le blanchiment, la fraude et le financement du terrorisme, en allant vérifier les informations directement sur les comptes.

Face à cette situation, la Commission européenne a profité des négociations autour de la directive « DSP 2 » sur les services de paiement pour y inclure les services d'information sur les comptes, même s'il ne s'agit pas tout à fait du même périmètre. C'est la raison pour laquelle nous nous retrouvons dans une situation où la directive ne concerne que les comptes de paiement, alors que 80 % des comptes connectés par les services d'information ne sont pas des comptes de paiement. Il s'agit de comptes d'épargne et de crédits. C'est logique, car lorsque l'on gère son argent, on gère l'ensemble de ses finances, et grâce à l'interface bancaire on souhaite consulter à la fois son compte courant, mais aussi son livret A, son assurance-vie et son crédit. D'ailleurs, lorsque les acteurs du crédit veulent évaluer la situation financière d'une personne demandant un crédit, ils ne regardent pas seulement les comptes de paiement, mais aussi le taux d'endettement et l'épargne.

On a en France la chance d'avoir des pépites françaises, des acteurs qui se font d'ailleurs racheter par le secteur bancaire, ou qui sont même créés directement par des banques en interne.

Les premiers utilisateurs de cette technologie sont les banques. Puis, viennent les comptables, les acteurs du crédit, les conseillers financiers, les banques privées, les acteurs du paiement et les consommateurs. Notre société propose d'ailleurs à nos clients de les mettre en relation avec un fournisseur de services financiers, par exemple pour renégocier leurs crédits. Si notre utilisateur réalise cette opération avec le courtier, nous sommes alors rémunérés en tant qu'apporteur d'affaires.

L'un des sujets clés est l'ouverture des donnés des comptes d'épargne et de crédit. Il s'agit d'une transformation mondiale et inévitable. Le monde est en train de se digitaliser. La directive « DSP 2 », en négociation depuis sept ans, pourrait être l'occasion de montrer l'exemple au monde ; sauf que le monde entier se rend compte que la directive a oublié 80 % des comptes. D'ailleurs, dans son esprit, la directive « DSP 2 » ne se limite pas uniquement au paiement. En effet, le considérant n° 28 précise que la directive doit permettre à l'utilisateur d'avoir une vue d'ensemble sur sa situation financière.

Je souhaite revenir rapidement sur la question des normes techniques. Pour les opérateurs de la fintech , la sécurité est un enjeu essentiel : sans sécurité, il n'y a pas de confiance, et sans confiance pas d'utilisateur. La directive « DSP 2 » indique que deux technologies peuvent être utilisées : l'accès direct ou les interfaces dédiées (API). Les deux technologies sont donc officialisées. D'ailleurs, aujourd'hui, seul l'accès direct est utilisé, puisque les API n'existent pas encore. Il n'y a aucune preuve - et les experts se sont penchés sur cette question - que l'accès direct soit moins sécurisé que les API. Nous sommes pour le développement des API, car il s'agit de la manière la plus stable de communiquer entre serveurs, à la condition que ces interfaces présentent les mêmes performances en termes d'accès aux données bancaires que l'accès direct. Je précise également que les différences de technologies entre accès direct et API n'ont rien à voir avec les questions de stockage d'identifiants bancaires. D'ailleurs, la directive encadre les acteurs manipulant les identifiants bancaires. C'est une obligation : on ne pourrait pas se connecter au compte du client si l'on n'avait pas accès à ces informations. Le texte est très clair, nous devons être agréés. Les acteurs, parce qu'ils manipulent des données sensibles, doivent être contrôlés. Et, en parallèle, la sécurité est renforcée, en généralisant l'authentification forte. Les acteurs de la fintech ont proposé d'amender l'ordonnance, afin d'y inclure l'ensemble des comptes connectés qui ne sont pas des comptes de paiement. Aujourd'hui, il est illogique de ne pas les inclure dans les chaînes de responsabilités. Des acteurs non agréés pourront avoir accès à ces informations, et en cas de problème sur les comptes de crédits et d'épargne, il n'y a aucune garantie réglementaire. Ce ne sont pas les assurances qui couvriront ce risque, mais directement le citoyen. En refusant d'inclure ces comptes, on nie aujourd'hui une réalité. Nous proposons ainsi une authentification systématique. Aujourd'hui, des acteurs peuvent se connecter de manière anonyme, sans que l'on sache s'ils sont agréés ou non.

Nous sommes également surpris par l'amendement visant à aller plus vite sur l'instauration de l'interface dédiée, alors qu'au niveau européen, tout un système se met en place afin de contrôler que les API répondront aux mêmes performances que l'accès direct. D'ailleurs, ces interfaces devront être testées par les acteurs du marché pendant une durée de six mois et validées par un comité, afin d'éviter d'imposer des API qui ne permettraient plus aux acteurs du marché d'avoir accès aux données dans les mêmes conditions. Nous avons proposé aux acteurs bancaires de participer à l'évaluation des API. On nous a fermé la porte. Si le protocole des API doit nous être imposé, nous souhaitons participer à son élaboration.

M. Vincent Éblé , président . - Je donne la parole à Mme Marie-Anne Barbat-Layani, directrice générale de la Fédération bancaire française (FBF), afin de présenter comment les établissements bancaires se préparent à l'application des règles issues de la directive.

Mme Anne-Marie Barbat-Layani . - La directive « DSP 2 » porte sur le marché intérieur des paiements. L'objectif de la Commission européenne est de développer le marché intérieur des paiements, pas celui de l'épargne. Nous ne sommes donc pas dans le même domaine. Les raisons qui ont poussé la Commission européenne à proposer ce texte sont doubles. Cette directive ouvre le marché des paiements à un certain nombre de nouveaux acteurs, ce à quoi la profession bancaire n'est pas opposée. En outre, et c'est la raison pour laquelle nous sommes favorables à ce texte, dans le domaine des paiements, elle permet de renforcer la sécurité. Des activités s'étaient en effet développées en marge de la réglementation et utilisaient les identifiants et codes d'accès des clients pour accéder à leurs comptes. Or, cela ne correspondait pas à nos obligations contractuelles. Et, jusqu'à présent, ce problème de sécurité n'avait pas été traité.

Toutefois, les dispositifs de sécurisation rencontrent une certaine limite, venant du fait que les considérations de sécurité ont été introduites de manière tardive dans une directive centrée au départ sur la concurrence. Pour nous, une malfaçon évidente est le fait que les considérations de sécurité n'entreront en vigueur qu'à l'été 2019, alors que les autres dispositions de la directive sont déjà en vigueur. Nous sommes ainsi dans une situation ou la directive ouvre, sans que la banque ne puisse s'y opposer, l'accès à des tiers aux comptes de paiement des clients que nous sommes censés protéger. Mais nous n'avons aucune possibilité de vérifier la qualité des opérateurs qui interviennent. Aussi, nous saluons l'initiative du Gouvernement, qui consiste à permettre l'entrée en vigueur des interfaces sécurisées au plus tôt, dès qu'elles auront été développées. D'ailleurs, le secteur bancaire est seul responsable du développement des interfaces de sécurité qui permettront à des tiers d'accéder aux comptes de nos clients. Nous sommes ainsi en charge de développer ces infrastructures. Nous le faisons bien volontiers compte tenu des risques majeurs en termes de cybersécurité.

Il y a, en outre, à nos yeux, un enjeu de responsabilité, puisque les tiers de paiement interviennent sur le compte de nos clients. S'il y a un problème - une fraude, ou un piratage de leur système, entraînant une fraude sur les comptes de nos clients -, c'est la banque qui doit rembourser le client. Il lui revient ensuite de se retourner vers les opérateurs et de demander des remboursements pour les opérations frauduleuses ou erronées. Le texte a prévu des obligations d'agrément et d'assurance. Je signale que ces obligations d'assurance, par nature, ne pourront être vérifiées par le régulateur que pour les activités réglementées, c'est-à-dire celles portant sur les comptes de paiement. Bien évidemment, si on devait envisager toute extension du régime en vigueur pour les paiements à l'épargne ou au crédit, la question des assurances devrait être reposée, et il reviendrait aux opérateurs d'être agréés à nouveau pour de nouveaux types d'opération. Nous avons critiqué ce régime de responsabilité, car il nous met en risque de devoir payer pour le compte d'autrui, puis de devoir se retourner vers les opérateurs fautifs. De ce point de vue, il est plutôt sécurisant d'avoir un régime d'agrément. Nous nous interrogeons toutefois sur la façon de procéder, le cas échéant, si les opérateurs fautifs n'étaient pas établis en France et agréés dans un autre pays. Le dispositif est alors très compliqué.

En ce qui concerne les API, le secteur bancaire a demandé à une société, qui est gestionnaire d'infrastructures de paiement, de développer des spécifications techniques, pour que les banques puissent, sur ces bases, développer les interfaces sécurisées. Cette entreprise s'est tournée vers l'ensemble des opérateurs. Personne n'a ainsi été exclu des réflexions. La concertation sur les spécifications à mettre en place avance. La France est aujourd'hui dans une situation pionnière, puisque nous sommes la seule communauté bancaire à être quasiment en situation de développer les API. Nous espérons que ces interfaces pourront être mises en place d'ici la fin 2018. On pourrait ainsi gagner quelques mois en termes de sécurité par rapport aux dispositions de la directive, grâce à l'amendement gouvernemental.

Je souhaite, enfin, revenir sur l'extension du champ de la directive aux comptes d'épargne. Pour moi, il serait très étonnant que l'intégration des comptes d'épargne se fasse au stade de la transposition d'une directive portant clairement sur le marché intérieur des paiements. Si on souhaite intégrer ces comptes, le seul lieu de discussion possible pour le faire est le niveau européen. C'est d'ailleurs la position de la Commission européenne qui m'a confirmé récemment qu'effectivement le texte de la directive DSP2 portait sur les paiements et non sur les comptes d'épargne La situation de ces derniers est très complexe, puisque les activités dont il est question ne sont pas réglementées. En tant que représentants du secteur bancaire, il ne nous appartient pas de nous prononcer sur des activités non réglementées. Enfin, je souhaite rapidement évoquer le risque de blanchiment de capitaux et de financement du terrorisme. Le dernier rapport de Tracfin est intéressant à cet égard car il rappelle que les nouveaux acteurs consacrés par la directive « DSP 2 » n'ont pas la même culture contre le risque de blanchiment que les établissements bancaires. Le rapport pose également un certain nombre de questions sur la supervision de ces nouveaux acteurs.

M. Albéric de Montgolfier , rapporteur général . - Sur le champ d'application de la directive, la proposition de la France est une transposition a minima , réservée aux seuls moyens de paiement. Il me semble que d'autres pays, comme le Royaume-Uni, sont allés plus loin et ont étendu en partie l'application de la directive aux comptes d'épargne. Aujourd'hui, la porosité entre l'épargne et le paiement est assez grande. Ce qui intéresse le consommateur, lorsqu'il consulte ses comptes sur son smartphone , c'est de pouvoir consulter ses comptes, effectuer des paiements, mais aussi recourir à son épargne, son assurance-vie.

Ma deuxième question porte sur la possibilité de retirer de l'argent liquide. Le seuil règlementaire retenu doit-il être celui du seuil applicable pour les paiements en espèces, à savoir 1 000 euros ? Est-ce plus élevé ? Moins élevé ? En France, cette possibilité a certes pour l'instant un intérêt limité en raison du réseau de distributeurs, mais dans l'avenir, elle pourrait être intéressante.

Enfin, en ce qui concerne l'agrément, nous avons vu dans d'autres secteurs, qu'un certain nombre de sociétés se sont installées dans d'autres pays européens, comme Chypre. Les critères d'agrément seront-ils les mêmes ? Vous nous avez indiqué que l'ACPR mettrait à disposition sur son site internet la liste des opérateurs agréés. Toutefois, je ne pense pas que tous les consommateurs aient le réflexe de vérifier sur le site de l'ACPR si le prestataire dispose d'un agrément. Nous avons la même problématique aujourd'hui avec certains investissements risqués : les fiches de synthèse sont disponibles sur le site de l'Autorité des marchés financiers (AMF), mais peu de personnes les consultent. Avez-vous prévu des moyens de lutte contre la propagation de sites non agréés ? Le Parlement avait été à l'origine d'une interdiction de publicité pour des produits de placements « exotiques » présentant un risque majeur. Avez-vous prévu des mesures de poursuite à l'égard de sites qui proposeraient demain des services de paiement sans agrément ?

Si demain un grand nombre de consommateurs ayant recours à un agrégateur de paiement et décidant de faire des transferts vers des comptes d'épargne, sont victimes d'une fraude massive, quelle est la responsabilité de chacun ? L'opérateur peut très rapidement se retrouver en difficulté, sa capitalisation ne lui permettant pas forcément de rembourser les consommateurs. On voit aujourd'hui des problèmes réguliers de fraude sur les GAFA.

En ce qui concerne l'épargne, j'ai compris que nous étions dans une zone grise, non prévue par la directive, mais qui n'est pas interdite. Que pensez-vous de la proposition de rendre obligatoire la souscription d'une assurance pour les services non régulés ?

Enfin, les banques se plaignent du coût des chèques. Elles ont tout intérêt à inciter le consommateur à utiliser les virements électroniques. Or, un frein aux virements lorsqu'ils sont initiés sur internet, est que l'on ne peut pas faire de paiement le samedi ou le dimanche. De même, pour que le virement arrive le lendemain sur le compte du créditeur, il faut que le débiteur fasse son virement avant midi. Si les banques n'évoluent pas, les consommateurs vont se tourner vers des modes alternatifs de paiement. Est-ce un problème de compensation ?

M. Jérôme Reboul . - Le seuil concernant le cashback n'a pas encore été fixé. Il ne sera en aucun cas analogue à celui du paiement maximal en espèce. La fixation du seuil doit permettre de réduire deux types de risque : le blanchiment et la fraude, parce que cela permet aux commerçants de manipuler des espèces qui n'ont pas de lien avec l'évolution de leurs stocks ; le risque lié à la qualité de la circulation fiduciaire. Concrètement, il faut éviter de mettre en circulation, par ce biais, des billets falsifiés. L'objectif est ainsi de fixer un seuil préservant un bon arbitrage entre l'intérêt de service pour le client et la prévention des risques. Le seuil doit être suffisamment bas pour écarter la remise de grosses coupures, qui sont les plus vulnérables au risque de fraude. Une concertation doit avoir lieu. A titre indicatif, le montant moyen de retrait dans les distributeurs automatiques est de 80 euros. Les Allemands autorisent le cashback jusqu'à 150 euros.

En ce qui concerne la sécurité, il y a deux questions distinctes. Y a-t-il une obligation de donner l'accès à des tiers pour les établissements teneurs de compte ? S'il y a une obligation d'accès, cela implique nécessairement de clarifier le régime de responsabilité et de prévoir une forme d'assurance. Les obligations d'assurance professionnelle vont en général avec l'existence d'un agrément. Or, actuellement, la France ne souhaite pas aller de manière trop rapide vers une extension de la procédure aux comptes d'épargne et de crédits, car les problèmes de sécurité se posent de manière assez différente. Les montants sont potentiellement beaucoup plus élevés. En outre, il s'agit d'un univers dans lequel les conséquences en termes concurrentiel sont beaucoup plus compliquées à appréhender. Pour les comptes de paiement, l'accès est une obligation imposée unilatéralement aux établissements de crédit. Étendre cette obligation à d'autres comptes ferait peser sur les banques une charge indue. On serait, en tous cas, manifestement dans une surtransposition de la directive. Le Gouvernement estime aujourd'hui ne pas disposer des éléments lui permettant de trancher. En outre, il est manifeste que ce sujet doit être traité au niveau européen.

Je n'ai pas l'impression que nos partenaires européens aient l'intention de se précipiter vers une ouverture plus large du champ de la directive. Ils ont la même réflexion que nous.

M. Jean-Claude Huyssen . - Nous nous assurons que les acteurs disposent d'une assurance telle que prévue par les textes. Ces derniers sont harmonisés au niveau européen, car il y a une orientation de la BCE. Nous vérifions que le montant de l'assurance contractée correspond bien au minimum prévu par les textes, qui doit permettre de couvrir à la fois le profil de risque de l'établissement, l'éventail de son activité et son type d'activité. Un certain nombre de critères sont ainsi pris en compte, en particulier le nombre d'incidents constatés par le passé ayant donné lieu à indemnisation, le nombre de comptes, ou encore si le prestataire a une activité hybride. Dans ce cas, le montant minimal de l'assurance est rehaussé de 50 000 euros. Cette assurance ne concerne que les comptes de paiement. Cela n'interdit pas les établissements de souscrire d'autres assurances.

Dans le cadre d'un marché unique, en cas de problème avec un acteur agréé, le principe de la responsabilité du pays d'origine s'applique. Dès lors que l'on est agréé, on peut exercer, dans n'importe quel autre pays de l'Union européenne. La directive « DSP 2 » intègre un dispositif de sécurité : si l'ACPR constate qu'il y a une grave atteinte aux intérêts des utilisateurs des services de paiement, elle pourra prendre des mesures conservatoires pour interrompre temporairement le service, sans préjudice des décisions prises dans le pays d'origine, par l'autorité compétente. Nous sommes confrontés dans de nombreux domaines à des fraudes ou à l'exercice illégal d'une activité. Nous en informons le procureur, après avoir écrit à l'acteur concerné en lui demandant, dans un délai très court, de s'expliquer sur cet exercice illégal. Nous publions sur notre site internet les arnaques les plus fréquentes. Ces dernières années, cela concernait notamment les options binaires et les services de change. Avec l'AMF, nous avons mis en place une liste noire qui est publiée. Elle s'est avérée être efficace. Voici les armes dont nous disposons.

Actuellement, nous sommes dans une période transitoire, car la directive vient d'entrer en vigueur le 13 janvier. Toutes les sociétés agrégatrices de paiement et de services qui font de la publicité sur internet ne sont donc pas encore agréées. Une quinzaine de dossiers a été déposée. Bankin' est la première société à avoir été agréée et à avoir levé toutes les conditions suspensives - par exemple la signature définitive du contrat d'assurance. Il y a aussi des acteurs qui existaient avant cette directive, et qui continuent de fonctionner alors qu'ils n'ont pas encore obtenu leur agrément.

Mme Marie-Anne Barbat-Layani . - En ce qui concerne les freins au virement, il faut faire une distinction entre le virement instantané et le paiement instantané. Les virements instantanés vont être mis en place à partir de 2019, également dans le cadre du marché intérieur des paiements. Aujourd'hui, les virements se font à J+1, ils peuvent être initiés 24 heures sur 24, 7 jours sur 7. Enfin, le paiement par carte bancaire permet déjà de faire des paiements instantanés.

M. Joan Burkovic . - Nous sommes favorables à généraliser l'assurance à tous les comptes, car comme je le disais, s'il n'y a pas de confiance, il n'y a pas d'utilisateur. Nous voulons éviter un scénario où un scandale financier aurait pour origine des acteurs qui se connectent aux comptes et se spécialisent sur l'épargne et le crédit sans agrément. Au final, ce serait tout le marché qui en pâtirait. Il faut obliger les acteurs, comme nous, à s'authentifier auprès de la banque. Il faut également obliger la banque à lire cette authentification afin que l'on puisse retracer la chaîne des responsabilités en cas de faille. Nous avons demandé à notre assurance de couvrir tous les comptes. Un des principaux enjeux en termes de sécurité et de traçabilité est de mettre en place une chaîne d'authentification.

Mme Nathalie Goulet . - Quelle garantie avons-nous sur la localisation de ces sociétés ? Nous sommes dans une dématérialisation complète. Ainsi, vont à nouveau apparaître des sociétés dans des lieux comme Jersey qui vont faire du profit sur des prestations en ligne. On risque de reconstituer ce que l'on cherche à démanteler par ailleurs.

En outre, la commission nationale de l'informatique et des libertés (CNIL) a-t-elle été saisie ?

M. Claude Raynal . - Il me semble que la mise en place du cashback va à l'encontre de l'objectif général d'une diminution du recours aux espèces. Ne serait-il pas plus simple d'augmenter le plafond du paiement par carte sans contact ?

Pour ma part, je sortirai de cette réunion avec un certain nombre de craintes. Ma première interrogation porte sur la confidentialité. Je n'ai pas envie que tout le monde puisse aller voir mes comptes. Suis-je informé qu'une fintech a accès à mes comptes ? Est-ce que l'on me demande mon avis, ou bien est ce que le consommateur n'est pas au courant ?

Par ailleurs, les banques peuvent-elles limiter la transmission des informations aux seules comptes courants ?

M. Éric Bocquet . - Le site de Bankin' indique que sa rémunération se fait par le partenaire suggéré au client. Pouvez-vous nous le confirmer ? En outre, votre site précise que vos serveurs sont implantés en Europe. Cela signifie en creux qu'ils pourraient ne pas l'être. Pouvez-vous nous indiquer dans quels pays ils se trouvent ?

M. Jérôme Bascher . - La mise en place du cashback pose une question de sécurité des personnes et des endroits où il pourra être recouru à ce système. En effet, aujourd'hui, on ne braque plus les banques, mais les bureaux de tabac, ou les stations-essence.

M. Bernard Lalande . - Je suis assez étonné par ce débat. On a l'impression que le secteur bancaire cherche à freiner les découvertes des fintechs en invoquant la sécurité. Or, en 2008, la sécurité n'a pas empêché une crise financière et la ruine d'un certain nombre de gens qui se sentaient pourtant en sécurité. Pourquoi le secteur bancaire ne développe-t-il pas de lui-même ces protocoles de sécurité ? La France est-elle en retard par rapport à l'Asie ou au continent américain ? Cette ouverture vers le monde est inéluctable, et on a l'impression que la direction générale du trésor est plus moderne que le secteur bancaire.

Mme Marie-Anne Barbat-Layani . - Les banques sont modernes. Les applications bancaires sont troisième au classement des plus utilisées par les Français. Tous les services bancaires sont offerts sur internet. D'ailleurs, leur usage est souvent moins important que l'offre existante. Les utilisateurs ne recourent pas forcément au service internet, même si l'on constate une augmentation.

Historiquement, nous sommes en charge d'assurer la sécurité des données de nos clients. C'est le principe même du secret bancaire. On parlait moins de cybersécurité en 2008, car ce sujet ne faisait pas encore partie des principales priorités des banques et des régulateurs. Les cyberattaques se développent de plus en plus, et nos superviseurs en France, à Francfort ou au comité de Bâle, en sont conscients. Les banques réalisent des investissements très lourds à ce sujet. C'est la raison pour laquelle nous sommes précautionneux sur l'accès à nos infrastructures. La logique de la directive « DSP 2 » fait que l'on ne peut pas empêcher l'accès à nos infrastructures. Nous avons la charge de les développer et d'ajuster la sécurité.

Les banques ne peuvent pas fermer l'accès des tiers aux comptes pour deux raisons. D'une part, dans l'univers réglementé de la directive « DSP 2 », ce texte interdit de le faire. D'autre part, pour les comptes d'épargne et de crédit, cela relève de la responsabilité du client. Les tiers peuvent intervenir dans la partie non réglementée parce que le client leur a donné son identifiant et son code d'accès. Ces entités ne peuvent pas intervenir sur votre compte, si vous ne leur avez pas donné l'accès. Se pose en outre la question de la dissémination potentielle des données, notamment dans le secteur non régulé. Par exemple, où se situent les serveurs ?

Il y a une différence forte entre l'Europe, l'Asie et les États-Unis. Nous sommes dans des univers très différents en termes de fraude. Aux États-Unis, le taux de fraude est beaucoup plus élevé. La directive « DSP 2 » est unique en son genre. Elle n'existe pas aux États-Unis. Bien au contraire, nos homologues américains s'inquiètent de ce qui se passe en Europe. L'ancienne dirigeante de la Federal deposit insurance corporation a ainsi écrit un article dans le Financial times à ce sujet.

M. Joan Burkovic . - En ce qui concerne la protection des données, je tiens à indiquer qu'une démarche active de l'utilisateur est nécessaire. A un moment donné, ce dernier doit donner l'accès à ces comptes. Par ailleurs, nous sommes soumis à la loi sur la protection des données. La nouvelle réglementation européenne est particulièrement vigilante à notre égard.

À mon avis, c'est une erreur de vouloir fermer le marché. Je comprends que certains ne souhaitent pas ouvrir l'accès à leurs données. Mais à un moment donné, vous devez le faire, par exemple pour prendre un crédit. Aujourd'hui, c'est fait manuellement. La question qui se pose est de savoir si l'on souhaite créer un cadre et favoriser des acteurs européens pour devenir des champions du secteur, ou si l'on attend quelques années et on se rendra alors compte de notre erreur.

Nos serveurs sont en France, en Allemagne et en Irlande. Nous sommes rémunérés en tant qu'apporteur d'affaires. Nos utilisateurs en sont informés. En outre, nous proposons également d'acheter d'autres fonctionnalités, par exemple pour la gestion des comptes professionnels.

M. Jérôme Reboul . - Le besoin d'espèces dans l'économie ne diminue pas. On le constate dans les commandes de pièces. Les moyens de paiement mobiles se substituent aux chèques et il faut encourager ce mouvement. Mais, le besoin en espèces ne diminue pas pour les petits montants.

Nous n'imposons à aucun commerçant de devoir assurer une prestation de cashback . Mais cette mesure est intéressante pour les commerçants qui ont un fond de caisse important. Cela leur permettra de gérer de manière plus optimale celui-ci, souvent à la baisse.

Les thèmes associés à ce dossier

Page mise à jour le

Partager cette page