Projet de loi ratifiant l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur

Rapport n° 348 (2017-2018) de M. Albéric de MONTGOLFIER , fait au nom de la commission des finances, déposé le 14 mars 2018

Disponible au format PDF (1,8 Moctet)

Tableau comparatif au format PDF (628 Koctets)

Synthèse du rapport (408 Koctets)

N° 348

SÉNAT

SESSION ORDINAIRE DE 2017-2018

RAPPORT

FAIT

au nom de la commission des finances (1) sur le projet de loi , ADOPTÉ PAR L'ASSEMBLÉE NATIONALE APRÈS ENGAGEMENT DE LA PROCÉDURE ACCÉLÉRÉE , ratifiant l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur ,

Par M. Albéric de MONTGOLFIER,

Sénateur

Voir les numéros :

LES CONCLUSIONS DE LA COMMISSION DES FINANCES

EXPOSÉ GÉNÉRAL

Mesdames, Messieurs,

Le Sénat est saisi du projet de loi ratifiant l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, dite « DSP 2 ». Il fait l'objet d'une procédure accélérée et a été adopté par l'Assemblée nationale le 8 février 2018.

La directive devait être transposée en droit national au 13 janvier 2018, date fixée pour l'entrée en vigueur de la plupart de ses dispositions. Dans cette perspective, l'article 70 de la loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique ^{1 ( * )} - dite « Sapin 2 » - avait habilité le Gouvernement à procéder aux adaptations législatives requises par ordonnance. De fait, l'ordonnance du 9 août 2017 a procédé à la transposition des dispositions de la directive en droit national, en modifiant le code monétaire et financier.

Le présent projet de loi comportait initialement six articles, le premier ratifiant l'ordonnance du 9 août 2017, les suivants opérant des corrections et coordinations complémentaires.

À l'initiative du Gouvernement, l'Assemblée nationale a adopté deux articles additionnels, visant à préciser le cadre juridique applicable à la fourniture d'espèces à l'occasion d'une opération d'achat de biens ou de services - dite « cashback » - (article 1 ^er bis ) et à permettre au pouvoir réglementaire d'introduire, à titre transitoire jusqu'à l'application au 1 ^er septembre 2019 des normes techniques de réglementation prévues par la directive, les modalités de communication standardisée et sécurisée issues de l'harmonisation européenne (article 1 ^er ter ).

*

Quatre ans après l'entrée en vigueur de la première directive concernant les services de paiement dans le marché intérieur du 13 novembre 2007 - dite « DSP 1 » ^{2 ( * )} -, la Commission européenne a présenté le 24 juillet 2013 un « paquet paiement » , intégrant deux propositions de règlements ^{3 ( * )} et une proposition de directive révisant la directive précitée de 2007.

La directive « DSP 1 » entendait répondre au constat de fragmentation des services de paiement au sein de l'Union européenne. Considérant le paiement comme l'acte final de l'achat et les systèmes de paiement comme « la trame financière invisible de l'économie réelle » ^{4 ( * )} , la Commission européenne prolongeait ainsi son action en faveur de l'intégration du marché intérieur.

La directive de 2007 a innové en ouvrant les services de paiement à la concurrence . Définissant la catégorie juridique des établissements de paiement, soumis à un régime prudentiel spécifique et à un agrément unique au sein de l'Union européenne, elle a rompu avec le monopole bancaire en matière de paiements . Ces établissements, prestataires de services de paiement, n'interviennent pas dans l'activité de réception de dépôts ou d'émission de monnaie électronique ^{5 ( * )} . Ses dispositions sont entrées en vigueur à compter de novembre 2009 ^{6 ( * )} .

Le contexte a rapidement évolué , tant en raison de l'essor du commerce en ligne que du développement de nouveaux services de paiement rendus possibles à la faveur des progrès technologiques. De fait, « de nombreux produits ou services de paiement innovants [demeuraient] totalement, ou dans une large mesure, en dehors du champ d'application de la directive », cette dernière se révélant « tout simplement obsolète au regard de l'évolution du marché » ^{7 ( * )} .

C'est en effet en matière de services de paiement que l'innovation financière se révèle la plus dynamique. Sur les quelques 1 400 fintech dénombrées dans le monde, dont 130 en France, 40 % se sont spécialisées dans les moyens de paiement. Or, les moyens de paiement peuvent parallèlement représenter près du quart du revenu des établissements bancaires ^{8 ( * )} .

Le nombre d'utilisateurs de ces nouveaux services a parallèlement connu une croissance rapide. Environ 50 millions de consommateurs ont recours à l'initiation de paiement ^{9 ( * )} en Europe , dont 2,5 millions de Français, contre 15 millions de personnes pour les agrégateurs d'informations ^{10 ( * )} , dont 4 millions en France ^{11 ( * )} .

L'utilité de ces services s'accroît dans un contexte où la mobilité bancaire se trouve facilitée depuis le 1 ^er février 2017, avec l'entrée en vigueur des dispositions de la loi du 6 août 2015 pour la croissance, l'activité et l'égalité des chances économiques ^{12 ( * )} qui a renforcé la concurrence.

I. TRANSPOSANT LA DIRECTIVE DU 25 NOVEMBRE 2015, L'ORDONNANCE DU 9 AOÛT 2017, QUE LE PRÉSENT PROJET DE LOI PROPOSE DE RATIFIER, ACTUALISE LE CADRE JURIDIQUE DES SERVICES DE PAIEMENT

L'article 1 ^er du présent projet de loi procède à la ratification de l'ordonnance du 9 août 2017 ayant transposé les dispositions de la directive du 25 novembre 2015. Les articles 2 à 6 procèdent à des ajustements de références et à des mesures de coordination corrigeant des erreurs et omissions de l'ordonnance.

A. DES MESURES NOUVELLES POUR PROTÉGER LE CONSOMMATEUR ET SOUTENIR L'INNOVATION

1. L'adaptation du cadre juridique aux nouveaux types de services de paiement

Un décalage s'était créé entre le cadre juridique et les pratiques, source d'incertitudes multiples , en particulier s'agissant de la protection des consommateurs, de la sécurité et de la responsabilité, rendant nécessaire une actualisation des règles applicables.

Tel est précisément l'objet de la directive du 25 novembre 2015 ^{13 ( * )} . Alors que la directive « DSP 1 » a posé les fondements du marché unique des services de paiement, la directive « DSP 2 » vise à les intégrer au sein d'un environnement plus large et en mutation, celui de l'économie numérique . Il s'agit de répondre au constat dressé par la Commission européenne dans son livre vert de janvier 2012 de basculement du « commerce du monde réel vers le monde virtuel » et de donner les moyens à l'Union européenne de « gérer les évolutions futures de l'acte de payer » ^{14 ( * )} .

Dans cette perspective, la directive de 2015 s'inscrit dans un double objectif consistant, d'une part, à actualiser le cadre juridique pour encadrer les nouveaux acteurs de services de paiement et, d'autre part, à améliorer la concurrence et le service fourni au consommateur en exploitant le potentiel de croissance de ces nouveaux outils.

Elle comporte trois dispositions essentielles :

- elle pose les bases d'un droit d'accès aux comptes de paiement , en consacrant deux nouveaux acteurs - les prestataires de services d'initiation de paiement (PSIP) d'une part et les prestataires d'information sur les comptes d'autre part (PSIC) -, intervenant en relation avec le prestataire de services de paiement gestionnaire de comptes ( cf . infra ) ;

- elle renforce les normes de sécurité des données en rendant obligatoire l'authentification forte ^{15 ( * )} et en précisant les modes d'accès du client à son compte de paiement en ligne ;

- elle consolide les droits des utilisateurs de services de paiement et améliore la supervision transfrontalière des établissements de paiement et des établissements de monnaie électronique.

2. Une actualisation en partie obérée par les caractéristiques de la directive

Si la directive du 25 novembre 2015 s'inscrit directement dans le sillage de la directive de 2007 qu'elle abroge, elle présente une structure juridique distincte.

Il en résulte une double limite .

La première limite est structurelle . Ses dispositions visent les services de paiement, de sorte qu' elle ne concerne que les comptes de paiement ^{16 ( * )} . Bien que définissant le statut de prestataire de services d'information sur les comptes, la directive « DSP 2 » ne connaît ces activités que pour le périmètre des comptes de paiement. Cette particularité obère sa portée, puisque plus de 80 % des comptes agrégés par ces services ne sont pas des comptes de paiement ^{17 ( * )} , à l'instar des comptes d'épargne ou encore des comptes d'assurance.

La seconde limite est temporaire . Alors que la première directive de 2007 formait un ensemble unique, la directive du 25 novembre 2015 renvoie, pour plusieurs de ses dispositions ^{18 ( * )} , à un acte délégué de la Commission européenne fixant les normes techniques de réglementation (NTR).

Ces normes sont attendues car jusqu'à présent, la pratique actuelle d'extraction de données non identifiée, dite de « web scraping », s'appliquait. Or, à défaut d'identification, cette méthode se révèle particulièrement fragile et incertaine quant à l'établissement des responsabilités en cas d'opérations mal exécutées. Concrètement, les utilisateurs communiquent aux prestataires de services de paiement leurs identifiants afin que ces derniers se connectent directement sur l'interface de leur compte de paiement, sans qu'il soit possible de déterminer que la connexion est effectivement réalisée par le titulaire du compte ou opérée par un tiers.

Bien que l'acte délégué de la commission européenne ait été publié le 13 mars dernier au Journal officiel de l'Union européenne ^{19 ( * )} , les dispositions qu'il prévoit s'agissant des modalités de communication entre les PSIC-PSIP et les gestionnaires de comptes ne seront applicables qu'à partir du 1 ^er septembre 2019. Jusqu'à cette date, le « web scraping » devrait donc prévaloir.

À l'initiative du Gouvernement, l'Assemblée nationale a complété le dispositif initial en permettant au pouvoir réglementaire de déterminer pour la France des modalités transitoires de communication sécurisée jusqu'à l'entrée en vigueur des normes techniques réglementaires au niveau européen (article 1 ^er ter ). Si cette mesure vise à accélérer la sécurisation des connexions, il convient de mieux inscrire les règles transitoires dans le sillage des dispositions des normes techniques réglementaires et de garantir un accès effectif des prestataires de services de paiement aux données des comptes de paiement ( cf . infra ).

B. PLUSIEURS PRESTATAIRES DE PAIEMENT DÉSORMAIS DISTINGUÉS, CONDUISANT À LA DÉFINITION D'UN DROIT D'ACCÈS AUX COMPTES DE PAIEMENT

1. La distinction entre trois types de prestataires de services de paiement

La directive « DSP 2 » complète les conditions d'octroi de l'agrément en tant qu'établissement de paiement, ajoutant cinq exigences aux douze déjà posées par la première directive concernant les services de paiement (article 5 de la directive).

Cependant, l'évolution majeure concerne la distinction opérée entre les prestataires de services de paiement . Alors que la directive de 2007 ne connaissait qu'une seule catégorie, à savoir les prestataires de services de paiement, la directive du 25 novembre 2015 consacre une typologie de ces prestataires .

Elle reconnaît à cet effet deux nouveaux services de paiement , intégrés par l'ordonnance du 9 août 2017 au sein de la liste de l'article L. 314-1 du code monétaire et financier :

- le service d'initiation de paiement , « consistant à initier un ordre de paiement à la demande de l'utilisateur de services de paiement concernant un compte de paiement détenu auprès d'un autre prestataire de services de paiement » (art. D. 314-2, 6° du code monétaire et financier) et permettant à l'utilisateur de payer par virement sur internet tandis que le bénéficiaire est assuré que le paiement a bien été initié ;

- le service d'information sur les comptes , « consistant à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l'utilisateur » (art. D. 314-2, 7° du code monétaire et financier).

Les prestataires fournissant ces services sont reconnus et un cadre juridique est défini.

Trois types de prestataires de services de paiement doivent désormais être distingués :

- les prestataires de services d'initiation de paiement (PSIP), des établissements de paiement agréés sous une forme allégée puisqu'ils n'entrent à aucun moment en possession des fonds ^{20 ( * )} ;

- les prestataires de services d'information sur les comptes (PSIC), distincts de la catégorie des établissements de paiement, assujettis à un simple enregistrement ;

- les prestataires de services de paiement gestionnaires de compte , nouvelle dénomination des établissements gestionnaires de compte lorsqu'ils interviennent en parallèle d'un des deux prestataires précédents.

La directive impose aux deux nouveaux prestataires qu'elle reconnaît de disposer d'une assurance de responsabilité civile professionnelle ou une autre garantie comparable (article 5.2). Cette exigence est reprise par l'ordonnance, avec l'introduction de l'article L. 522-7-1 au sein du code monétaire et financier.

2. La définition d'un droit d'accès aux comptes de paiement

Cette distinction entre prestataires de services de paiement constitue le socle de la directive du 25 novembre 2015, même s'ils forment un ensemble, parmi lesquels certains tiennent le compte de paiement et d'autres interviennent dessus. Elle ne figurait toutefois pas dans la proposition initiale de la Commission européenne, qui mentionnait simplement les prestataires de services de paiement tiers.

De fait, « le droit des services de paiement se distribue désormais selon que l'on tient, ou non, le compte du payeur . Selon que l'on gère, ou que l'on a seulement accès au compte de paiement : telle est la nouvelle summa divisio de la matière » ^{21 ( * )} .

Cette évolution se traduit par l'introduction, au sein du chapitre III, titre III et livre I ^er du code monétaire et financier, d'une section 13 intitulée « Modalités d'accès aux comptes de paiement ».

L'accès est gouverné par l'expression du consentement explicite de l'utilisateur de services de paiement ^{22 ( * )} . La directive consacre donc le droit du consommateur à donner accès à son compte à d'autres prestataires de services que celui pouvant désormais se contenter de le gérer.

La directive précise à cet effet que les relations entre l'utilisateur et le prestataire de services de paiement demeurent bilatérales . La fourniture des services d'initiation de paiement ou d'information sur les comptes n'est donc pas subordonnée à l'existence de relations contractuelles entre ces prestataires et le gestionnaire de compte ^{23 ( * )} . Seul un tempérament est prévu : le gestionnaire de compte peut refuser à un PSIP/PSIP l'accès à un compte de paiement pour des « raisons objectivement motivées et documentées liées à un accès non autorisé ou frauduleux au compte de paiement » (art. 68, 5 de la directive de 2015). L'utilisateur doit alors être averti.

Si le principe du droit du consommateur à octroyer l'accès à son compte de paiement s'inscrit dans l'économie générale de la directive, motivée à la fois par l'approfondissement du marché intérieur et par la protection du consommateur, il n'en traduit pas moins un choix fondamental . Les données de paiement appartiennent à l'utilisateur, qui peut donc en disposer gratuitement et les mettre à disposition, de façon consentie, à d'autres acteurs que les établissements gestionnaires de comptes.

Or, « la maîtrise du paiement apparaît cruciale à de nombreux acteurs : les acteurs bancaires historiques, les promoteurs de systèmes internationaux de paiement par carte, les opérateurs de télécommunications, les fabricants de terminaux, les grandes sociétés de l'Internet, des jeunes pousses innovantes... Leur intérêt peut tenir moins à la facturation associée à l'acte de paiement qu'à la captation des habitudes des consommateurs et à la perspective d'exploiter les données qui en résultent » ^{24 ( * )} .

C. DES RÈGLES DE SUPERVISION ET DE PROTECTION DU CONSOMMATEUR AINSI QUE DES EXIGENCES DE SÉCURITÉ RENFORCÉES

La reconnaissance de nouveaux types de prestataires de services de paiement pouvant accéder aux comptes de paiement avec le consentement explicite du consommateur s'accompagne de la définition d'un dispositif renforcé de supervision, de protection du consommateur et de sécurité .

1. Un renforcement du cadre européen de supervision des prestataires de services de paiement

Les nouveaux instruments de paiement présentent des risques réels en matière de lutte contre le blanchiment de capitaux et de financement du terrorisme, en particulier en raison de l'anonymat qu'ils facilitent. De fait, si « depuis le début des années 2000, la France a mis une dizaine d'années pour développer une culture de conformité solide au sein de ses établissements bancaires, ce chantier est aujourd'hui rouvert auprès des nouveaux acteurs des services de paiement » ^{25 ( * )} . Ce risque concerne en particulier les initiateurs de paiement.

Dans cette perspective, la directive du 25 novembre 2015 étaye l'harmonisation de la supervision européenne , en intégrant les acteurs du paiement dans le système européen de surveillance financière, avec une triple avancée .

D'abord, les autorités de régulation doivent échanger davantage d'informations (article 26). Tout incident intervenu doit être reporté par le prestataire de services de paiement au régulateur national - la Banque de France et l'Autorité de contrôle prudentiel et de résolution (ACPR) en France. Les éléments importants sont ensuite communiqués par le régulateur national à l'Autorité bancaire européenne et à la Banque centrale européenne, cette dernière les centralisant pour les transmettre aux autres autorités nationales compétentes.

Ensuite, la cohérence de l'interprétation et de l'application des dispositions de la directive est protégée par le rôle dévolu à l'Autorité bancaire européenne. Dans le cadre de la coopération transfrontalière, cette dernière doit prêter assistance pour résoudre les différends entre autorités nationales compétentes (article 28).

Surtout, un « registre central » est créé par l'article 15 de la directive de 2015. Géré par l'Autorité bancaire européenne, ce registre agrège l'ensemble des informations inscrites dans les registres publics des régulateurs nationaux - à savoir la liste des établissements de paiement agréés et des prestataires enregistrés.

L'harmonisation de la supervision intéresse particulièrement les cas où les prestataires exercent leurs activités par le biais de la libre prestation de services. Le régulateur de l'État membre ayant délivré l'agrément ou dans lequel le prestataire est enregistré est alors compétent, et non celui du pays dans lequel le service est proposé.

Jérôme Reboul, sous-directeur des banques et des financements d'intérêt général à la direction générale du Trésor, précisait ainsi devant la commission des finances du Sénat le 14 février 2018 que la directive du 25 novembre 2015 « vise à lutter contre le risque d'asymétrie règlementaire : en effet, ces acteurs pourraient choisir d'être agréés dans un pays qui serait moins-disant en termes de sécurité. La directive « DSP 2 » offre à cet égard la possibilité de mettre en oeuvre un certain nombre de mesures de sauvegarde. En particulier, elle permet à une autorité de supervision d'un pays, qui constaterait l'agissement d'un acteur en libre prestation de services dans des conditions non conformes aux dispositions de la directive, de se tourner vers l'autorité de supervision du pays où cet acteur a été agréé et lui demander de résoudre les difficultés qui résulteraient du comportement douteux de l'entité agréée. En outre, le superviseur peut prendre des mesures conservatoires temporaires, allant jusqu'à la suspension du service, si un acteur agréé dans un autre pays agissait dans des conditions qui ne seraient pas conformes à l'intérêt des consommateurs » ^{26 ( * )} .

2. Une protection du consommateur consolidée

De nombreuses dispositions de la directive « DSP 2 » concernent la protection du consommateur . À cet égard, les exigences qu'elle pose diffèrent selon l'utilisateur des services de paiement puisque, « ne se trouvant pas dans la même situation, consommateurs et entreprises n'ont pas besoin du même niveau de protection. Alors qu'il importe de garantir les droits des consommateurs au moyen de dispositions auxquelles il n'est pas possible d'être dérogé par contrat, il est judicieux de laisser les entreprises et les organisations en décider autrement lorsqu'elles n'ont pas affaire à des consommateurs » ^{27 ( * )} .

Ainsi, la franchise de responsabilité appliquée en cas de paiement non autorisé et consécutif à l'utilisation d'un instrument de paiement perdu, volé ou détourné, est ainsi abaissée de 150 euros à 50 euros (article 74 de la directive).

Surtout, l'article 94 de la directive précise l'articulation du principe de consentement explicite de l'utilisateur de services de paiement à donner accès à son compte de paiement avec les règles de protection des données personnelles ^{28 ( * )} .

La question se pose d'autant plus qu'il existe des situations pouvant conduire au traitement de données personnelles sans que le consentement « explicite » de l'utilisateur puisse être recueilli.

L'ordonnance du 9 août 2017 permet aux prestataires de services de paiement de mettre en oeuvre des traitements de données même en l'absence d'un tel consentement, dès lors qu'ils sont nécessaires pour garantir la prévention, la recherche et la détection des fraudes en matière de paiements , mais dans les conditions prévues par les règles en vigueur ^{29 ( * )} et sous le contrôle de la Commission nationale de l'informatique et des libertés (CNIL) . L'ordonnance du 9 août 2017 ^{30 ( * )} confie ainsi à cette dernière la mission de veiller au respect des règles posées relatives à la protection des données personnelles, en lui permettant de recevoir par tous moyens les plaintes relatives aux infractions à ces dispositions.

3. Des exigences de sécurité accrues, mais à l'entrée en vigueur reportée au 1er septembre 2019

L'article 97 de la directive du 25 novembre 2015 rend obligatoire le recours à l'authentification forte du payeur pour toute opération initiée par voie électronique en matière de services de paiement ^{31 ( * )} . L'authentification forte doit conjuguer deux facteurs d'authentification distincts parmi la « connaissance » (quelque chose que seul l'utilisateur connaît), la « possession » (quelque chose que seul l'utilisateur possède) et l'« inhérence » (quelque chose que l'utilisateur est).

Des dérogations sont toutefois prévues pour certaines opérations de faible importance, tandis que les exigences sont réduites pour les entreprises. Ainsi, les autorités de surveillance nationale pourront accorder une dérogation à l'obligation d'authentification forte pour les paiements effectués par lots, auxquels ont recours la plupart des entreprises.

Surtout, la principale disposition de la directive en matière de sécurité concerne les modalités d'accès des prestataires de services de paiement aux données du compte de paiement . Il s'agit de prévoir un canal de communication sécurisé et standardisé permettant aux prestataires de services de paiement d'accéder aux données du compte de paiement en étant identifiés.

La directive permet deux solutions :

- soit l'adaptation de l'interface bancaire existante pour les clients ;

- soit la création d'une nouvelle interface spécifique pour les prestataires de services de paiement, souvent désignée sous le terme d'« interface de programmation applicative » ( application programming interface , API).

Les banques françaises ont fait le choix de développer des interfaces spécifiques , qui pourraient être mises en place d'ici à la fin de l'année 2018 ^{32 ( * )} .

Deux exigences doivent être conciliées :

- d'une part, garantir la sécurité de l'accès au compte de paiement en assurant l'identification du prestataire de services de paiement, ce que la méthode actuelle d'extraction de données dite du « web scraping » non authentifié ne permet pas ;

- d'autre part, garantir l'effectivité de l'accès des prestataires de services de paiement aux comptes de paiement dès lors que le titulaire y a consenti. De fait, « les PSIP et les PSIC peuvent fournir leurs services [...] sans être obligés par le prestataire de services de paiement gestionnaire du compte d'appliquer un modèle commercial donné » ^{33 ( * )} .

La directive renvoie aux normes techniques de réglementation le soin de préciser les modalités concrètes de fonctionnement des interfaces de communication.

Les dispositions retenues dans l'acte délégué adopté par la Commission européenne et publié le 13 mars 2018 enserrent le développement de ces interfaces. En particulier, le gestionnaire de compte devra communiquer trois mois à l'avance tout changement important des spécifications de l'interface et devra fournir un environnement de test.

S'ils optent pour une interface spécifique, les gestionnaires de compte doivent mettre en place des mesures de sauvegarde d'urgence. Ce mécanisme de secours vise à garantir la continuité du service fourni et à préserver la concurrence loyale sur le marché.

Toutefois, une exemption est possible à condition que l'interface de communication spécifique pleinement opérationnelle soit conforme aux critères de qualité définis par les normes techniques de réglementation. Cette exemption est accordée par l'autorité nationale de régulation au cas par cas, après consultation de l'Agence bancaire européenne ; elle peut être révoquée sous certaines hypothèses ^{34 ( * )} .

Surtout, l'interface proposée par le gestionnaire de compte est dans l'obligation de fournir le même niveau de performance et de disponibilité ainsi que le même niveau de secours que celui mis en oeuvre par les interfaces réservées aux clients. L'article 28 de la directive prévoit que tout dysfonctionnement constaté en la matière pourra être remonté au régulateur national.

Toutefois, ces dispositions n'entreront en vigueur qu'à partir du 1 ^er septembre 2019 : jusqu'à cette date, la méthode actuelle du web scraping non identifié demeurera de facto applicable.

II. DES ADAPTATIONS SONT NÉCESSAIRES POUR RÉPONDRE AUX « ANGLES MORTS » DE LA DIRECTIVE

Dans le cadre de la ratification de l'ordonnance de transposition de la directive « DSP 2 », il apparaît que des dispositions sont nécessaires pour compléter les mesures désormais applicables dans le droit français .

Outre les deux dispositifs présentés ci-dessous, il convient de mentionner le fait qu'à l'initiative du Gouvernement, l'Assemblée nationale a également complété le projet de loi initial afin de permettre la fourniture d'espèces à l'occasion d'une opération d'achat de biens ou de services - « cashback » - ( article 1 ^er bis ), service expressément exclu du champ de la directive. Cette mesure fait l'objet d'une présentation détaillée dans le cadre du commentaire d'article.

A. ASSURER RAPIDEMENT UN HAUT NIVEAU DE SÉCURITÉ DES COMMUNICATIONS ENTRE PRESTATAIRES DE SERVICES DE PAIEMENT

Dans un courrier adressé au ministre de l'économie et des finances le 30 novembre 2017, le Gouverneur de la Banque de France et le directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi) ont entendu alerter sur les risques liés à la prolongation du web scraping durant la période transitoire .

Surtout, les lacunes en termes d'identification rendent caduques, en pratique, les modalités de partage de responsabilité en cas de fraude prévues par la directive.

Il s'ensuit des difficultés pour l'utilisateur et surtout un manque de protection patent pendant cette période transitoire.

C'est pourquoi, à l'initiative du Gouvernement, l'Assemblée nationale a complété le projet de loi initial en adoptant un amendement renvoyant au pouvoir réglementaire le soin de préciser, pour la période de transition qui s'ouvre, « les conditions d'entrée en vigueur et celles suivant lesquelles les [PSIP et PSIC] communiquent de manière sécurisée avec les utilisateurs de services de paiement et les prestataires de services de paiement gestionnaires de compte, selon des modalités permettant [aux PSIP et PSIC] de continuer à exercer leurs activités » (article 1 ter ).

Selon les indications de Delphine Gény-Stephann, secrétaire d'État auprès du ministre de l'économie et des finances, devant l'Assemblée nationale en séance publique le 8 février dernier, il s'agit d'anticiper l'entrée en vigueur du dispositif sécurisé de communication , afin que les banques prêtes à l'avance puissent tester et rendre obligatoire le recours à l'interface spécifique.

Deux conditions devraient toutefois être remplies :

- l'interface devrait satisfaire aux exigences de performance et de qualité définies par la norme technique de réglementation ;

- les gestionnaires de compte devraient assurer que les nouveaux acteurs tiers pourront continuer d'exercer leurs activités .

De surcroît, ce dispositif devrait faire l'objet de tests ouverts en amont.

Ces exigences s'inscrivent dans le sillage des dispositions prévues par l'acte délégué de la Commission européenne , prévoyant les normes techniques de réglementation. Il est en effet prévu que toutes les interfaces de communication, qu'elles soient spécifiques ou non, fassent l'objet d'un essai de prototype de trois mois puis d'un essai dans les conditions réelles de marché de trois mois également.

Dans ce cadre, la Commission européenne a formé un groupe de marché, composé de représentants des établissements bancaires, des nouveaux prestataires de services de paiement reconnus par la directive de 2015 et d'utilisateurs de services de paiement, chargé d'examiner la qualité des interfaces de communication spécifique.

S'il traduit la volonté de garantir la protection de l'utilisateur, le dispositif adopté par l'Assemblée nationale présente toutefois plusieurs difficultés .

La première difficulté tient aux contraintes de développement des interfaces de communication spécifiques . Comme l'a précisé Mme Marie-Anne Barbat-Layani, directrice générale de la Fédération bancaire française (FBF), devant la commission des finances du Sénat le 14 février 2018, « le secteur bancaire a demandé à une société, qui est gestionnaire d'infrastructures de paiement, de développer des spécifications techniques, pour que les banques puissent, sur ces bases, développer les interfaces sécurisées » ^{35 ( * )} . Or les premières mises en oeuvre effectives sont espérées pour la fin de l'année 2018, sous réserve de tests concluants. De fait, le web scraping non authentifié devrait encore s'appliquer jusqu'à la fin de l'année 2018.

La seconde difficulté tient à la définition de l'objet du décret prévu par l'article 1 ^er ter . En particulier, il convient de mieux relier les dispositions transitoires établies au niveau national, au cadre européen défini par les normes techniques de réglementation.

Tel est d'ailleurs l'objectif du Gouvernement , ainsi que l'a souligné Jérôme Reboul, sous-directeur des banques et des financements d'intérêt général à la direction générale du Trésor, devant la commission des finances du Sénat, indiquant que « la France a souhaité que les dispositifs relatifs à la sécurité entrent en vigueur le plus tôt possible. [...] Le Gouvernement a souhaité anticiper la mise en oeuvre de ces normes réglementaires, dès lors que nous aurons la certitude que les interfaces dédiées seront opérationnelles. Cette disposition est parfaitement conforme au droit européen » ^{36 ( * )} .

Votre commission a adopté un amendement en ce sens, en prévoyant que les dispositions du décret soient conformes à celles relatives aux normes sécurisées de communication prévues par l'acte délégué .

B. PRENDRE EN COMPTE LA RÉALITÉ DU SERVICE FOURNI PAR LES PRESTATAIRES DE PAIEMENT EN GARANTISSANT UNE PROTECTION EFFECTIVE DE L'UTILISATEUR

Comme indiqué précédemment, l'ensemble des dispositions de la directive du 25 novembre 2015 transposées en droit national par l'ordonnance du 9 août 2017 ne concerne que les comptes de paiement.

De fait, les avancées qu'elle prévoit en matière de protection du consommateur et de sécurité ne s'appliquent donc pas dès lors que le service fourni par le prestataire s'étend au-delà de ce périmètre . Or tel est précisément l'objet des services d'information sur les comptes, qui visent à offrir une vue agrégée de l'ensemble des supports d'épargne. Ainsi en est-il également des services d'initiation de paiement, qui permettent de mouvementer d'autres comptes.

Dans ces hypothèses, aucun cadre juridique clair n'est établi, ce qui pose des difficultés multiples.

S'agissant de la supervision, les obligations introduites par la directive du 25 novembre 2015 pour le périmètre des comptes de paiement réduisent en partie les risques. En effet, dès lors que les prestataires interviennent sur les comptes de paiement, ils devront respecter ces obligations renforcées. L'ACPR précise à cet effet que, si l'agrément n'est délivré que sur l'activité relative aux seuls comptes de paiement, « les dispositifs de contrôle, de gestion des risques et de sécurité, dont la qualité est une condition de l'agrément délivré, sont en pratique les mêmes pour les comptes d'épargne et les comptes de paiement » ^{37 ( * )} .

S'agissant du régime de responsabilité applicable en cas d'utilisation frauduleuse, le cadre juridique ne garantit pas, en revanche, une protection effective de l'utilisateur.

Les dispositions contractuelles liant l'utilisateur de services de paiement à son établissement bancaire et au prestataire de services de paiement font in fine porter le risque par le consommateur . L'ACPR relève que « sur le plan juridique, la communication à un tiers de ses codes confidentiels par le client d'un établissement pour permettre à ce dernier d'accéder à ses comptes d'épargne est généralement contraire aux dispositions contractuelles régissant le fonctionnement de ces comptes. En cas d'usage frauduleux, cela pourrait conduire l'établissement teneur de compte à opposer au client le manquement à ses obligations contractuelles pour lui refuser le remboursement des fonds » ^{38 ( * )} . De ce point de vue, la fédération bancaire française considère que « dans le cas d'un débit direct opéré à partir du compte d'épargne vers un compte tiers (externe à la Banque), l'opération n'entre pas dans le cadre de DSP2 : c'est donc le droit commun de la responsabilité qui s'applique » ^{39 ( * )} .

Parallèlement, « les volumes de paiement et le niveau de responsabilité civile [examinés par l'ACPR dans le cadre de la procédure d'agrément des prestataires de services de paiement] sont basés sur les seuls comptes de paiement » ^{40 ( * )} . Si certains prestataires concluent des contrats d'assurance couvrant les risques hors du périmètre des comptes de paiement, ils le font selon une démarche volontaire.

De surcroît, même sous cette hypothèse, l'engagement de la responsabilité ne suit pas la procédure définie aux articles 73 et 90 de la directive du 25 novembre 2015, en vertu desquels les teneurs de compte qui sont directement responsables en première intention, à charge ensuite pour ces derniers d'intenter des actions récursoires contre les autres prestataires de paiement. Ce schéma est particulièrement protecteur des intérêts du consommateur dans la mesure où les teneurs de compte disposent d'une surface financière plus importante.

Dans ces conditions, une extension du cadre juridique défini par la seconde directive concernant les moyens de paiement dans le marché intérieur aux comptes d'épargne doit être poursuivie. Une démarche européenne doit toutefois être privilégiée , afin de prolonger l'harmonisation déjà opérée pour les comptes de paiement.

Cependant, il importe, au plan national, d'assurer dès aujourd'hui la protection du consommateur en introduisant une obligation d'assurance pour les autres comptes que les comptes de paiement .

Un amendement a ainsi été adopté par la commission des finances afin de garantir la possibilité pour l'utilisateur d'obtenir un remboursement auprès du prestataire . Cet amendement affirme la possibilité d' engager la responsabilité du prestataire tiers, dont la solvabilité est assurée par l' obligation d'assurance qu'il prévoit ^{41 ( * )} .

EXAMEN DES ARTICLES

ARTICLE 1er - Ratification de l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 concernant les services de paiement dans le marché intérieur

. Commentaire : le présent article prévoit de ratifier l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.

I. LE DROIT EXISTANT

Certaines activités sont réservées aux établissements de crédit, constituant ainsi ce qu'il est convenu d'appeler un « monopole bancaire » , dont la violation est sanctionnée pénalement ^{42 ( * )} .

Historiquement, le « monopole bancaire » réservait quatre principales activités aux établissements de crédit :

- la réception des dépôts et autres fonds remboursables du public ;

- les opérations de crédit ;

- la fourniture de services de paiement ^{43 ( * )} tels que le versement et le retrait d'espèces sur un compte de paiement, l'exécution des prélèvements, virements et opérations de paiement, etc. ;

- l'émission et la gestion de monnaie électronique , qui constitue un « substitut électronique aux pièces et billets de banques destiné à être utilisé pour effectuer des paiements » (par exemple, les cartes-cadeaux prépayées) et est de ce fait assimilée à des fonds, et non à un instrument de paiement ^{44 ( * )} .

Si les deux premiers volets conservent aujourd'hui toute leur force et se justifient pleinement par la nécessité de protéger les déposants contre les risques importants qu'implique la transformation bancaire ^{45 ( * )} , le monopole sur les services de paiement et la monnaie électronique est apparu disproportionné .

Aussi, deux principales directives européennes sont venues y mettre fin, dans le but de stimuler l'innovation et la concurrence, tout en faisant émerger un véritable « marché intérieur » des paiements :

- la directive sur les services de paiement (« DSP 1 ») du 13 novembre 2007 ^{46 ( * )} , transposée en 2009 ^{47 ( * )} ;

- la deuxième directive « monnaie électronique » (« DME 2 ») du 16 septembre 2009 ^{48 ( * )} , transposée en 2013 ^{49 ( * )} .

L'article L. 525-1 du code monétaire et financier autorise désormais non seulement les établissements de crédit mais aussi les établissements de monnaie électronique à émettre de la monnaie électronique. Ces deux acteurs, conjointement avec les établissements de paiement, sont par ailleurs autorisés par l'article L. 521-1 du code monétaire et financier à fournir des services de paiement - formant ainsi la catégorie des « prestataires de services de paiement ».

Deux nouveaux acteurs spécialisés ont ainsi été créés : les établissements de paiement (régis par le chapitre II du titre II du livre V du code monétaire et financier) et les établissements de monnaie électronique (régis par le chapitre VI du titre II du livre V du même code).

Soumis à des exigences proportionnées aux risques qu'emportent leurs activités, ils font l'objet d'une procédure d'agrément ^{50 ( * )} et sont placés sous le contrôle de l'Autorité de contrôle prudentiel et de résolution (ACPR). Pour délivrer l'agrément, l'ACPR vérifie par exemple que l'établissement dispose d'un capital initial suffisant, d'un niveau de fonds propres prudentiels cohérent avec les activités exercées ou encore d'une gouvernance et de procédures de contrôle des risques adaptées. Un agrément « simplifié » est prévu pour les établissements dont le montant prévisionnel d'opérations de paiement ou de monnaie électronique en circulation apparaît limité.

II. LE DISPOSITIF PROPOSÉ

Le présent article vise à ratifier l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, dite « DSP 2 ».

En application de l'article 70 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, l'ordonnance comporte :

- d'une part, des dispositions nécessaires à la transposition de la directive précitée ;

- d'autre part, des dispositions permettant de rendre applicables et d'adapter les dispositions pertinentes à l'outre-mer.

La directive « DSP 2 », qui comporte 116 articles, ayant pour objectif de refondre le paysage européen des paiements, l'ordonnance modifie un grand nombre de dispositions du code monétaire et financier , principalement au sein des quatre blocs suivants :

- le chapitre III (« Les règles applicables aux autres instruments de paiement ») du titre III du livre I ^er , qui régit principalement l'exécution des opérations de paiement, les relations entre parties en matière d'instruments de paiement et les responsabilités en cas d'opération de paiement non autorisée ;

- le chapitre IV (« Les services de paiement ») du titre I ^er du livre III ;

- le chapitre I ^er (« Les prestataires de services de paiement ») et le chapitre II (« Les établissements de paiement ») du titre II du livre V ;

- le chapitre V (« Les émetteurs de monnaie électronique ») et le chapitre VI (« Les établissements de monnaie électronique ») du titre II du livre V.

Les évolutions portées par la directive et transposées par l'ordonnance précitée procèdent de cinq principaux objectifs .

A. ÉTENDRE LE CHAMP D'APPLICATION DE LA DIRECTIVE

1. Une extension du champ territorial

La directive « DSP 1 » fixe pour principe général que les règles relatives aux services de paiement sont applicables aux services « fournis au sein de la Communauté ».

Toutefois, son article 2 précise que les dispositions imposant des exigences de transparence et d'information aux prestataires de services de paiement (titre III) et définissant les droits et les obligations liés à la prestation et à l'utilisation de services de paiement (titre IV) ne s'appliquent que lorsque deux conditions sont réunies :

- le prestataire du payeur et celui du bénéficiaire sont situés dans l'Union ;

- les services de paiement sont fournis en euros ou dans la devise d'un État membre en dehors de la zone euro.

Si l'article 2 de la directive « DSP 2 » reprend le principe général selon lequel ses dispositions sont applicables « aux services de paiement fournis au sein de l'Union », les règles protectrices prévues aux titres III et IV sont désormais partiellement applicables lorsque ces deux conditions ne sont pas réunies.

En effet, la plupart ^{51 ( * )} des dispositions des titres III et IV sont étendues aux opérations de paiement dans une devise qui n'est pas la devise d'un État membre « lorsque le prestataire du payeur et celui du bénéficiaire sont tous deux situés dans l'Union ». De façon plus restrictive ^{52 ( * )} , ces règles sont également étendues aux opérations de paiement effectuées dans toutes les devises lorsqu'un seul des prestataires de services de paiement est situé dans l'Union .

L'article L. 133-1 du code monétaire et financier est ainsi refondu par le 2° de l'article 2 de l'ordonnance, afin de tirer les conséquences de cette évolution.

L'extension du champ territorial de la directive se double d'une extension de son champ matériel.

2. Une extension du champ matériel

Sur le plan matériel, le champ d'application de la directive épouse logiquement les contours des notions de « compte de paiement » de « services de paiement » , fixés à l'article 4 et dans l'annexe I de la directive.

S'agissant des « comptes de paiement », les définitions européennes et nationales sont inchangées.

L'article 4 de la directive définit le compte de paiement comme un compte « qui est détenu au nom d'un ou de plusieurs utilisateurs de services de paiement et qui est utilisé aux fins de l'exécution d'opérations de paiement » ^{53 ( * )} .

En droit interne, relèvent de cette catégorie les comptes de dépôt à vue, les comptes ouverts par les établissements de paiement conformément à l'article L. 522-4 du code monétaire et financier (qui doivent « exclusivement » être utilisés pour des opérations de paiement) ainsi que tout autre compte répondant à la définition européenne, transposée à l'article L. 314-1 du même code. Concrètement, il s'agit donc de ce qui est communément désigné sous le vocable de « compte courant » .

En revanche, les comptes soumis à une réglementation particulière - notamment les comptes sur livret, les comptes à terme, les comptes d'instruments financiers et les comptes espèces qui y sont liés - sont expressément exclus de cette catégorie par une disposition réglementaire ^{54 ( * )} .

Il peut être observé que cette interprétation apparaît plus restrictive que celle retenue par la Commission européenne , qui a indiqué en 2008 que les comptes d'épargne « pour lesquels le détenteur peut placer et retirer des fonds sans aucune intervention ou accord de son prestataire de services de paiement devraient être considérés comme un compte de paiement au sens de la directive » - à l'inverse, par exemple, des comptes à terme ^{55 ( * )} .

Si la deuxième directive et l'ordonnance qui la transpose n'emportent aucune modification sur la définition des « comptes de paiement », les contours des « services de paiement » sont substantiellement modifiés.

Tirant les conséquences des évolutions intervenues au niveau européen, le 1° de l'article 6 de l'ordonnance refond ainsi la liste des services de paiement figurant à l'article L. 314-1 du code monétaire et financier.

En dehors de l'ajout de deux nouveaux services de paiement ^{56 ( * )} , qui a déjà été évoqué et fera l'objet de développements approfondis ci-après, l'extension du champ matériel de la directive se manifeste également par le resserrement des différents régimes d'exclusion .

En effet, un certain nombre d'activités qui devraient normalement relever de la catégorie des « services de paiement » bénéficiaient d'une exclusion du champ de la première directive .

Toutefois, face au constat d'une application du régime d'exclusion « au-delà de la portée » qu'il était censé avoir, alors même que son bénéfice « implique des risques plus importants et une absence de protection juridique pour les utilisateurs » ^{57 ( * )} , l'article 3 a fait l'objet d'une réécriture dans un sens plus restrictif à l'occasion de la deuxième directive.

Deux principales exclusions sont concernées.

Il s'agit tout d'abord de l'exclusion des « réseaux limités », applicable pour la fourniture de moyens de paiement utilisés au sein d'un réseau limité d'accepteurs ou pour l'acquisition d'un « éventail limité » de biens ou services (ex : cartes d'enseigne, titres-repas, etc.).

À cet égard, trois restrictions ont été apportées par la nouvelle directive.

- les instruments ne doivent pouvoir être utilisés que pour acquérir un éventail « très » limité de biens ou services ;

- les prestataires formant le réseau limité d'accepteurs doivent être « directement liés par un contrat commercial » à un émetteur ;

- il doit s'agir d'un émetteur « professionnel ».

Il peut néanmoins être observé qu'aucune de ces trois restrictions n'a fait l'objet d'une transposition dans le cadre de l'ordonnance.

S'agissant de la première restriction, le Gouvernement estime que l'ajout de l'adverbe « très », fruit d'un « compromis politique », serait « superfétatoire » d'un point de vue légistique. Si l'on ne peut que regretter qu'une formulation aussi ambiguë ait été retenue, il semble plus prudent de transposer ce terme , dans la mesure où il traduit manifestement une volonté politique et pourrait fournir une base légale à l'ACPR pour limiter les dérogations prises sur ce fondement. Votre commission a adopté un amendement à l'article 4 du présent projet de loi en ce sens .

S'agissant de la seconde restriction, le Gouvernement fait valoir, d'une part, que le 1° du I de l'article L. 521-3 du code monétaire et financier impose déjà que l'émetteur et les accepteurs soient liés par un accord commercial, et que, d'autre part, l'exigence d'un lien « direct » apparaît redondant.

Enfin, l'absence de transposition de l'exigence tenant à la nature « professionnelle » de l'émetteur se justifie par l'impossibilité d'en tirer les conséquences sur le périmètre de la dérogation. Ainsi que le relève le Gouvernement, « une activité d'émission d'instruments de paiement spécifiques ne sera examinée au regard de la qualification de fourniture de services de paiement que si l'activité présente un caractère de profession habituelle ; dès lors, en l'absence d'exercice de l'activité à titre de profession habituelle, la question de l'application ou non de cette dérogation ne se posera pas ».

En complément, l'exclusion dont bénéficient les opérations de paiement réalisées via un agent commercial est également restreinte .

Ainsi que le relève la directive, cette exclusion a fait l'objet d'une « application très divergente selon les États membres », certains permettant son utilisation « par des plates-formes de commerce électronique agissant en qualité d'intermédiaires pour le compte à la fois d'acheteurs et de vendeurs sans disposer d'une marge réelle pour négocier ou conclure l'achat ou la vente de produits ou de services » ^{58 ( * )} .

Aussi, la nouvelle rédaction figurant à l'article 3 de la directive et transposée à l'article L. 314-1 du code monétaire et financier réserve le bénéfice de l'exclusion aux seuls agents qui exercent leur activité uniquement auprès du vendeur ou de l'acheteur.

B. ENCADRER LES NOUVEAUX SERVICES D'INITIATION DE PAIEMENT ET D'INFORMATION SUR LES COMPTES

1. La reconnaissance de deux nouveaux services

Sur le fond, l'innovation majeure de la directive réside, ainsi que cela a été précédemment rappelé, dans la reconnaissance de deux nouveaux services de paiement jusqu'à présent non régulés et désormais inscrits aux 7° et 8° de l'article L. 314-1 du code monétaire et financier :

- le service d' initiation de paiement , qui consiste à « initier un ordre de paiement à la demande de l'utilisateur de services de paiement concernant un compte de paiement détenu auprès d'un autre prestataire de services de paiement » ^{59 ( * )} ;

- le service d' information sur les comptes , qui vise à « fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l'utilisateur de services de paiement soit auprès d'un autre prestataire de services de paiement, soit auprès de plus d'un prestataire de services de paiement » ^{60 ( * )} .

Le service d'initiation de paiement ne peut être fourni que par les acteurs existants , à savoir les établissements de crédit, les établissements de monnaie électronique et les établissements de paiement.

Si le service d'information sur les comptes peut également être fourni par ces trois acteurs, sa reconnaissance s'accompagne de la création de la catégorie des « prestataires de services d'information sur les comptes » (PSIC) , qui rejoint ainsi la liste des prestataires de services de paiement fixée à l'article L. 521-1 du code monétaire et financier.

Aux termes de l'article L. 522-1 du code monétaire et financier, les PSIC sont « les personnes physiques ou morales (...) qui fournissent à titre de profession habituelle le service d'information sur les comptes » ^{61 ( * )} . Contrairement aux établissements de paiement, les PSIC peuvent donc être des personnes physiques . L'exercice de leur activité est subordonné à une procédure d'enregistrement auprès de l'ACPR, et non à un agrément ^{62 ( * )} . En revanche, ils ne peuvent fournir aucun autre service de paiement ^{63 ( * )} .

Dans la mesure où ces nouveaux services n'impliquent pas de détenir de fonds, ils bénéficient tous deux d'un régime prudentiel allégé.

Pour obtenir leur agrément, les établissements de paiement qui fournissent le service d'initiation de paiement bénéficient d'une exigence minimum de capital réduite à 50 000 euros , tandis que les PSIC ne sont soumis à aucune exigence de capital ^{64 ( * )} .

Contrairement aux autres services de paiement, les deux nouveaux services ne sont pas pris en compte pour le calcul des exigences de fonds propres que les établissements de paiement sont tenus de respecter ^{65 ( * )} .

En revanche, la fourniture de ces deux nouveaux services est subordonnée à la souscription d'une assurance de responsabilité civile professionnelle ou d'une autre garantie comparable, afin de garantir la capacité des prestataires à faire face à leurs responsabilités en cas d'accès non autorisé ou d'utilisation frauduleuse ^{66 ( * )} .

Enfin, si la directive est muette sur ce point, les nouveaux services bénéficient également en droit interne de dispositions dérogatoires en matière de lutte contre le blanchiment et le financement du terrorisme .

En effet, l'article L. 561-2-3 du code monétaire et financier, issu de l'article 18 de l'ordonnance, exonère la fourniture du service d'information sur les comptes des obligations de lutte contre le blanchiment des capitaux et le financement du terrorisme. Une mesure réglementaire est par ailleurs venue ajouter en droit interne le service d'initiation de paiement à la liste ^{67 ( * )} des opérations présentant un « risque faible », pour lesquelles le professionnel n'est soumis à aucune contrainte de vigilance.

2. L'encadrement des relations entre ces nouveaux acteurs et les gestionnaires de comptes de paiement

La reconnaissance de ces deux nouveaux services s'accompagne de mesures visant à encadrer les relations entre les prestataires tiers et les gestionnaires de comptes , qui sont rassemblées au sein d'une nouvelle section du code monétaire et financier (« Modalités d'accès aux comptes de paiement », section 13 du chapitre III du titre III du livre 1 ^er ).

Est tout d'abord consacrée la liberté pour l'utilisateur d'accéder aux données de ses comptes de paiement et d'initier un paiement en s'adressant au prestataire de son choix ^{68 ( * )} .

Afin de garantir l'effectivité du libre choix laissé à l'utilisateur, les gestionnaires de comptes sont soumis à un principe de non-discrimination ^{69 ( * )} vis-à-vis des nouveaux prestataires de services de paiement. En outre, ils ne peuvent subordonner la fourniture des nouveaux services à l'existence de relations contractuelles ^{70 ( * )} avec les prestataires tiers.

En contrepartie, les prestataires de services de paiement fournissant les deux nouveaux services sont tenus de respecter différentes obligations tant vis-à-vis de l'utilisateur que du gestionnaire de compte, en particulier ^{71 ( * )} :

- recueillir le consentement exprès de l'utilisateur ;

- accéder, consulter et stocker uniquement les informations et données nécessaires à la fourniture du service ;

- veiller à la sécurité des données de sécurité de l'utilisateur ;

- s'identifier pour chaque session de communication auprès du gestionnaire de compte et communiquer de manière sécurisée , l'article et l'ordonnance renvoyant sur ce point à un acte délégué, ainsi que cela a été précédemment rappelé dans le cadre de l'exposé général ^{72 ( * )} .

Enfin, un régime de responsabilité spécifique est défini ^{73 ( * )} afin de garantir à la fois un remboursement immédiat de l'utilisateur et un partage équitable des responsabilités en cas de fraude. Quelle que soit l'identité du responsable de l'opération, c'est au gestionnaire de compte qu'il revient de procéder au remboursement de l'utilisateur « immédiatement, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant ». Toutefois, s'il apparaît que le prestataire tiers qui a fourni le service d'initiation de paiement est responsable de l'opération ^{74 ( * )} , ce dernier est tenu d'indemniser « immédiatement » le gestionnaire du compte.

C. RENFORCER LES EXIGENCES DE SÉCURITÉ ET DE PROTECTION DES DONNÉES SENSIBLES

L'encadrement de ces nouveaux services s'accompagne de la mise en place d'exigences renforcées en matière de sécurité et de protection des données pour l'ensemble des établissements.

1. Renforcer les exigences de sécurité pour les paiements électroniques

Sur le plan de la sécurité , la principale innovation de la directive tient à l'obligation faite au prestataire de services de paiement, transposée à l'article L. 133-44 du code monétaire et financier, d'appliquer « l'authentification forte du client » lorsque le payeur :

- « accède à son compte de paiement en ligne » ;

- « initie une opération de paiement électronique » ;

- « exécute une opération par le biais d'un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse ».

Pour être qualifiée de « forte », une authentification doit reposer sur l'utilisation d'au moins deux éléments indépendants appartenant aux catégories « connaissance » (quelque chose que seul l'utilisateur connaît), « possession » (quelque chose que seul l'utilisateur possède) et « inhérence » (quelque chose que l'utilisateur est) ^{75 ( * )} . À titre d'illustration, une technique déjà largement utilisée par les banques françaises consiste à demander à l'utilisateur, en complément de ses identifiants habituels, d'entrer un code envoyé sur son téléphone mobile - même si une affaire récente est venue rappeler les limites de ce schéma ^{76 ( * )} .

En outre, les prestataires sont désormais tenus d' informer « sans retard injustifié » l'ACPR, en cas d'incident opérationnel majeur, et la Banque de France, en cas d'incident de sécurité majeur ^{77 ( * )} .

2. Assurer une meilleure protection des données financières des consommateurs

En matière de protection des données, l'article 94 de la directive, transposé aux articles L. 521-5 et L. 521-6 du code monétaire et financier, fixe deux principes :

- principe de nécessité : les traitements de données à caractère personnel ne peuvent être mis en oeuvre que « lorsque cela est nécessaire pour garantir la prévention, la recherche et la détection des fraudes en matière de paiement s » ;

- principe du consentement : les prestataires n'ont accès, ne traitent et ne conservent les données à caractère personnel « qu'avec le consentement exprès de l'utilisateur ».

De façon tout à fait cohérente, l'article L. 521-7 du code monétaire et financier, confie à la Commission nationale de l'informatique et des libertés (Cnil), et non à l'ACPR, le soin de veiller au respect de ces dispositions.

D. LUTTER CONTRE LE RISQUE D'ARBITRAGE RÉGLEMENTAIRE

Les services de paiement constituent un domaine privilégié d'utilisation du « passeport européen » , système d'agrément unique permettant aux établissements de crédit, de paiement et de monnaie électronique « d'exercer leurs activités dans l'ensemble des États membres de l'Union européenne ou de l'Espace économique européen, dès lors qu'ils ont obtenu dans leur pays d'origine un agrément de l'autorité compétente » ^{78 ( * )} .

Si le « passeport européen » constitue un élément indispensable à l'émergence d'un véritable marché unique des paiements, il peut avoir pour effet pervers d'encourager la migration des acteurs financiers vers les États membres où la régulation est plus laxiste , provoquant ainsi une forme de course à l'arbitrage réglementaire.

Aussi, la directive « DSP 2 » comporte de nouvelles dispositions visant à limiter ce risque .

L'octroi de l'agrément à un établissement est tout d'abord subordonné au fait que ce dernier exerce au moins une partie de son activité dans son État membre d'origine ^{79 ( * )} .

En outre, l'ordonnance fait à juste titre usage de la faculté ouverte par la directive ^{80 ( * )} d'imposer aux établissements ayant recours à des agents en libre établissement de désigner un point de contact central , afin que l'ACPR puisse disposer sur son territoire d'un interlocuteur identifié.

Enfin, rompant partiellement avec la logique traditionnelle en vertu de laquelle l'établissement exerçant à l'étranger dans le cadre du « passeport européen » reste placé sous le contrôle de son État membre d'origine, il est désormais permis à l'autorité de contrôle de l'État membre d'accueil de prendre des mesures conservatoires « dans des situations d'urgence, lorsqu'une action immédiate est nécessaire pour remédier à une menace grave pesant sur les intérêts collectifs des utilisateurs de services de paiement » ^{81 ( * )} .

Les conditions strictes fixées par l'article 30 de la directive sont reprises aux articles L. 613-33-2 et L. 613-33-3 du code monétaire et financier. Ainsi, les mesures conservatoires doivent être « appropriées et proportionnées à l'objectif de protection des intérêts collectifs des utilisateurs de services de paiement résidant en France » et ne pas avoir pour effet de « privilégier ces utilisateurs » par rapport à ceux résidant sur le territoire d'autres États membres. Enfin, ces mesures doivent présenter un caractère « temporaire » et prendre fin « lorsqu'il a été remédié à la menace grave constatée ».

E. PROTÉGER LES INTÉRÊTS DES CONSOMMATEURS

La directive comporte également de nombreuses dispositions visant à garantir un meilleur niveau d'information et de protection aux consommateurs dans leurs relations avec les prestataires de services de paiement.

Ainsi, la responsabilité de l'utilisateur n'est plus engagée qu'à concurrence d'un montant de 50 euros en cas d'opération non autorisée consécutive à un vol, à la perte ou au détournement d'un instrument de paiement (ex : carte bancaire), contre 150 euros précédemment ^{82 ( * )} .

Dans les cas où l'utilisateur donne son consentement à une opération de paiement dont le montant exact n'est pas connu (ex : stations-service, réservation d'une chambre d'hôtel, etc.), le prestataire ne peut désormais procéder au blocage des fonds que lorsque le client a validé le montant exact des fonds à bloquer ^{83 ( * )} .

En cas de réclamation , les prestataires de services de paiement sont tenus de répondre aux utilisateurs au plus tard sous quinze jours ouvrables . En cas d'impossibilité liée à des motifs échappant au contrôle du prestataire, le délai pour recevoir une réponse peut être porté à trente-cinq jours ouvrables , une réponse d'attente devant toutefois être envoyée dans le délai de droit commun de quinze jours ouvrables ^{84 ( * )} .

Il peut être noté que la version française de la directive « DSP 2 » comporte sur ce point une erreur de traduction . En effet, en français l'article 2 de la directive, après avoir rappelé l'obligation d'envoyer une « réponse d'attente », dispose que « le délai pour recevoir une réponse définitive ne dépasse pas trente-cinq jours ouvrables supplémentaires », suggérant ainsi que le délai maximum pour l'envoi de la réponse définitive s'élève à cinquante jours (quinze jours pour la réponse d'attente, puis trente-cinq jours complémentaires). À l'inverse, la version anglaise, dont les services de la Commission européenne ont indiqué qu'elle était conforme à l'intention du législateur européen, indique sans ambiguïté que le délai total ne saurait dépasser trente-cinq jours (« in any event, the deadline for receiving the final reply shall not exceed 35 business days » ). C'est donc à raison que la nouvelle rédaction de l'article L. 133-45 du code monétaire et financier dispose que « l'utilisateur de services de paiement reçoit une réponse définitive au plus tard trente-cinq jours ouvrables suivant la réception de la réclamation ».

En complément, différentes dispositions encadrent plus strictement les frais susceptibles d'être facturés par les prestataires de services de paiement . À titre d'exemple, l'utilisateur a désormais la possibilité de résilier sans frais un contrat-cadre, sauf si la résiliation intervient moins de six mois après son entrée en vigueur, contre douze mois auparavant ^{85 ( * )} . Dans ce cas, les frais doivent être « appropriés et correspondre aux coûts » (article 55 de la directive) ou, selon la terminologie retenue dans le cadre de l'ordonnance, « proportionnés aux coûts induits par cette résiliation » (article 5 de l'ordonnance).

À cet égard, il peut être noté que l'encadrement des frais susceptibles d'être facturés par les prestataires de services de paiement au titre du refus de l'exécution d'un ordre, qui doivent désormais présenter un caractère « raisonnable » (article 79 de la directive), n'a pas été transposé à l'article L. 133-10 du code monétaire et financier. Interrogé sur ce point, le Gouvernement a indiqué que « ce terme imprécis d'inspiration anglo-saxone n'est pas apparu pertinent dans des dispositions de niveau législatif en droit français ». Aussi, votre commission a adopté un amendement de votre rapporteur à l'article 2 du présent projet de loi, visant à préciser que les frais facturés doivent être « proportionnés aux coûts induits ».

Diverses dispositions visent par ailleurs à améliorer l'information des utilisateurs . À titre d'illustration, une obligation d'informer « sans délai » les utilisateurs est mise à la charge du prestataire lorsque se produit un incident opérationnel ou de sécurité majeur susceptible d'avoir des répercussions sur les intérêts financiers des utilisateurs ^{86 ( * )} .

Enfin, il doit être observé que, dans le cadre de la transposition, il n'a pas été fait usage de la possibilité ouverte par les articles 38 et 61 de la directive d' étendre aux microentreprises les exigences dont bénéficient les consommateurs en matière d'information et de transparence ainsi que les droits liés à la prestation et à l'utilisation des services de paiement qui leur sont reconnus. Interrogé sur ce point par votre rapporteur, le Gouvernement a indiqué qu'« outre la difficulté que cela poserait dans la gestion d'éventuels changements de statut de l'entreprise, il semble préférable de laisser aux microentreprises la possibilité de négocier les informations dont elles souhaitent disposer dans le cadre des opérations de paiement qu'elles effectuent ».

F. MODALITÉS D'ENTRÉE EN VIGUEUR ET CONDITIONS D'APPLICATION OUTRE-MER

Les modalités d'entrée en vigueur, fixées à l'article 34 de l'ordonnance, ainsi que les conditions d'application outre-mer, déterminées aux articles 22 à 33, sont respectivement modifiées par les articles 1 ter et 6 du présent projet de loi et font à ce titre l'objet de commentaires propres.

III. LES MODIFICATIONS APPORTÉES PAR L'ASSEMBLÉE NATIONALE

Le présent article a été adopté sans modification par l'Assemblée nationale.

IV. LA POSITION DE VOTRE COMMISSION DES FINANCES

Si l'ordonnance transpose de manière globalement fidèle la directive et fait bon usage des marges de manoeuvre laissées aux États membres - en particulier en imposant la désignation d'un point de contact central aux prestataires utilisant le « passeport européen » et en maintenant une procédure simplifiée d'agrément pour les établissements dont le montant prévisionnel d'opérations de paiement ou de monnaie électronique en circulation apparaît limité -, neuf amendements ont été adoptés aux articles 2 à 4 du présent projet de loi afin d' améliorer la cohérence des dispositions du code monétaire et financier issues de l'ordonnance avec la directive et de corriger des erreurs de référence .

Sous réserve de leur adoption, le rapporteur a proposé de ratifier l'ordonnance .

Décision de la commission : votre commission a adopté cet article sans modification.

ARTICLE 1er bis - (Art. L. 112-14 du code monétaire et financier) - Encadrement de la fourniture d'espèces à l'occasion d'une opération de paiement

. Commentaire : le présent article prévoit d'encadrer la possibilité, pour les commerçants, de fournir des espèces au consommateur à l'occasion d'une opération de paiement pour l'achat de biens ou de services.

I. LE DROIT EXISTANT

Reprenant directement les dispositions de la première directive sur les services de paiement dans le marché intérieur ^{87 ( * )} (dite « DSP 1 »), l'article 3 de la directive du 25 novembre 2015 ^{88 ( * )} (dite « DSP 2 ») recense les opérations qui n'entrent pas dans son champ d'application. Parmi celles-ci figurent les « services pour lesquels des espèces sont fournies par le bénéficiaire au bénéfice du payeur dans le cadre d'une opération de paiement, à la demande expresse de l'utilisateur de services de paiement formulée juste avant l'exécution de l'opération de paiement via un paiement pour l'achat de biens ou de services ». Il s'agit concrètement de la possibilité, pour un consommateur achetant un produit, de payer par carte un montant supérieur et d'obtenir des espèces en retour.

Par conséquent, ce type de services n'est pas réservé à un prestataire de services de paiement relevant des dispositions de la directive « DSP 2 », mais peut être proposé par un commerçant.

Quoique prévue dès la première directive sur les services de paiement, cette pratique n'avait pas été transposée en droit national . Il en résultait une situation paradoxale, puisque ce service, également appelé « cashback », était théoriquement applicable en France mais, à défaut de cadre juridique prévoyant ses modalités d'application, il ne pouvait être mis en oeuvre .

L'ordonnance du 9 août 2017 ^{89 ( * )} , qui vise à transposer la directive, a complété l'article L. 314-1 du code monétaire et financier afin de préciser que la fourniture d'espèces au consommateur dans le cadre d'une opération de paiement pour l'achat de biens ou de services n'est pas considérée comme un service de paiement.

Toutefois, elle ne comporte aucune disposition régissant les modalités d'application du « cashback » , dans la mesure où elle ne fait que transposer la directive.

II. LE DISPOSITIF ADOPTÉ PAR L'ASSEMBLÉE NATIONALE

À l'initiative du Gouvernement et après un avis favorable de la commission des finances, l'Assemblée nationale a adopté un amendement visant à définir le cadre applicable à la fourniture d'espèces dans le cadre d'une opération de paiement, correspondant à la pratique du « cashback ».

À cet effet, le présent article introduit une sixième section au sein du chapitre II du titre I ^er du livre I ^er du code monétaire et financier, composée d'un article unique L. 112-14.

Le I de cet article précise que les commerçants mentionnés à l'article L. 121-1 du code de commerce ^{90 ( * )} peuvent fournir des espèces à l'utilisateur de services de paiement dans le cadre d'une opération de paiement pour l'achat de biens ou de services. Il s'agit bien d'une simple possibilité , qui repose donc sur une démarche volontaire du commerçant .

Le II complète cette possibilité en précisant que ce service ne peut être fourni qu'à la demande du consommateur , formulée juste avant l'exécution d'une opération de paiement.

Le périmètre de ce service est doublement restreint :

- s'agissant du type d'utilisateur de services de paiement, puisqu'il n'est pas ouvert aux utilisateurs agissant à des fins professionnelles ;

- s'agissant du moyen de paiement utilisé , puisqu'il n'est pas ouvert aux paiements effectués par chèques, par titres-papiers, par instruments spéciaux de paiement ^{91 ( * )} ou par titres spéciaux de paiement dématérialisés ^{92 ( * )} .

Ces dispositions visent en particulier à assurer la qualité de la circulation fiduciaire et à réduire les risques de blanchiment d'argent et de financement du terrorisme.

De même, le III de l'article L. 112-14, que le présent article propose d'introduire dans le code monétaire et financier, prévoit que les modalités de fourniture de ce service sont précisées par un décret qui détermine un double encadrement :

- un plancher appliqué à l'opération d'achat d'une part, à savoir le montant minimal de l'opération de paiement d'achat dans le cadre de laquelle des espèces sont fournies ;

- un plafond maximal de fourniture d'espèces d'autre part, à savoir le montant maximal en numéraire pouvant être décaissé à cette occasion.

Par ailleurs, le IV de cet article permet à la Banque de France, en cas de menace pour la qualité de la circulation fiduciaire ou d'événement exceptionnel ayant pour conséquence d'entraver de manière significative l'approvisionnement de billets en euros, de procéder à deux modifications temporaires, après en avoir informé le ministre chargé de l'économie :

- moduler temporairement à la hausse ou à la baisse le montant maximal en numéraire pouvant être décaissé ;

- ajuster la liste des instruments de paiement ne pouvant pas donner lieu à la fourniture d'espèces.

Ce pouvoir résulte directement des missions de la Banque de France précisées à l'article L. 141-5 du code monétaire et financier, au terme duquel elle « a pour mission d'assurer l'entretien de la monnaie fiduciaire et de gérer la bonne qualité de sa circulation sur l'ensemble du territoire ».

III. LA POSITION DE VOTRE COMMISSION DES FINANCES

Exclue du champ de la directive « DSP 1 », la possibilité de fournir des espèces à l'occasion d'une opération de paiement était laissée au choix des États membres. À défaut de cadre juridique régissant ce service en France, le « cashback » ne s'y est pas développé .

L'ordonnance du 9 août 2017 procédant à la transposition de la directive « DSP 2 » complète le code monétaire et financier en excluant explicitement la fourniture d'espèces à l'occasion d'une opération de paiement. Ainsi, il n'est pas nécessaire d'être reconnu comme prestataire de services de paiement pour proposer ce service.

À l'instar de plusieurs États membres de l'Union européenne qui le permettent déjà, comme l'Allemagne, l'Italie ou l'Espagne, l'Assemblée nationale a, à l'initiative du Gouvernement, défini un cadre juridique régissant le « cashback ».

D'après l'étude pilotée par la Banque centrale européenne sur l'utilisation des espèces en point de vente ^{93 ( * )} , le « cashback » représente 7 % des retraits d'espèces en volume parmi l'ensemble des sources de retrait - mais seulement 2 % en valeur. En moyenne, les consommateurs de la zone euro y ont recours 4,4 fois par an, pour un montant moyen de 15 euros.

Ce service s'inscrit dans un double contexte :

- le redimensionnement du réseau d'agences bancaires d'une part, conduisant parfois, pour certains territoires, à la disparition de certains distributeurs automatiques de proximité ;

- la poursuite de la stratégie nationale des moyens de paiement lancée en octobre 2015, visant à accélérer le développement de moyens de paiement innovants et la compétitivité de l'industrie française des paiements.

S'il complète l'accès de nos concitoyens aux espèces, le « cashback » ne constitue toutefois pas un palliatif à la fermeture de distributeurs automatiques de billets , en particulier compte tenu du montant maximal en numéraire pouvant être décaissé.

Le présent article vise à préciser les modalités de ce service pour les commerçants et les consommateurs, tout en posant le cadre permettant de prévenir les risques de blanchiment d'argent et de mise en circulation de faux billets.

La fourniture d'espèces à l'occasion d'une opération de paiement s'accompagne en effet de plusieurs difficultés que le dispositif proposé contribue à circonscrire .

D'abord, dans la mesure où il manipule davantage d'espèces, un risque existe pour la sécurité du commerçant pratiquant le « cashback ». Il est toutefois proposé de rendre possible ce service, sur une base volontaire, et non obligatoire . De fait, les commerçants désireux d'accroître la fréquentation de leur magasin ou d'optimiser la gestion de leur fonds de caisse pourraient y être intéressés, d'autant plus qu'il est prévu qu'ils puissent prélever des commissions sur chaque opération ^{94 ( * )} .

S'agissant surtout des risques liés à la circulation de faux billets et au blanchiment d'argent , plusieurs garde-fous sont prévus :

- s'agissant du périmètre des opérations permettant la fourniture d'espèces, les opérations professionnelles et les paiements effectués par l'intermédiaire de moyens de paiement, qui sont plus facilement falsifiables, en sont exclus par le présent article ;

- s'agissant des montants considérés, puisqu'un double encadrement réglementaire, relatif au montant de l'opération d'achat et au montant en numéraire pouvant être décaissé, sera défini.

Selon les précisions fournies par Jérôme Reboul, sous-directeur des banques et des financements d'intérêt général à la direction générale du Trésor, à l'occasion de la table-ronde organisée le 14 février dernier par la commission des finances du Sénat, « le seuil n'a pas encore été fixé . Il ne sera en aucun cas analogue à celui du paiement maximal en espèce. [...] L'objectif est de fixer un seuil préservant un bon arbitrage entre l'intérêt de service pour le client et la prévention des risques . Le seuil doit être suffisamment bas pour écarter la remise de grosses coupures, qui sont les plus vulnérables au risque de fraude » ^{95 ( * )} . Le montant maximal pouvant être décaissé devrait être compris entre 80 euros et 150 euros ^{96 ( * )} .

Il importera ensuite de préciser le contenu du décret , à l'issue d'une concertation de place, afin de rendre applicable le dispositif proposé tout en assurant une mise en oeuvre sécurisée et garante du service.

Conjuguées au pouvoir de contrôle et de modulation confié à la Banque de France, ces dispositions devront permettre de limiter les risques d'utilisation frauduleuse du « cashback ».

Décision de la commission : votre commission a adopté cet article sans modification.

ARTICLE 1er ter A (nouveau) (Art. L. 522-7-2 [nouveau] du code monétaire et financier) - Obligation d'assurance et d'immatriculation pour les prestataires et établissements qui initient des ordres ou permettent d'accéder aux données concernant des comptes et produits autres que les comptes de paiement

. Commentaire : le présent article, introduit par votre commission, propose d'imposer aux prestataires et établissements qui initient des ordres ou permettent d'accéder aux données concernant des comptes et produits autres que les comptes de paiement de souscrire une assurance et de s'immatriculer auprès de l'Autorité de contrôle prudentiel et de résolution (ACPR).

I. LE DROIT EXISTANT

De nouveaux services permettent aujourd'hui aux utilisateurs de disposer d'une vision consolidée de leurs finances personnelles, en agrégeant les données de l'ensemble de leurs comptes et produits (comptes de paiement, livrets, contrats d'assurance vie, crédits, etc.) et en leur offrant la possibilité de réaliser des ordres.

Or, la directive 2015/2366 du 25 novembre 2015, dite « DSP 2 », encadre uniquement les services portant sur les comptes de paiement, avec ^{97 ( * )} :

- la reconnaissance de deux nouveaux services de paiement (le service d'initiation de paiement et le service d'information sur les comptes), assortie d'une obligation d'agrément ou d'enregistrement auprès de l'ACPR ;

- un régime de responsabilité sui generis en cas d'opération frauduleuse, qui permet à l'utilisateur d'obtenir immédiatement un remboursement auprès de son gestionnaire de compte, y compris lorsque l'opération a été initiée par un prestataire tiers ;

- une obligation d'assurance pour les prestataires fournissant les nouveaux services , afin de garantir leur capacité à rembourser le gestionnaire de compte si leur responsabilité est engagée ;

- un système garantissant la sécurité de l'accès au compte de paiement et l'identification des prestataires , soit par le biais d'une interface dédiée, soit par accès direct.

S'il n'apparaît pas souhaitable d'étendre les dispositions de la directive aux autres comptes et produits - ce chantier devant être mené au niveau européen, compte tenu notamment de ses implications en termes de concurrence -, la question de la responsabilité en cas d'accès ou d'utilisation frauduleuse aux comptes et produits non couverts par la directive ne peut être laissée longtemps sans réponse .

En effet, l'absence d'encadrement des services proposés sur les comptes et produits autres que les comptes de paiement conduit à rendre l'utilisateur seul responsable en cas de fraude , dans la mesure où :

- la communication à un tiers de ses codes confidentiels par l'utilisateur est le plus souvent contraire aux dispositions contractuelles régissant le fonctionnement des comptes, ce qui devrait permettre à la banque gestionnaire de compte de refuser de procéder au remboursement ;

- le prestataire tiers s'exonère généralement de toute responsabilité dans le cadre des contrats passés avec les clients ;

- même en l'absence de telles clauses, le prestataire tiers ne serait vraisemblablement pas en mesure de procéder au remboursement des clients si sa responsabilité était engagée, faute d'assurance souscrite à cet effet.

Ce risque, qui pèse aujourd'hui sur plusieurs millions d'utilisateurs, apparaît d'autant moins acceptable que 80 % des comptes agrégés par les nouveaux acteurs ne sont pas des comptes de paiement ^{98 ( * )} .

II. LE DISPOSITIF ADOPTÉ PAR VOTRE COMMISSION DES FINANCES

Dans l'attente d'une solution européenne et afin de garantir la possibilité pour l'utilisateur d'obtenir un remboursement auprès du prestataire tiers en cas de fraude, votre commission des finances a, à l'initiative de son rapporteur, adopté un amendement COM-1 rectifié tendant à créer un nouvel article L. 522-7-2 au sein du code monétaire et financier.

Le I de l'article confirmerait tout d'abord la possibilité d'engager la responsabilité du prestataire tiers en cas de fraude, ce qui rendrait ainsi inopposables les clauses contractuelles contraires.

Seraient visés les prestataires de services de paiement qui fournissent le service mentionné au 7° (initiation de paiement) ou au 8° (information sur les comptes) du II de l'article L. 314-1 du code monétaire et financier et qui, à la demande de l'utilisateur, initient un ordre ou lui permettent d'accéder aux données concernant ses :

- comptes sur livret ;

- comptes à terme ;

- comptes-titres ;

- comptes liés aux produits d'épargne générale à régime fiscal spécifique (livret A, épargne populaire, livret jeune, livret de développement durable et solidaire, épargne-logement, plan d'épargne en actions, compte PME innovation, épargne codéveloppement et compte épargne d'assurance pour la forêt)

- crédits immobiliers ;

- crédits à la consommation ;

- bons, contrats de capitalisation ou contrats d'assurance vie.

Par suite, le II de l'article obligerait les prestataires à disposer d'une assurance de responsabilité civile professionnelle les couvrant contre l'engagement de leur responsabilité , dont ils devraient pouvoir justifier à tout moment. Contrairement aux établissements de monnaie électronique, aux établissements de paiement et aux prestataires de services d'information sur les comptes, les établissements de crédit ne seraient pas tenus de souscrire cette assurance complémentaire, par parallélisme avec le dispositif prévu par la directive et compte tenu des règles prudentielles spécifiques qui leur sont applicables - leur responsabilité pouvant néanmoins être engagée sur le fondement du I.

Un décret en Conseil d'État fixerait les modalités d'application de cette obligation, les critères permettant de déterminer le montant minimal de l'assurance de responsabilité civile professionnelle ainsi que les délais dans lesquels l'indemnisation doit intervenir .

Enfin, le III de l'article imposerait aux prestataires entrant dans le champ de l'obligation d'assurance de s'immatriculer sur un registre unique, librement accessible et tenu par l'ACPR . Là encore, un décret en Conseil d'État préciserait les conditions d'immatriculation, les modalités de la tenue du registre et les informations devant être rendues publiques.

Ce régime d'immatriculation souple, inspiré de celui prévu à l'article L. 546-1 du code monétaire et financier pour les intermédiaires financiers et conseillers en investissements financiers, apparaît préférable à la mise en place d'une procédure d'agrément ad hoc , source de redondances administratives et de complexité excessive pour les entreprises. En effet, ainsi que le relève l'ACPR, si l'agrément prévu par la directive « DSP 2 » n'est délivré que sur l'activité relative aux seuls comptes de paiement, « les dispositifs de contrôle, de gestion des risques et de sécurité, dont la qualité est une condition de l'agrément délivré, sont en pratique les mêmes pour les comptes d'épargne et les comptes de paiement » ^{99 ( * )} .

Décision de la commission : votre commission a adopté cet article additionnel ainsi rédigé.

ARTICLE 1er ter (Art. 34 de l'ordonnance n° 2017-1252 du 9 août 2017) - Mobilités transitoires de communication entre prestataires de services de paiement et gestionnaires de compte

. Commentaire : le présent article prévoit qu'un décret définisse des modalités transitoires de communication entre les prestataires de services de paiement et les gestionnaires de compte, dans l'attente de l'entrée en vigueur en septembre 2019 des normes techniques de réglementation définissant les modalités de communication standardisée au niveau européen.

I. LE DROIT EXISTANT

Les articles 65, 66 et 67 de la directive du 25 novembre 2015 concernant les services de paiement dans le marché intérieur ^{100 ( * )} renvoient à des normes techniques de réglementation pour déterminer les modalités sécurisées de communication entre les prestataires de services de paiement d'initiation de paiement et d'information sur les comptes (PSIP/PSIC) et les gestionnaires de compte.

Il s'agit de garantir l'identification des prestataires de services de paiement lors de leur connexion , ce que la méthode actuelle du « web scraping » non authentifié (méthode d'extraction de données) ne permet pas. Par ce biais, le régime de responsabilité établi par la directive du 25 novembre 2015 deviendra effectif .

La directive prévoit deux solutions :

- soit l'adaptation de l'interface bancaire existante pour les clients ;

- soit la création d'une nouvelle interface spécifique pour les prestataires de services de paiement, souvent désignée sous le terme d'« interface de programmation applicative » ( application programming interface , API).

Ces normes techniques de réglementation ont été adoptées par la Commission européenne sur le fondement de l'article 98 de la directive et publiées au Journal officiel de l'Union européenne le 13 mars dernier ^{101 ( * )} .

Les dispositions retenues dans l'acte délégué adopté par la Commission européenne enserrent le développement de ces interfaces. En particulier, le gestionnaire de compte devra communiquer trois mois à l'avance tout changement important des spécifications de l'interface et fournir un environnement de test.

S'ils optent pour une interface spécifique, les gestionnaires de compte doivent mettre en place des mesures de sauvegarde d'urgence. Ce mécanisme de secours vise à garantir la continuité du service fourni et à préserver la concurrence loyale sur le marché.

Toutefois, une exemption est possible à condition que l'interface de communication spécifique et pleinement opérationnelle soit conforme aux critères de qualité définis par les normes techniques de réglementation. Elle est accordée par l'autorité nationale de régulation au cas par cas, après consultation de l'Agence bancaire européenne ; elle peut être révoquée sous certaines hypothèses ^{102 ( * )} .

Surtout, l'interface proposée par le gestionnaire de compte doit fournir le même niveau de performance et de disponibilité ainsi que le même niveau de secours que celui mis en oeuvre par les interfaces réservées aux clients. L'article 28 de la directive prévoit que tout dysfonctionnement constaté en la matière pourra être remonté au régulateur national.

Toutefois, ces dispositions n'entreront en vigueur qu'à partir du 1 ^er septembre 2019 ^{103 ( * )} : jusqu'à cette date, la méthode actuelle du web scraping non identifié demeurera de facto applicable.

L'acte délégué de la Commission européenne prévoit que toutes les interfaces de communication, qu'elles soient spécifiques ou non, doivent faire l'objet d'un essai de prototype de trois mois puis d'un essai dans les conditions réelles de marché de trois mois également .

La Commission européenne a formé un groupe de marché , composé de représentants des établissements bancaires, des nouveaux prestataires de services de paiement reconnus par la directive du 25 novembre 2015 et d'utilisateurs de services de paiement, chargé d'examiner la qualité des interfaces de communication spécifique.

II. LE DISPOSITIF ADOPTÉ PAR L'ASSEMBLÉE NATIONALE

À l'initiative du Gouvernement et après un avis favorable de sa commission des finances, l'Assemblée nationale a adopté un amendement permettant au pouvoir réglementaire de définir par décret les modalités transitoires de communication entre les PSIP/PSIC, les utilisateurs et les établissements bancaires, dans l'attente de l'entrée en vigueur des normes techniques de réglementation européenne.

Ce décret préciserait les conditions d'entrée en vigueur et les conditions suivant lesquelles les PSIP et les PSIC communiquent de manière sécurisée avec les utilisateurs de services de paiement et les prestataires de services de paiement gestionnaires de comptes.

Il est précisé que ces modalités doivent permettre aux PSIP et aux PSIC de continuer à exercer leurs activités.

Cette possibilité est ouverte jusqu'à dix-huit mois après l'entrée en vigueur de l'acte délégué définissant les normes techniques de réglementation, adopté en vertu du 1 de l'article 98 de la directive du 25 novembre 2015, soit avant le 1 ^er septembre 2019 .

III. LA POSITION DE VOTRE COMMISSION DES FINANCES

La méthode actuelle de connexion non authentifiée à laquelle ont recours les prestataires de services d'initiation de paiement et d'information sur les comptes soulève deux difficultés majeures :

- en termes de sécurité d'une part, dès lors que, selon les précisions de Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi), « ces nouveaux acteurs sont amenés à collecter et à stocker un grand nombre d'informations confidentielles d'authentification dont la compromission serait potentiellement très dommageable pour la confidentialité de données personnelles et patrimoniales » ^{104 ( * )} ;

- en termes de protection du consommateur , dès lors qu'en l'absence d'identification d'une connexion par un prestataire tiers, les modalités de partage de responsabilité en cas de fraude prévues par la directive pour un ordre de paiement émis par un initiateur tiers ne pourraient pas être mises en oeuvre.

Le Gouverneur de la Banque de France a ainsi alerté le ministre de l'économie et des finances sur les risques liés à la prolongation du web scraping non authentifié durant la période transitoire jusqu'à l'application des normes techniques de réglementation en septembre 2019.

C'est pourquoi, à l'initiative du Gouvernement, l'Assemblée nationale a complété le projet de loi initial en permettant une application anticipée du nouveau mode de connexion.

Les banques françaises ont opté pour le développement d'interfaces spécifiques. L'objectif est de leur permettre, pour celles qui seraient prêtes à l'avance, de tester puis de rendre obligatoire le recours à ces interfaces.

Deux exigences doivent toutefois être conciliées :

- d'une part, garantir la sécurité de l'accès au compte de paiement, en assurant l'identification du prestataire de services de paiement ;

- d'autre part, garantir l'effectivité de l'accès des prestataires de services de paiement aux comptes de paiement, dès lors que le titulaire y a consenti.

L'accès aux comptes de paiement détermine en effet la capacité des nouveaux prestataires de services de paiement reconnus par la directive du 25 novembre 2015 à fournir leurs services. Le respect des normes techniques de réglementation est donc crucial pour préserver la concurrence et assurer un niveau élevé de sécurité à l'utilisateur.

Selon les indications de Delphine Gény-Stephann, secrétaire d'État auprès du ministre de l'économie et des finances, devant l'Assemblée nationale en séance publique le 8 février dernier, « le souhait du Gouvernement est de prévoir une entrée en vigueur anticipée des dispositions des normes techniques réglementaires relatives aux modalités de communication sécurisées » ^{105 ( * )} .

Deux conditions devraient être remplies pour autoriser la généralisation anticipée des interfaces spécifiques :

- l'interface devrait satisfaire aux exigences de performance et de qualité définies par la norme technique de réglementation ;

- les gestionnaires de compte devraient assurer que les nouveaux acteurs tiers pourront continuer à exercer leurs activités .

Cependant, la rédaction actuelle du champ du décret prévu pour déterminer les conditions d'entrée en vigueur et de communication ne mentionne pas explicitement son assujettissement aux dispositions de l'acte délégué adopté par la Commission européenne pour déterminer les normes techniques de réglementation.

Il importe donc de compléter le dispositif initial en précisant que les modalités de communication transitoires définies par le décret sont conformes aux dispositions des normes techniques de réglementation qui trouveront à s'appliquer à partir de septembre 2019. À l'initiative de son rapporteur, votre commission a adopté un amendement COM-2 en ce sens.

Il convient de préciser que ces dispositions ne s'appliqueront néanmoins qu'aux comptes relevant du périmètre de la directive « DSP 2 » , soit les comptes de paiement. Les services de paiement et d'information sur les autres comptes , comme les comptes d'épargne ou les comptes d'assurance, continueront à s'effectuer par la méthode du « web scraping » non authentifié .

Or 80 % des comptes agrégés par les services d'information sur les comptes ne sont pas des comptes de paiement ^{106 ( * )} .

Il importe donc qu'une démarche européenne soit engagée, afin de prolonger l'harmonisation déjà opérée pour les comptes de paiement et garantir aux utilisateurs des conditions de sécurité renforcées ( cf . commentaire des articles 1 ^er et 1 ^er ter A) .

Décision de la commission : votre commission a adopté cet article ainsi rédigé.

ARTICLE 2 (Art. L. 133-1, L. 133-2, L. 133-28, L. 133-39, L. 133-40, L. 133-41 et L. 133-45 du code monétaire et financier) - Corrections apportées aux dispositions de l'ordonnance relatives aux instruments de paiement et à l'accès aux comptes

. Commentaire : le présent article prévoit diverses corrections aux dispositions de l'ordonnance et précise les obligations d'information à la charge des prestataires de paiement, à l'adresse des utilisateurs de services de paiement professionnels, s'agissant des procédures de règlement extrajudiciaire à leur disposition.

L'ordonnance du 9 août 2017 ^{107 ( * )} , que l'article 1 ^er du présent projet de loi propose de ratifier, procède à la transposition des dispositions de la directive du 25 novembre 2015 concernant les services de paiement dans le marché intérieur ^{108 ( * )} .

Le 1° du présent article modifie l'article L. 133-1 du code monétaire et financier, afin de rétablir une disposition supprimée accidentellement par l'ordonnance. Elle précise que les opérations de paiement effectuées entre prestataires de services de paiement pour leur propre compte n'entrent pas dans le périmètre d'application des règles prévues pour les instruments de paiement et l'accès aux comptes ^{109 ( * )} .

Le 3° transpose le point b) de l'article 63 de la directive oublié par l'ordonnance. À cet effet, il modifie l'article L. 133-28 du code monétaire et financier encadrant les possibilités de déroger au droit commun pour les opérations de faibles montants.

Dans le cas d'une utilisation anonyme de l'instrument de paiement ou de l'impossibilité pour le prestataire de prouver qu'une opération a été autorisée, il est prévu que le payeur et le prestataire de services de paiement peuvent déroger par contrat aux deux règles suivantes :

- l'absence de conséquences financières pour le payeur qui a perdu ou s'est fait voler son instrument de paiement et a prévenu son prestataire de services de paiement pour qu'il le bloque ;

- l'obligation pour le prestataire de services d'initiation de paiement de prouver que l'ordre de paiement a été reçu par le gestionnaire et correctement exécuté , dans le cas où l'utilisateur nie avoir exécuté l'opération ou affirme qu'elle a été mal exécutée.

Les 2° et 4° à 8° procèdent à des mesures de coordination et à des modifications rédactionnelles aux articles L. 133-2, L. 133-19, L. 133-40 et L. 133-41 du code monétaire et financier.

*

Outre un amendement rédactionnel adopté par la commission des finances à l'initiative de notre collègue députée Nadia Hai, rapporteur, l'Assemblée nationale a adopté, en séance publique et après un avis favorable de la commission des finances, un amendement du Gouvernement.

Cet amendement vise à clarifier les obligations d'information à la charge des prestataires de services de paiement, à l'adresse des utilisateurs de services de paiement professionnels, à propos des procédures de règlement extrajudiciaire à leur disposition .

L'article 102 de la directive du 25 novembre 2015 concernant les services de paiement dans le marché intérieur impose la mise en oeuvre de procédures de règlement extrajudiciaire. Toutefois, il est précisé à l'article 61 de cette même directive que cette obligation ne trouve pas à s'appliquer lorsque l'utilisateur de services de paiement n'est pas un consommateur. C'est sur ce fondement que la France a choisi de réserver aux consommateurs le droit de recourir à un médiateur (article L. 316-1 du code monétaire et financier).

L'article 101 de la directive, transposé par l'ordonnance du 9 août 2017 à l'article L. 133-45 du code monétaire et financier, précise cependant que le prestataire de services de paiement doit informer l'utilisateur de services de paiement d'au moins une instance de règlement extrajudiciaire compétente. Il n'est pas précisé comment cette obligation est remplie lorsqu'une telle instance n'existe pas, ce qui est le cas en France s'agissant des utilisateurs professionnels.

C'est pourquoi il est proposé de compléter l'article L. 133-4 du code monétaire et financier afin de préciser que, s'agissant des utilisateurs de services de paiement professionnels, seule une obligation d'information relative à l'existence ou non d'une instance de règlement extrajudiciaire s'impose au prestataire de services de paiement .

À l'initiative de son rapporteur, la commission a complété le présent article en adoptant quatre amendements COM-3, COM-4, COM-5 et COM-6, visant à améliorer la cohérence des dispositions du code monétaire et financier avec la rédaction de la directive.

Décision de la commission : votre commission a adopté cet article ainsi rédigé.

ARTICLE 3 (Art. L. 351-1 du code monétaire et financier) - Correction d'une erreur de référence

. Commentaire : le présent article prévoit diverses mesures de coordination et procède à la correction d'une erreur de référence.

Le 1° du présent article modifie les alinéas visés à la première phrase du premier alinéa de l'article L. 351-1 du code monétaire et financier afin de corriger une erreur de référence de l'ordonnance du 9 août 2017.

Le 2° résulte d'un amendement adopté par l'Assemblée nationale à l'initiative de notre collègue députée Nadia Hai, rapporteur, après un avis favorable du Gouvernement. Il procède aux coordinations rendues nécessaires par la nouvelle rédaction de l'article L. 351-1 du code monétaire et financier, issue de l'article 16 de l'ordonnance du 4 octobre 2017 relative à la dématérialisation des relations contractuelles dans le secteur financier ^{110 ( * )} , qui entrera en vigueur le 1 ^er avril 2018.

Votre commission, à l'initiative de son rapporteur, a adopté un amendement COM-7 de coordination visant à prendre en compte les rédactions des articles L. 312-1-1 et L. 314-13 du code monétaire et financier qui entreront en vigueur à compter du 1 ^er avril 2018 au sein des articles L. 314-5 et L. 351-1 du même code.

Décision de la commission : votre commission a adopté cet article ainsi rédigé.

ARTICLE 4 (Art. L. 521-3-2, L. 522-3, L. 522-8, L. 522-13, L. 525-9, L. 526-19, L. 526-24, L. 526-28 et L. 561-2 du code monétaire et financier) - Dispositions de coordination et corrections de rédaction au titre II du livre V du code monétaire et financier

. Commentaire : le présent article prévoit les modalités de contrôle applicable aux instruments de paiement spécifiques et procède à diverses mesures de coordination ainsi que de corrections rédactionnelles ou de références dans plusieurs articles du code monétaire et financier.

Les 1° à 8° du présent article procèdent à :

- des mesures de coordination omises par l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur aux articles L. 522-3 et L. 526-28 du code monétaire et financier ;

- des améliorations rédactionnelles aux articles L. 522-8, L. 522-13 et L. 526-24 du même code ;

- des corrections de références résultant d'erreurs de l'ordonnance du 9 août 2017 aux articles L. 526-9, L. 526-19, L. 526-28, L. 561-12 et L. 561-2 du même code.

*

À l'initiative du Gouvernement et après l'avis favorable de la commission des finances, l'Assemblée nationale a adopté un amendement visant à préciser les modalités de contrôle applicable aux instruments de paiement spécifiques. Pour mémoire, il s'agit d'instruments de paiement ne pouvant être utilisés que de manière limitée comme, par exemple, les cartes prépayées.

Il est ainsi proposé de compléter l'article L. 521-3-2 du code monétaire et financier afin de confier à la Banque de France le pouvoir de contrôle de ces instruments de paiement spécifiques .

À ce titre, il est prévu que la Banque de France « s'assure de la sécurité des services reposant sur des instruments de paiement spécifiques et de la pertinence des normes applicables en la matière ». Si elle estime que les garanties de sécurité de l'instrument de paiement spécifique sont insuffisantes, « elle peut recommander à son émetteur de prendre toutes mesures destinées à y remédier ». À défaut d'effet, la Banque de France peut « décider de formuler un avis négatif publié au Journal officiel ».

Ces dispositions reprennent expressément les modalités du contrôle déjà assuré par la Banque de France pour les titres spéciaux de paiement dématérialisés et prévu à l'article L. 525-4 du même code. Il s'agit des « titres spéciaux de paiement dématérialisés soumis à des dispositions législatives ou réglementaires spécifiques ou à un régime spécial de droit public qui en destinent l'usage exclusivement à l'acquisition d'un nombre limité de catégories de biens ou de services déterminées ou à une utilisation dans un réseau limité » (article L. 525-4 du code monétaire et financier). En pratique, cette catégorie recouvre les supports de paiement émis à des fins sociales ou fiscales spécifiques, à l'instar des chèques-vacances et des titres-restaurant.

Ces deux types de moyens de paiement spécifiques n'entrent pas dans le champ des services de paiement prévus à l'article L. 314-1 du même code. Leur émission n'est donc pas réservée à des prestataires de services de paiement soumis au cadre de la directive « DSP 2 ».

Selon le Gouvernement, ces dispositions entendent assurer un contrôle équivalent des instruments de paiement spécifiques et des titres spéciaux de paiement. L'objectif est donc de prévenir un risque d'éviction des titres spéciaux de paiement dématérialisés, actuellement placés sous le contrôle de la Banque de France, vers les instruments de paiement spécifiques, afin de se soustraire au contrôle de la Banque de France.

À l'initiative de son rapporteur, votre commission a adopté un amendement COM-11 de correction d'une erreur matérielle ainsi que trois amendements COM-8, COM-9 et COM-10 tendant à mettre en cohérence plusieurs articles du code monétaire et financier avec la nouvelle rédaction de l'article 3 de la directive précitée du 25 novembre 2015.

Décision de la commission : votre commission a adopté cet article ainsi rédigé.

ARTICLE 5 (Art. L. 612-2 et L. 613-33-3 du code monétaire et financier) - Correction d'une erreur de rédaction concernant les compétences de l'Autorité de contrôle prudentiel et de résolution

. Commentaire : le présent article prévoit de corriger une erreur de rédaction concernant l'étendue des compétences de l'Autorité de contrôle prudentiel et de résolution (ACPR) sur l'activité de prestation de services d'investissement des établissements de crédit et des entreprises d'investissement ou des entreprises de marché.

Le 1° du présent article rétablit l'alinéa de l'article L. 612-2 du code monétaire et financier, supprimé par erreur par l'article 19 de l'ordonnance n° 2017-1252 du 9 août 2017 , précisant que le contrôle de l'Autorité de contrôle prudentiel et de résolution (ACPR) sur l'activité de prestation de services d'investissement ^{111 ( * )} des établissements de crédit et des entreprises d'investissement ou des entreprises de marché ^{112 ( * )} s'exerce sous réserve de celui de l'Autorité des marchés financiers (AMF) s'agissant du contrôle des règles de bonne conduite et autres obligations professionnelles.

Le 2° de cet article corrige une erreur de référence à l'article L. 613-33-3 du code monétaire et financier.

À l'initiative de notre collègue députée Nadia Hai, rapporteur, la commission des finances de l'Assemblée nationale a adopté un amendement rédactionnel au 1°, visant à compléter la dénomination de l'Autorité de contrôle prudentiel et de résolution au sein de l'article L. 612-2 du code monétaire et financier.

Décision de la commission : votre commission a adopté cet article sans modification.

ARTICLE 6 (Art. L. 741-2-1 A, L. 743-3, L. 743-7-1, L. 745-8, L. 745-8-1, L. 745-13, L. 746-2, L. 751-2-1, L. 751-2-1 A, L. 753-2, L. 753-3, L. 753-7-1, L. 755-8-1, L. 755-13, L. 756-2, L. 761-1-2, L. 761-1-2 A, L. 763-3, L. 763-7-1, L. 765-8-1, L. 765-13 et L. 766-2 du code monétaire et financier) - Dispositions de coordinations et corrections d'erreurs de rédaction relatives à l'application de l'ordonnance n° 2017-1252 du 9 août 2015 en Nouvelle-Calédonie, en Polynésie française et à Wallis-et-Futuna

. Commentaire : le présent article prévoit les coordinations rendues nécessaires dans les articles précisant les règles d'application et les adaptations requises en Nouvelle-Calédonie, en Polynésie-française et à Wallis-et-Futuna.

Le présent article modifie les articles du livre VII du code monétaire et financier relatif au régime de l'outre-mer afin d'actualiser la liste des dispositions de l'ordonnance du 9 août 2017 applicables à la Nouvelle-Calédonie, à la Polynésie-française et à Wallis-et-Futuna.

De façon générale, les dispositions relatives aux instruments de paiement, à l'accès aux comptes et aux services de paiement sont applicables dans ces territoires d'outre-mer si le prestataire de services de paiement du bénéficiaire et celui du payeur sont situés sur le territoire de la République et que l'opération est effectuée en euros ou en francs Pacifique (CFP).

Il s'agit donc d'un aménagement par rapport aux règles d'extraterritorialité prévues par l'ordonnance, dont les dispositions s'appliquent lorsque l'un des prestataires est situé en France métropolitaine et l'autre dans un État partie à l'Espace économique européen (EEE).

À l'initiative de notre collègue députée Nadia Hai, rapporteur, l'Assemblée nationale a procédé à des corrections d'erreurs matérielles et à des modifications rédactionnelles.

Il convient également de supprimer les dispositions du 5° du présent article concernant l'article L. 753-2 du code monétaire et financier, rendues caduques par l'ordonnance du 14 février 2018 relative à l'extension en Nouvelle-Calédonie, en Polynésie-française et à Wallis-et-Futuna, de diverses dispositions en matière bancaire et financière ^{113 ( * )} .

À l'initiative de son rapporteur, un amendement COM-12 a été adopté en ce sens par la commission.

Décision de la commission : votre commission a adopté cet article ainsi rédigé.

TRAVAUX EN COMMISSION

I. AUDITION COMMUNE (14 FÉVRIER 2018)

Réunie le mercredi 14 février 2018, sous la présidence de M. Vincent Éblé, président, la commission a entendu, lors d'une audition commune, Mme Marie-Anne Barbat-Layani, directrice générale de la Fédération bancaire française, MM. Joan burkovic, fondateur de Bankin' et porte-parole de European AIS, groupement d'agrégateurs bancaires européens, Jean-Claude Huyssen, directeur des agréments, des autorisations et de la réglementation à l'Autorité de contrôle prudentiel et de résolution (ACPR) et Jérôme Reboul, sous-directeur des banques et des financements d'intérêt général à la Direction générale du trésor, sur le projet de loi ratifiant l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.

M. Vincent Éblé , président . - La commission des finances du Sénat est saisie du projet de loi de ratification de l'ordonnance du 9 août 2017 portant transposition de la directive du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (directive « DSP 2 »). La première directive sur les services de paiement, adoptée en 2007, avait mis fin au monopole bancaire dans les services de paiement. L'essor des nouvelles technologies a depuis lors favorisé l'émergence de nouveaux acteurs, tant pour l'initiation de paiement que pour l'information sur les comptes, qui n'étaient pas couverts par le droit de l'Union européenne. La directive « DSP 2 » s'attache donc à actualiser le cadre applicable en la matière, en se limitant néanmoins aux seuls moyens et comptes de paiement. Les comptes d'épargne et de crédit ainsi que l'assurance n'entrent donc pas dans le champ du texte.

À la suite d'une habilitation votée par le Parlement dans la loi dite « Sapin 2 », le Gouvernement a procédé à la transposition de cette directive par ordonnance. La plupart des dispositions de la directive devraient entrer en vigueur le 13 janvier dernier. L'application de certains articles n'interviendra toutefois pas avant août 2019 car ils nécessitent la publication de normes techniques de réglementation par la Commission européenne.

Compte tenu de l'essor rapide de ces nouveaux services, des opportunités et questions qu'ils soulèvent, nous avons souhaité échanger avec les différents acteurs. Nous avons le plaisir de recevoir M. Jérôme Reboul, sous-directeur des banques et des financements d'intérêt général à la direction générale du Trésor ; M. Jean-Claude Huyssen, directeur des agréments, des autorisations et de la réglementation à l'Autorité de contrôle prudentiel et de résolution (ACPR) ; M. Joan Burkovic, fondateur de Bankin' et porte-parole du groupement des agrégateurs bancaires European AIS et Mme Marie-Anne Barbat-Layani, directrice générale de la Fédération bancaire française.

Je vous rappelle que cette réunion est ouverte à la presse et retransmise sur le site internet du Sénat. Pour garder un caractère interactif à nos échanges, je vais donner la parole à nos intervenants pour de brèves interventions afin de laisser ensuite le débat s'installer.

Pour commencer, je donne la parole au représentant de la direction générale du Trésor, M. Jérôme Reboul, qui va revenir sur les principales évolutions prévues par la directive « DSP 2 » par rapport à la première directive de 2007 et préciser les options retenues dans l'ordonnance de transposition du 9 août 2017.

M. Jérôme Reboul . - Le Gouvernement a proposé à l'Assemblée nationale deux évolutions sur le texte de l'ordonnance. Il s'agit, d'une part, du cashback , et d'autre part, d'une entrée en vigueur anticipée de l'obligation de recourir aux interfaces dédiées, aussi appelées API (pour application programming interface ) pour se connecter aux comptes de paiement.

La directive « DSP 2 » actualise la directive dite DSP, laquelle avait pour objectif de créer une nouvelle catégorie d'entités bénéficiant d'un régime de régulation allégé par rapport aux établissements de crédits. Ce texte actualise également la directive dite « monnaie électronique », négociée en 2009, qui répondait à la même logique : permettre l'entrée de nouveaux acteurs, bénéficiant d'une réglementation allégée par rapport au régime bancaire traditionnel, afin de stimuler la concurrence ; mieux servir les consommateurs et mieux les protéger.

La directive DSP2, en mettant à jour les problématiques de supervision de la régulation des prestataires de services de paiement, s'inscrit pleinement dans cette double logique de facilitation de la concurrence et de protection des consommateurs. À titre d'exemple, elle permet de mettre en place des mesures de proportionnalité pour les acteurs réalisant de petits volumes de transaction. Elle permet également de diminuer les seuils de franchise qui s'appliquent aux consommateurs subissant un préjudice.

Je souhaite insister sur trois aspects. Tout d'abord, cette directive traduit la reconnaissance par la réglementation européenne de nouveaux acteurs - les agrégateurs et les initiateurs de paiements. Ces acteurs se sont beaucoup développés ces dernières années, et la directive met en place un cadre de régulation complet, qui comprend un régime d'agrément.

Ensuite, elle instaure un régime de responsabilité. La directive reconnaît la légitimité du business model de ces nouveaux acteurs. La France souhaite transposer très rapidement ce texte, afin de pouvoir se positionner comme un des points d'entrée sur le territoire européen pour ces derniers. Nous souhaitons ainsi devenir un pôle de développement. D'ailleurs, nous sommes le premier pays d'Europe à avoir donné un agrément à un agrégateur. Enfin, elle vise à renforcer la protection des consommateurs et à lutter contre le risque d'asymétrie règlementaire : en effet, ces acteurs pourraient choisir d'être agréés dans un pays qui serait moins-disant en termes de sécurité. La directive « DSP 2 » offre à cet égard la possibilité de mettre en oeuvre un certain nombre de mesures de sauvegarde. En particulier, elle permet à une autorité de supervision d'un pays, qui constaterait l'agissement d'un acteur en libre prestation de services dans des conditions non conformes aux dispositions de la directive, de se tourner vers l'autorité de supervision du pays où cet acteur a été agréé et lui demander de résoudre les difficultés qui résulteraient du comportement douteux de l'entité agréée. En outre, le superviseur peut prendre des mesures conservatoires temporaires, allant jusqu'à la suspension du service, si un acteur agréé dans un autre pays agissait dans des conditions qui ne seraient pas conformes à l'intérêt des consommateurs. On est donc bien en présence d'une logique de meilleure protection du consommateur européen contre un risque d'arbitrage réglementaire dont tireraient profit des acteurs ayant une reconnaissance européenne grâce au passeport européen.

Enfin, la directive « DSP 2 » élève les standards de sécurité pour les transactions. Est ainsi prévue une obligation d'une authentification forte pour les paiements en ligne. Vous avez sans doute déjà expérimenté cette technologie, utilisée par la plupart des banques et demandant d'indiquer un code reçu par SMS pour valider un paiement en ligne. Cela permet d'ajouter une sécurité supplémentaire, afin de se prémunir de la fraude. La directive « DSP 2 » va harmoniser ce niveau de protection et étendre le recours à cette technologie en définissant des standards techniques.

Cette directive apporte ainsi un équilibre entre une volonté de reconnaître de nouveaux acteurs, et en même temps un souhait de protéger les consommateurs contre les risques de fraudes ou de concurrence réglementaire. Aussi, les autorités françaises considèrent que cette directive constitue un pas dans la bonne direction. Nous avons d'ailleurs été le premier pays européen à avoir achevé sa transposition, illustrant le désir de la France d'être le pays d'accueil naturel de ces nouveaux acteurs.

Le Gouvernement a souhaité à l'occasion de l'examen de la loi de ratification présenter deux amendements. Le premier porte sur le cashback , soit la capacité pour un consommateur venant acheter un bien de pouvoir obtenir, au moment où il fait son achat, des espèces. C'est ainsi un nouveau mode de mise à disposition de l'argent liquide. Historiquement le cashback est interdit en France, par l'effet d'une disposition juridique assimilant ce procédé à un service de paiement, le réservant ainsi aux établissements de crédit. La directive prévoit expressément que le cashback n'est pas un service de paiement. On se retrouve dès lors dans une situation où les acteurs souhaitant développer ce type de service ont besoin d'un cadre réglementaire. Aussi, le Gouvernement a déposé à l'Assemblée nationale un amendement permettant de reconnaître la possibilité aux commerçants de pratiquer le cashback , sous des réserves qui seront précisées par voie réglementaire. Il s'agit notamment de la mise en place d'un seuil, afin d'éviter qu'il puisse permettre des échanges d'espèces totalement disproportionnés par rapport aux transactions réelles intervenant en même temps que la mise à disposition de l'argent liquide. Dans la plupart de nos pays voisins, comme en Allemagne ou en Grande-Bretagne, vous pouvez aller par exemple dans une station-service et obtenir un certain montant d'argent en liquide. Cela apporte un vrai service aux consommateurs, notamment dans un contexte d'évolution du réseau des établissements de crédits. Ainsi, à moyen terme, le nombre de distributeurs de billets, ou de points de contact avec une banque, va fortement diminuer. Nous souhaitons répondre à cette problématique dans des conditions sécurisées. La France prendra ainsi des mesures d'encadrement spécifiques.

La ratification du projet de directive est également l'occasion de proposer un amendement, visant à anticiper la mise en place de normes techniques réglementaires. La directive, en reconnaissant l'activité des agrégateurs et initiateurs de paiement, a prévu une obligation pour ces derniers d'utiliser des interfaces informatiques sécurisées. Aujourd'hui, ils fonctionnent essentiellement par le biais de la même interface que les consommateurs « classiques ». En réalité, ils doivent se faire passer pour vous vis-à-vis de votre banque, en utilisant vos identifiants et mots de passe bancaires. Afin de sécuriser la relation entre le consommateur, la banque et le tiers agrégateur, la directive prévoit une authentification obligatoire de l'agrégateur ou de l'initiateur de paiement. Elle prévoit également que l'accès au compte de paiement devra se faire à travers une interface plus sécurisée que l'interface client. Les agrégateurs et initiateurs de paiement devront ainsi avoir recours à la technologie dite de l'API. Il était initialement prévu que les dispositions de la directive relatives à l'accès au compte de paiement et celles sur la responsabilité des nouveaux acteurs entrent en vigueur en même temps que l'obligation d'accéder aux comptes dans des conditions informatiques sécurisées. Toutefois, la Commission européenne a pris beaucoup de retard dans l'élaboration de la norme technique réglementaire devant préciser le fonctionnement de ces API. Aussi, le texte de la directive prévoit une entrée en vigueur de ces dernières seulement à l'été 2019. C'est la raison pour laquelle la France a souhaité que les dispositifs relatifs à la sécurité entrent en vigueur le plus tôt possible. Il y a en effet un enjeu de sécurité majeur, rappelé par l'agence nationale de la sécurité des systèmes d'information (ANSSI) en matière de sécurité des données. Aussi, le Gouvernement a souhaité anticiper la mise en oeuvre de ces normes réglementaires, dès lors que nous aurons la certitude que les interfaces dédiées seront opérationnelles. Cette disposition est parfaitement conforme au droit européen.

Enfin, il y a aujourd'hui des débats sur une extension possible du champ de la directive, pour permettre aux agrégateurs et initiateurs de paiement d'avoir accès à d'autres types de comptes. Le Gouvernement a choisi d'adopter une position prudente sur ce sujet. Nous pensons qu'une anticipation unilatérale par la France de telles dispositions poserait de vraies questions en termes de concurrence et de sécurité.

M. Vincent Éblé , président . - Je donne maintenant la parole à M. Jean-Claude Huyssen, représentant de l'ACPR, afin de présenter les nouvelles modalités d'agrément et d'enregistrement prévues par la directive, ainsi que les règles applicables aux services fournis hors des comptes de paiement, non couverts par la directive.

M. Jean-Claude Huyssen . - Pour l'ACPR, la directive « DSP 2 » complète la première directive dans trois domaines essentiels. Tout d'abord, elle renforce l'harmonisation de la réglementation. Ensuite, elle permet de définir de nouveaux services de paiement ainsi que de nouveaux types d'acteurs. Enfin, elle renforce la sécurité.

En ce qui concerne l'harmonisation, plusieurs mesures nous paraissent utiles et bienvenues. Ainsi, la nouvelle directive a une conception plus restrictive des règles d'exclusion et d'exemption. En effet, jusqu'à présent, grâce à ces exclusions, des acteurs pouvaient offrir des services de paiement tout en étant en dehors du champ de la directive. La directive « DSP 2 » apporte à cet égard des clarifications utiles de la notion d'agent commercial. En effet, les places de marché sont des acteurs très importants pour le commerce en ligne, par lesquelles transitent des sommes significatives. Désormais, ces places de marché seront intégrées dans le champ des dispositions de la directive.

Est également clarifiée la définition en matière d'exemption de la notion de réseaux limités, ce qui permettra de mettre fin à des interprétations divergentes entre pays. La directive permet ainsi de restreindre le champ de ces exceptions, en précisant par exemple, qu'il n'est plus possible d'obtenir plus d'une exemption par type de réseau limité. Au-delà, un agrément sera nécessaire. Il ne sera plus non plus possible d'acquérir un éventail illimité de biens et services au sein d'un réseau limité. Enfin, il y a eu une clarification des exemptions pour les opérateurs de télécommunication, mais cela a déjà été transposé par anticipation en France.

Un rôle important est confié à l'Autorité bancaire européenne (ABE), qui se voit confier de nouvelles responsabilités dans quatre domaines. Un registre européen va être mis en place : il permettra à tous les consommateurs européens de savoir quels prestataires ont obtenu une autorisation. Ce registre ne sera toutefois effectif qu'à la fin de l'année prochaine. D'ici là, l'ACPR publiera sur son site internet un registre regroupant non seulement les établissements et prestataires agréés en France, mais également tous ceux qui ont déclaré exercer en France par l'intermédiaire du passeport européen. Ainsi, le consommateur français sera informé des prestataires habilités à intervenir. Par ailleurs, l'Autorité bancaire européenne se voit confier une responsabilité nouvelle en matière de médiation, afin de régler les différends entre les autorités compétentes nationales, lors d'interprétations différentes.

La Banque centrale européenne (BCE) doit également prendre onze textes d'application. Cinq ont déjà été adoptés.

En ce qui concerne la mise en place de ces nouveaux services, il est important de souligner, du point de vue de la délivrance de l'agrément, que ces services ne conduisent jamais les intermédiaires à entrer en possession des fonds. C'est la raison pour laquelle la directive « DSP 2 » prévoit un cadre d'autorisation et de supervision proportionné aux risques que font courir ces acteurs au système financier. Ainsi, les initiateurs, qui peuvent intervenir directement sur les comptes pour initier des paiements, sont soumis à un régime d'agrément, correspondant à celui des établissements de paiement. Au contraire, les prestataires qui ne font que de l'agrégation sont soumis à un simple régime d'enregistrement. De même, les initiateurs de paiement doivent disposer d'un capital minimal de 50 000 euros tandis que les prestataires d'agrégation ne sont pas soumis à cette contrainte. Dans tous les cas, un renforcement de la sécurité est prévu, puisque l'ensemble de ces prestataires devront désormais disposer d'une assurance civile professionnelle, apportant une garantie équivalente et couvrant l'ensemble des territoires sur lesquels ils exercent leurs services. Le montant minimum de cette dernière est fixé par une orientation de la BCE, et a été transposé en France par un arrêté. Ce dernier précise d'ailleurs que ces services et prestataires bénéficieront du passeport européen.

La directive est entrée en vigueur le 13 janvier 2018. A ce jour l'ACPR a reçu une quinzaine de dossiers, et a délivré deux agréments.

Enfin, en ce qui concerne le renforcement de la sécurité, trois points me paraissent essentiels. Tout d'abord, l'authentification forte va être généralisée. En outre, de nouvelles règles de communication entre les prestataires de services de paiement (PSP) vont être mises en place, avec l'introduction des API. Enfin, des règles de partage des responsabilités entre les différents prestataires de services de paiements vont être instaurées, en cas de mauvaise exécution des services de paiements. Il y a donc bien une volonté de renforcer la protection du consommateur. Le prestataire de services de paiements gestionnaire du compte aura obligation de rembourser, à charge pour lui ensuite de se retourner vers l'autre prestataire qui n'a pas correctement exécuté le service de paiement.

M. Vincent Éblé , président . - Je cède maintenant la parole à M. Joan Burkovic, fondateur de Bankin', premier prestataire agréé par l'ACPR et porte-parole du groupement des agrégateurs bancaires européens European AIS , pour nous exposer les principaux enjeux soulevés par la mise en oeuvre des règles de la directive et la finalisation des normes techniques réglementaires.

M. Joan Burkovic . - J'interviendrai également au nom de France Fintech, dont je suis l'un des représentants. Je souhaite revenir rapidement sur la genèse de cette directive. Elle est venue d'Allemagne. En effet, les Allemands utilisent très peu la carte bancaire, et beaucoup plus les espèces. Dès lors, l'achat sur internet est compliqué. Une start-up allemande a ainsi développé un outil pour payer sur internet avec un ordre de virement et une synchronisation utilisant les mêmes identifiants bancaires. Cette innovation a bousculé le secteur bancaire, puisque cette start-up faisait des virements bancaires depuis l'interface de la banque. Les banques ont entrepris des actions en justice, et ce sujet est remonté jusqu'à la Commission européenne. Cette dernière, au lieu de l'interdire, a voulu promouvoir cette innovation, tout en garantissant parallèlement la sécurité de ce nouveau service.

En 2011, en France, Bankin' était l'une des rares entreprises à proposer une consultation des comptes bancaires à partir d'un smartphone. Or, aujourd'hui, un peu plus de cinq millions de Français utilisent un service d'information sur leurs comptes. Pour les particuliers, il s'agit principalement d'une interface de gestion de leur argent. Toutefois, il y a beaucoup d'autres usages, notamment lorsque des entreprises ont besoin de récupérer les informations bancaires de leurs clients. C'est le cas notamment des comptables. Grâce à nos logiciels, la donnée arrive en temps réel dans un logiciel comptable, sans risque d'erreur et de fraude. De même, c'est une demande récurrente des acteurs du crédit. Grâce à ce système, on peut synchroniser les comptes, la donnée arrive instantanément dans le système bancaire et l'évaluation de la capacité d'endettement se fait immédiatement, sans risque d'erreur ou de fraude. Cela permet de répondre rapidement à la demande de crédit, et d'ouvrir l'accès au crédit à des personnes qui jusque-là en étaient privées. Enfin, notre technologie permet de faciliter la lutte contre le blanchiment, la fraude et le financement du terrorisme, en allant vérifier les informations directement sur les comptes.

Face à cette situation, la Commission européenne a profité des négociations autour de la directive « DSP 2 » sur les services de paiement pour y inclure les services d'information sur les comptes, même s'il ne s'agit pas tout à fait du même périmètre. C'est la raison pour laquelle nous nous retrouvons dans une situation où la directive ne concerne que les comptes de paiement, alors que 80 % des comptes connectés par les services d'information ne sont pas des comptes de paiement. Il s'agit de comptes d'épargne et de crédits. C'est logique, car lorsque l'on gère son argent, on gère l'ensemble de ses finances, et grâce à l'interface bancaire on souhaite consulter à la fois son compte courant, mais aussi son livret A, son assurance-vie et son crédit. D'ailleurs, lorsque les acteurs du crédit veulent évaluer la situation financière d'une personne demandant un crédit, ils ne regardent pas seulement les comptes de paiement, mais aussi le taux d'endettement et l'épargne.

On a en France la chance d'avoir des pépites françaises, des acteurs qui se font d'ailleurs racheter par le secteur bancaire, ou qui sont même créés directement par des banques en interne.

Les premiers utilisateurs de cette technologie sont les banques. Puis, viennent les comptables, les acteurs du crédit, les conseillers financiers, les banques privées, les acteurs du paiement et les consommateurs. Notre société propose d'ailleurs à nos clients de les mettre en relation avec un fournisseur de services financiers, par exemple pour renégocier leurs crédits. Si notre utilisateur réalise cette opération avec le courtier, nous sommes alors rémunérés en tant qu'apporteur d'affaires.

L'un des sujets clés est l'ouverture des donnés des comptes d'épargne et de crédit. Il s'agit d'une transformation mondiale et inévitable. Le monde est en train de se digitaliser. La directive « DSP 2 », en négociation depuis sept ans, pourrait être l'occasion de montrer l'exemple au monde ; sauf que le monde entier se rend compte que la directive a oublié 80 % des comptes. D'ailleurs, dans son esprit, la directive « DSP 2 » ne se limite pas uniquement au paiement. En effet, le considérant n° 28 précise que la directive doit permettre à l'utilisateur d'avoir une vue d'ensemble sur sa situation financière.

Je souhaite revenir rapidement sur la question des normes techniques. Pour les opérateurs de la fintech , la sécurité est un enjeu essentiel : sans sécurité, il n'y a pas de confiance, et sans confiance pas d'utilisateur. La directive « DSP 2 » indique que deux technologies peuvent être utilisées : l'accès direct ou les interfaces dédiées (API). Les deux technologies sont donc officialisées. D'ailleurs, aujourd'hui, seul l'accès direct est utilisé, puisque les API n'existent pas encore. Il n'y a aucune preuve - et les experts se sont penchés sur cette question - que l'accès direct soit moins sécurisé que les API. Nous sommes pour le développement des API, car il s'agit de la manière la plus stable de communiquer entre serveurs, à la condition que ces interfaces présentent les mêmes performances en termes d'accès aux données bancaires que l'accès direct. Je précise également que les différences de technologies entre accès direct et API n'ont rien à voir avec les questions de stockage d'identifiants bancaires. D'ailleurs, la directive encadre les acteurs manipulant les identifiants bancaires. C'est une obligation : on ne pourrait pas se connecter au compte du client si l'on n'avait pas accès à ces informations. Le texte est très clair, nous devons être agréés. Les acteurs, parce qu'ils manipulent des données sensibles, doivent être contrôlés. Et, en parallèle, la sécurité est renforcée, en généralisant l'authentification forte. Les acteurs de la fintech ont proposé d'amender l'ordonnance, afin d'y inclure l'ensemble des comptes connectés qui ne sont pas des comptes de paiement. Aujourd'hui, il est illogique de ne pas les inclure dans les chaînes de responsabilités. Des acteurs non agréés pourront avoir accès à ces informations, et en cas de problème sur les comptes de crédits et d'épargne, il n'y a aucune garantie réglementaire. Ce ne sont pas les assurances qui couvriront ce risque, mais directement le citoyen. En refusant d'inclure ces comptes, on nie aujourd'hui une réalité. Nous proposons ainsi une authentification systématique. Aujourd'hui, des acteurs peuvent se connecter de manière anonyme, sans que l'on sache s'ils sont agréés ou non.

Nous sommes également surpris par l'amendement visant à aller plus vite sur l'instauration de l'interface dédiée, alors qu'au niveau européen, tout un système se met en place afin de contrôler que les API répondront aux mêmes performances que l'accès direct. D'ailleurs, ces interfaces devront être testées par les acteurs du marché pendant une durée de six mois et validées par un comité, afin d'éviter d'imposer des API qui ne permettraient plus aux acteurs du marché d'avoir accès aux données dans les mêmes conditions. Nous avons proposé aux acteurs bancaires de participer à l'évaluation des API. On nous a fermé la porte. Si le protocole des API doit nous être imposé, nous souhaitons participer à son élaboration.

M. Vincent Éblé , président . - Je donne la parole à Mme Marie-Anne Barbat-Layani, directrice générale de la Fédération bancaire française (FBF), afin de présenter comment les établissements bancaires se préparent à l'application des règles issues de la directive.

Mme Anne-Marie Barbat-Layani . - La directive « DSP 2 » porte sur le marché intérieur des paiements. L'objectif de la Commission européenne est de développer le marché intérieur des paiements, pas celui de l'épargne. Nous ne sommes donc pas dans le même domaine. Les raisons qui ont poussé la Commission européenne à proposer ce texte sont doubles. Cette directive ouvre le marché des paiements à un certain nombre de nouveaux acteurs, ce à quoi la profession bancaire n'est pas opposée. En outre, et c'est la raison pour laquelle nous sommes favorables à ce texte, dans le domaine des paiements, elle permet de renforcer la sécurité. Des activités s'étaient en effet développées en marge de la réglementation et utilisaient les identifiants et codes d'accès des clients pour accéder à leurs comptes. Or, cela ne correspondait pas à nos obligations contractuelles. Et, jusqu'à présent, ce problème de sécurité n'avait pas été traité.

Toutefois, les dispositifs de sécurisation rencontrent une certaine limite, venant du fait que les considérations de sécurité ont été introduites de manière tardive dans une directive centrée au départ sur la concurrence. Pour nous, une malfaçon évidente est le fait que les considérations de sécurité n'entreront en vigueur qu'à l'été 2019, alors que les autres dispositions de la directive sont déjà en vigueur. Nous sommes ainsi dans une situation ou la directive ouvre, sans que la banque ne puisse s'y opposer, l'accès à des tiers aux comptes de paiement des clients que nous sommes censés protéger. Mais nous n'avons aucune possibilité de vérifier la qualité des opérateurs qui interviennent. Aussi, nous saluons l'initiative du Gouvernement, qui consiste à permettre l'entrée en vigueur des interfaces sécurisées au plus tôt, dès qu'elles auront été développées. D'ailleurs, le secteur bancaire est seul responsable du développement des interfaces de sécurité qui permettront à des tiers d'accéder aux comptes de nos clients. Nous sommes ainsi en charge de développer ces infrastructures. Nous le faisons bien volontiers compte tenu des risques majeurs en termes de cybersécurité.

Il y a, en outre, à nos yeux, un enjeu de responsabilité, puisque les tiers de paiement interviennent sur le compte de nos clients. S'il y a un problème - une fraude, ou un piratage de leur système, entraînant une fraude sur les comptes de nos clients -, c'est la banque qui doit rembourser le client. Il lui revient ensuite de se retourner vers les opérateurs et de demander des remboursements pour les opérations frauduleuses ou erronées. Le texte a prévu des obligations d'agrément et d'assurance. Je signale que ces obligations d'assurance, par nature, ne pourront être vérifiées par le régulateur que pour les activités réglementées, c'est-à-dire celles portant sur les comptes de paiement. Bien évidemment, si on devait envisager toute extension du régime en vigueur pour les paiements à l'épargne ou au crédit, la question des assurances devrait être reposée, et il reviendrait aux opérateurs d'être agréés à nouveau pour de nouveaux types d'opération. Nous avons critiqué ce régime de responsabilité, car il nous met en risque de devoir payer pour le compte d'autrui, puis de devoir se retourner vers les opérateurs fautifs. De ce point de vue, il est plutôt sécurisant d'avoir un régime d'agrément. Nous nous interrogeons toutefois sur la façon de procéder, le cas échéant, si les opérateurs fautifs n'étaient pas établis en France et agréés dans un autre pays. Le dispositif est alors très compliqué.

En ce qui concerne les API, le secteur bancaire a demandé à une société, qui est gestionnaire d'infrastructures de paiement, de développer des spécifications techniques, pour que les banques puissent, sur ces bases, développer les interfaces sécurisées. Cette entreprise s'est tournée vers l'ensemble des opérateurs. Personne n'a ainsi été exclu des réflexions. La concertation sur les spécifications à mettre en place avance. La France est aujourd'hui dans une situation pionnière, puisque nous sommes la seule communauté bancaire à être quasiment en situation de développer les API. Nous espérons que ces interfaces pourront être mises en place d'ici la fin 2018. On pourrait ainsi gagner quelques mois en termes de sécurité par rapport aux dispositions de la directive, grâce à l'amendement gouvernemental.

Je souhaite, enfin, revenir sur l'extension du champ de la directive aux comptes d'épargne. Pour moi, il serait très étonnant que l'intégration des comptes d'épargne se fasse au stade de la transposition d'une directive portant clairement sur le marché intérieur des paiements. Si on souhaite intégrer ces comptes, le seul lieu de discussion possible pour le faire est le niveau européen. C'est d'ailleurs la position de la Commission européenne qui m'a confirmé récemment qu'effectivement le texte de la directive DSP2 portait sur les paiements et non sur les comptes d'épargne La situation de ces derniers est très complexe, puisque les activités dont il est question ne sont pas réglementées. En tant que représentants du secteur bancaire, il ne nous appartient pas de nous prononcer sur des activités non réglementées. Enfin, je souhaite rapidement évoquer le risque de blanchiment de capitaux et de financement du terrorisme. Le dernier rapport de Tracfin est intéressant à cet égard car il rappelle que les nouveaux acteurs consacrés par la directive « DSP 2 » n'ont pas la même culture contre le risque de blanchiment que les établissements bancaires. Le rapport pose également un certain nombre de questions sur la supervision de ces nouveaux acteurs.

M. Albéric de Montgolfier , rapporteur général . - Sur le champ d'application de la directive, la proposition de la France est une transposition a minima , réservée aux seuls moyens de paiement. Il me semble que d'autres pays, comme le Royaume-Uni, sont allés plus loin et ont étendu en partie l'application de la directive aux comptes d'épargne. Aujourd'hui, la porosité entre l'épargne et le paiement est assez grande. Ce qui intéresse le consommateur, lorsqu'il consulte ses comptes sur son smartphone , c'est de pouvoir consulter ses comptes, effectuer des paiements, mais aussi recourir à son épargne, son assurance-vie.

Ma deuxième question porte sur la possibilité de retirer de l'argent liquide. Le seuil règlementaire retenu doit-il être celui du seuil applicable pour les paiements en espèces, à savoir 1 000 euros ? Est-ce plus élevé ? Moins élevé ? En France, cette possibilité a certes pour l'instant un intérêt limité en raison du réseau de distributeurs, mais dans l'avenir, elle pourrait être intéressante.

Enfin, en ce qui concerne l'agrément, nous avons vu dans d'autres secteurs, qu'un certain nombre de sociétés se sont installées dans d'autres pays européens, comme Chypre. Les critères d'agrément seront-ils les mêmes ? Vous nous avez indiqué que l'ACPR mettrait à disposition sur son site internet la liste des opérateurs agréés. Toutefois, je ne pense pas que tous les consommateurs aient le réflexe de vérifier sur le site de l'ACPR si le prestataire dispose d'un agrément. Nous avons la même problématique aujourd'hui avec certains investissements risqués : les fiches de synthèse sont disponibles sur le site de l'Autorité des marchés financiers (AMF), mais peu de personnes les consultent. Avez-vous prévu des moyens de lutte contre la propagation de sites non agréés ? Le Parlement avait été à l'origine d'une interdiction de publicité pour des produits de placements « exotiques » présentant un risque majeur. Avez-vous prévu des mesures de poursuite à l'égard de sites qui proposeraient demain des services de paiement sans agrément ?

Si demain un grand nombre de consommateurs ayant recours à un agrégateur de paiement et décidant de faire des transferts vers des comptes d'épargne, sont victimes d'une fraude massive, quelle est la responsabilité de chacun ? L'opérateur peut très rapidement se retrouver en difficulté, sa capitalisation ne lui permettant pas forcément de rembourser les consommateurs. On voit aujourd'hui des problèmes réguliers de fraude sur les GAFA.

En ce qui concerne l'épargne, j'ai compris que nous étions dans une zone grise, non prévue par la directive, mais qui n'est pas interdite. Que pensez-vous de la proposition de rendre obligatoire la souscription d'une assurance pour les services non régulés ?

Enfin, les banques se plaignent du coût des chèques. Elles ont tout intérêt à inciter le consommateur à utiliser les virements électroniques. Or, un frein aux virements lorsqu'ils sont initiés sur internet, est que l'on ne peut pas faire de paiement le samedi ou le dimanche. De même, pour que le virement arrive le lendemain sur le compte du créditeur, il faut que le débiteur fasse son virement avant midi. Si les banques n'évoluent pas, les consommateurs vont se tourner vers des modes alternatifs de paiement. Est-ce un problème de compensation ?

M. Jérôme Reboul . - Le seuil concernant le cashback n'a pas encore été fixé. Il ne sera en aucun cas analogue à celui du paiement maximal en espèce. La fixation du seuil doit permettre de réduire deux types de risque : le blanchiment et la fraude, parce que cela permet aux commerçants de manipuler des espèces qui n'ont pas de lien avec l'évolution de leurs stocks ; le risque lié à la qualité de la circulation fiduciaire. Concrètement, il faut éviter de mettre en circulation, par ce biais, des billets falsifiés. L'objectif est ainsi de fixer un seuil préservant un bon arbitrage entre l'intérêt de service pour le client et la prévention des risques. Le seuil doit être suffisamment bas pour écarter la remise de grosses coupures, qui sont les plus vulnérables au risque de fraude. Une concertation doit avoir lieu. A titre indicatif, le montant moyen de retrait dans les distributeurs automatiques est de 80 euros. Les Allemands autorisent le cashback jusqu'à 150 euros.

En ce qui concerne la sécurité, il y a deux questions distinctes. Y a-t-il une obligation de donner l'accès à des tiers pour les établissements teneurs de compte ? S'il y a une obligation d'accès, cela implique nécessairement de clarifier le régime de responsabilité et de prévoir une forme d'assurance. Les obligations d'assurance professionnelle vont en général avec l'existence d'un agrément. Or, actuellement, la France ne souhaite pas aller de manière trop rapide vers une extension de la procédure aux comptes d'épargne et de crédits, car les problèmes de sécurité se posent de manière assez différente. Les montants sont potentiellement beaucoup plus élevés. En outre, il s'agit d'un univers dans lequel les conséquences en termes concurrentiel sont beaucoup plus compliquées à appréhender. Pour les comptes de paiement, l'accès est une obligation imposée unilatéralement aux établissements de crédit. Étendre cette obligation à d'autres comptes ferait peser sur les banques une charge indue. On serait, en tous cas, manifestement dans une surtransposition de la directive. Le Gouvernement estime aujourd'hui ne pas disposer des éléments lui permettant de trancher. En outre, il est manifeste que ce sujet doit être traité au niveau européen.

Je n'ai pas l'impression que nos partenaires européens aient l'intention de se précipiter vers une ouverture plus large du champ de la directive. Ils ont la même réflexion que nous.

M. Jean-Claude Huyssen . - Nous nous assurons que les acteurs disposent d'une assurance telle que prévue par les textes. Ces derniers sont harmonisés au niveau européen, car il y a une orientation de la BCE. Nous vérifions que le montant de l'assurance contractée correspond bien au minimum prévu par les textes, qui doit permettre de couvrir à la fois le profil de risque de l'établissement, l'éventail de son activité et son type d'activité. Un certain nombre de critères sont ainsi pris en compte, en particulier le nombre d'incidents constatés par le passé ayant donné lieu à indemnisation, le nombre de comptes, ou encore si le prestataire a une activité hybride. Dans ce cas, le montant minimal de l'assurance est rehaussé de 50 000 euros. Cette assurance ne concerne que les comptes de paiement. Cela n'interdit pas les établissements de souscrire d'autres assurances.

Dans le cadre d'un marché unique, en cas de problème avec un acteur agréé, le principe de la responsabilité du pays d'origine s'applique. Dès lors que l'on est agréé, on peut exercer, dans n'importe quel autre pays de l'Union européenne. La directive « DSP 2 » intègre un dispositif de sécurité : si l'ACPR constate qu'il y a une grave atteinte aux intérêts des utilisateurs des services de paiement, elle pourra prendre des mesures conservatoires pour interrompre temporairement le service, sans préjudice des décisions prises dans le pays d'origine, par l'autorité compétente. Nous sommes confrontés dans de nombreux domaines à des fraudes ou à l'exercice illégal d'une activité. Nous en informons le procureur, après avoir écrit à l'acteur concerné en lui demandant, dans un délai très court, de s'expliquer sur cet exercice illégal. Nous publions sur notre site internet les arnaques les plus fréquentes. Ces dernières années, cela concernait notamment les options binaires et les services de change. Avec l'AMF, nous avons mis en place une liste noire qui est publiée. Elle s'est avérée être efficace. Voici les armes dont nous disposons.

Actuellement, nous sommes dans une période transitoire, car la directive vient d'entrer en vigueur le 13 janvier. Toutes les sociétés agrégatrices de paiement et de services qui font de la publicité sur internet ne sont donc pas encore agréées. Une quinzaine de dossiers a été déposée. Bankin' est la première société à avoir été agréée et à avoir levé toutes les conditions suspensives - par exemple la signature définitive du contrat d'assurance. Il y a aussi des acteurs qui existaient avant cette directive, et qui continuent de fonctionner alors qu'ils n'ont pas encore obtenu leur agrément.

Mme Marie-Anne Barbat-Layani . - En ce qui concerne les freins au virement, il faut faire une distinction entre le virement instantané et le paiement instantané. Les virements instantanés vont être mis en place à partir de 2019, également dans le cadre du marché intérieur des paiements. Aujourd'hui, les virements se font à J+1, ils peuvent être initiés 24 heures sur 24, 7 jours sur 7. Enfin, le paiement par carte bancaire permet déjà de faire des paiements instantanés.

M. Joan Burkovic . - Nous sommes favorables à généraliser l'assurance à tous les comptes, car comme je le disais, s'il n'y a pas de confiance, il n'y a pas d'utilisateur. Nous voulons éviter un scénario où un scandale financier aurait pour origine des acteurs qui se connectent aux comptes et se spécialisent sur l'épargne et le crédit sans agrément. Au final, ce serait tout le marché qui en pâtirait. Il faut obliger les acteurs, comme nous, à s'authentifier auprès de la banque. Il faut également obliger la banque à lire cette authentification afin que l'on puisse retracer la chaîne des responsabilités en cas de faille. Nous avons demandé à notre assurance de couvrir tous les comptes. Un des principaux enjeux en termes de sécurité et de traçabilité est de mettre en place une chaîne d'authentification.

Mme Nathalie Goulet . - Quelle garantie avons-nous sur la localisation de ces sociétés ? Nous sommes dans une dématérialisation complète. Ainsi, vont à nouveau apparaître des sociétés dans des lieux comme Jersey qui vont faire du profit sur des prestations en ligne. On risque de reconstituer ce que l'on cherche à démanteler par ailleurs.

En outre, la commission nationale de l'informatique et des libertés (CNIL) a-t-elle été saisie ?

M. Claude Raynal . - Il me semble que la mise en place du cashback va à l'encontre de l'objectif général d'une diminution du recours aux espèces. Ne serait-il pas plus simple d'augmenter le plafond du paiement par carte sans contact ?

Pour ma part, je sortirai de cette réunion avec un certain nombre de craintes. Ma première interrogation porte sur la confidentialité. Je n'ai pas envie que tout le monde puisse aller voir mes comptes. Suis-je informé qu'une fintech a accès à mes comptes ? Est-ce que l'on me demande mon avis, ou bien est ce que le consommateur n'est pas au courant ?

Par ailleurs, les banques peuvent-elles limiter la transmission des informations aux seules comptes courants ?

M. Éric Bocquet . - Le site de Bankin' indique que sa rémunération se fait par le partenaire suggéré au client. Pouvez-vous nous le confirmer ? En outre, votre site précise que vos serveurs sont implantés en Europe. Cela signifie en creux qu'ils pourraient ne pas l'être. Pouvez-vous nous indiquer dans quels pays ils se trouvent ?

M. Jérôme Bascher . - La mise en place du cashback pose une question de sécurité des personnes et des endroits où il pourra être recouru à ce système. En effet, aujourd'hui, on ne braque plus les banques, mais les bureaux de tabac, ou les stations-essence.

M. Bernard Lalande . - Je suis assez étonné par ce débat. On a l'impression que le secteur bancaire cherche à freiner les découvertes des fintechs en invoquant la sécurité. Or, en 2008, la sécurité n'a pas empêché une crise financière et la ruine d'un certain nombre de gens qui se sentaient pourtant en sécurité. Pourquoi le secteur bancaire ne développe-t-il pas de lui-même ces protocoles de sécurité ? La France est-elle en retard par rapport à l'Asie ou au continent américain ? Cette ouverture vers le monde est inéluctable, et on a l'impression que la direction générale du trésor est plus moderne que le secteur bancaire.

Mme Marie-Anne Barbat-Layani . - Les banques sont modernes. Les applications bancaires sont troisième au classement des plus utilisées par les Français. Tous les services bancaires sont offerts sur internet. D'ailleurs, leur usage est souvent moins important que l'offre existante. Les utilisateurs ne recourent pas forcément au service internet, même si l'on constate une augmentation.

Historiquement, nous sommes en charge d'assurer la sécurité des données de nos clients. C'est le principe même du secret bancaire. On parlait moins de cybersécurité en 2008, car ce sujet ne faisait pas encore partie des principales priorités des banques et des régulateurs. Les cyberattaques se développent de plus en plus, et nos superviseurs en France, à Francfort ou au comité de Bâle, en sont conscients. Les banques réalisent des investissements très lourds à ce sujet. C'est la raison pour laquelle nous sommes précautionneux sur l'accès à nos infrastructures. La logique de la directive « DSP 2 » fait que l'on ne peut pas empêcher l'accès à nos infrastructures. Nous avons la charge de les développer et d'ajuster la sécurité.

Les banques ne peuvent pas fermer l'accès des tiers aux comptes pour deux raisons. D'une part, dans l'univers réglementé de la directive « DSP 2 », ce texte interdit de le faire. D'autre part, pour les comptes d'épargne et de crédit, cela relève de la responsabilité du client. Les tiers peuvent intervenir dans la partie non réglementée parce que le client leur a donné son identifiant et son code d'accès. Ces entités ne peuvent pas intervenir sur votre compte, si vous ne leur avez pas donné l'accès. Se pose en outre la question de la dissémination potentielle des données, notamment dans le secteur non régulé. Par exemple, où se situent les serveurs ?

Il y a une différence forte entre l'Europe, l'Asie et les États-Unis. Nous sommes dans des univers très différents en termes de fraude. Aux États-Unis, le taux de fraude est beaucoup plus élevé. La directive « DSP 2 » est unique en son genre. Elle n'existe pas aux États-Unis. Bien au contraire, nos homologues américains s'inquiètent de ce qui se passe en Europe. L'ancienne dirigeante de la Federal deposit insurance corporation a ainsi écrit un article dans le Financial times à ce sujet.

M. Joan Burkovic . - En ce qui concerne la protection des données, je tiens à indiquer qu'une démarche active de l'utilisateur est nécessaire. A un moment donné, ce dernier doit donner l'accès à ces comptes. Par ailleurs, nous sommes soumis à la loi sur la protection des données. La nouvelle réglementation européenne est particulièrement vigilante à notre égard.

À mon avis, c'est une erreur de vouloir fermer le marché. Je comprends que certains ne souhaitent pas ouvrir l'accès à leurs données. Mais à un moment donné, vous devez le faire, par exemple pour prendre un crédit. Aujourd'hui, c'est fait manuellement. La question qui se pose est de savoir si l'on souhaite créer un cadre et favoriser des acteurs européens pour devenir des champions du secteur, ou si l'on attend quelques années et on se rendra alors compte de notre erreur.

Nos serveurs sont en France, en Allemagne et en Irlande. Nous sommes rémunérés en tant qu'apporteur d'affaires. Nos utilisateurs en sont informés. En outre, nous proposons également d'acheter d'autres fonctionnalités, par exemple pour la gestion des comptes professionnels.

M. Jérôme Reboul . - Le besoin d'espèces dans l'économie ne diminue pas. On le constate dans les commandes de pièces. Les moyens de paiement mobiles se substituent aux chèques et il faut encourager ce mouvement. Mais, le besoin en espèces ne diminue pas pour les petits montants.

Nous n'imposons à aucun commerçant de devoir assurer une prestation de cashback . Mais cette mesure est intéressante pour les commerçants qui ont un fond de caisse important. Cela leur permettra de gérer de manière plus optimale celui-ci, souvent à la baisse.

II. EXAMEN DU RAPPORT (14 MARS 2018)

Réunie le mercredi 14 mars 2018, sous la présidence de M. Vincent Éblé, président, la commission a examiné le rapport de M. Albéric de Montgolfier, rapporteur, sur le projet de loi n° 292 (2017-2018) ratifiant l'ordonnance n° 2017-1252 du 9 août 2017, portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.

M. Vincent Éblé , président. - Nous examinons ce matin le rapport d'Albéric de Montgolfier sur le projet de loi ratifiant l'ordonnance du 9 août 2017 portant transposition de la directive du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, communément appelée « DSP 2 », afin d'élaborer le texte de commission qui sera examiné en séance publique le 22 mars prochain.

M. Albéric de Montgolfier , rapporteur. - Vous vous souvenez tous que nous avons organisé une audition commune il y a un mois, qui a réuni les représentants du Trésor, de l'Autorité de contrôle prudentiel et de résolution (ACPR) ainsi que des acteurs du marché des services de paiement.

Les banques ont longtemps bénéficié d'un monopole sur la fourniture des services de paiement ainsi que sur l'émission et la gestion de la monnaie électronique. La directive sur les services de paiement de 2007 et la directive « monnaie électronique » de 2009 y ont toutefois mis fin, dans le but de stimuler l'innovation et la concurrence et de faire émerger un véritable marché intérieur des paiements à l'échelle européenne.

Ainsi, de nouvelles catégories d'acteurs, bénéficiant de contraintes prudentielles allégées, établissements de paiement ou établissements de monnaie électronique, peuvent désormais concurrencer les banques sur ces segments de marché. Du porte-monnaie électronique Monéo au compte Nickel - peut-être Orange demain -, de nombreux exemples témoignent des vertus de cette mise en concurrence, de nouveaux produits enrichissant l'offre traditionnelle. Les banques conservent en revanche le monopole des opérations de crédit et de réception des dépôts, compte tenu des risques.

C'est dans ce nouveau paysage que s'inscrit la deuxième directive sur les services de paiement, qui vise à prendre en compte les nombreuses évolutions intervenues depuis 2007. Aujourd'hui, 40 % des 1 400 fintech interviennent dans ce secteur ! Le principal bouleversement tient à l'apparition d'acteurs proposant aux utilisateurs d'accéder aux données de l'ensemble de leurs comptes et d'initier des ordres de paiement, hors de tout cadre réglementaire. Il s'agit des agrégateurs et des initiateurs, qui nous proposent, via un ordinateur, une tablette ou un téléphone portable, d'accéder à tous nos comptes dans divers établissements bancaires et de transmettre nos ordres de paiement.

Le nombre d'utilisateurs de ces nouveaux services a connu une croissance rapide : en France, 4 millions de consommateurs ont déjà eu recours à un agrégateur et 2,5 millions à un initiateur de paiement.

Le droit est en retard sur les pratiques. Les utilisateurs communiquent aux prestataires leurs identifiants et codes d'accès : en cas de fraude, ils sont donc seuls responsables. C'est pourquoi la directive de 2015 a eu pour objectif d'actualiser le cadre juridique et améliorer le fonctionnement du marché intérieur des paiements.

Quatre séries de mesures peuvent être distinguées. La première vise à reconnaître les nouveaux acteurs et à encadrer leurs relations avec les gestionnaires de compte et les utilisateurs. Pour exercer leurs activités, les agrégateurs et les initiateurs de paiement doivent désormais obtenir un agrément ou s'enregistrer auprès de l' Autorité de contrôle prudentiel et de résolution (ACPR) . Ils doivent souscrire une assurance, afin de pouvoir faire face à leurs responsabilités en cas de fraude.

Les prestataires sont également tenus de communiquer avec le gestionnaire de compte à travers un canal de communication sécurisé et standardisé : ils accèdent ainsi aux comptes de paiement en étant identifiés. La directive renvoie néanmoins aux normes techniques de réglementation le soin de préciser les modalités concrètes de fonctionnement des interfaces de communication : nous y reviendrons.

Une deuxième série de mesures vise à renforcer les exigences de sécurité pour les gestionnaires et les utilisateurs de l'ensemble des paiements électroniques. Les fraudes sur internet sont nombreuses. La directive rend donc obligatoire le recours à l'authentification forte du payeur pour toute opération. Le prestataire, avant d'autoriser le paiement, doit identifier l'utilisateur à l'aide de deux facteurs distincts parmi la possession, la connaissance et l'inhérence. Aujourd'hui déjà, les banques françaises demandent souvent à l'utilisateur, en complément de ses identifiants bancaires habituels, d'entrer un code unique, ponctuel, envoyé sur son téléphone mobile.

Une troisième série de mesures vise à lutter contre le risque d'arbitrage réglementaire. En effet, les services de paiement constituent un domaine privilégié d'utilisation du « passeport européen », système d'agrément unique indispensable à l'émergence d'un véritable marché européen des paiements, mais qui peut aussi encourager la migration des acteurs financiers vers d'autres États membres où la réglementation est plus laxiste. La directive comporte plusieurs dispositions visant à juguler ce risque. La plus spectaculaire rompt avec la logique traditionnelle en vertu de laquelle l'établissement exerçant à l'étranger dans le cadre du passeport européen reste placé sous le contrôle de son État membre d'origine. Elle permet à l'autorité de contrôle de l'État d'accueil de prendre des mesures conservatoires dans les situations d'urgence. Cela va dans le bon sens !

Enfin, une quatrième série de mesures vise à garantir un meilleur niveau de protection aux consommateurs dans leurs relations avec les prestataires de services de paiement. Ainsi la responsabilité de l'utilisateur n'est plus engagée qu'à concurrence d'un montant de 50 euros en cas d'opération non autorisée consécutive à un vol, à la perte ou au détournement d'un instrument de paiement, contre 150 euros précédemment.

La directive « DSP 2 » devait être transposée en droit national avant le 13 janvier 2018. La loi dite « Sapin 2 » du 9 décembre 2016 avait par conséquent habilité le Gouvernement à procéder aux adaptations législatives par ordonnance. La publication de l'ordonnance le 9 août 2017 a permis de respecter les délais de transposition. Le présent projet de loi, qui comportait initialement six articles, vise principalement à ratifier l'ordonnance - c'est l'objet de l'article 1 ^er , les articles 2 à 6 opérant des coordinations et corrections complémentaires.

Sur le fond, l'ordonnance transpose de manière globalement fidèle la directive et elle fait bon usage des marges de manoeuvre laissées aux États membres - en particulier en imposant la désignation d'un point de contact central aux prestataires étrangers utilisant le « passeport » européen et en maintenant une procédure simplifiée d'agrément pour les établissements dont le volume prévisionnel d'activité est limité.

C'est, me semble-t-il, une analyse partagée par la commission des affaires européennes, qui a chargé notre collègue Jean-François Rapin d'examiner si l'ordonnance comprenait des éléments de « sur-transposition », conformément à la procédure expérimentale décidée par la conférence des présidents.

Je vous proposerai toutefois neuf amendements techniques aux articles 2 à 4, qui visent à améliorer la cohérence avec la directive des dispositions du code monétaire et financier issues de l'ordonnance et à corriger des erreurs de référence, ainsi qu'un amendement de coordination à l'article 6, qui concerne l'application outre-mer. Sous réserve de leur adoption, la ratification de l'ordonnance ne me semble pas poser de difficulté.

Je souhaite toutefois évoquer les comptes autres que les comptes de paiement, car c'est un sujet de préoccupation majeur. L'ordonnance se borne à transposer la deuxième directive sur les services de paiement : ses dispositions s'appliquent aux seuls comptes courants. Or les agrégateurs incluent l'ensemble des comptes et produits d'épargne, pour offrir aux utilisateurs une vision consolidée de leurs finances personnelles et leur permettre de passer des ordres. Ainsi, 80 % des comptes agrégés par les nouveaux acteurs ne sont pas des comptes courants, et ils ne sont donc pas couverts par la directive ; l'utilisateur demeure seul responsable s'ils sont hackés, siphonnés, ou amputés d'un prélèvement frauduleux.

Il n'apparaît pas souhaitable d'étendre les dispositions de la directive à l'ensemble des comptes et produits d'épargne comme l'ont proposé certains députés, ce chantier devant être mené au niveau européen, compte tenu notamment de ses implications en termes de concurrence. Pour autant, la question de la responsabilité en cas de fraude ne peut être laissée sans réponse. Il serait déraisonnable de faire courir aux utilisateurs un tel risque jusqu'à l'adoption d'une nouvelle directive, d'autant que les montants en jeu sont supérieurs à ceux de comptes courants.

Je vous proposerai donc un article additionnel pour garantir la possibilité pour l'utilisateur d'obtenir un remboursement auprès du prestataire tiers en cas de fraude, la plateforme étant soumise à une obligation d'assurance complémentaire.

J'en viens aux articles introduits par l'Assemblée nationale. Deux sujets nouveaux ont émergé. Le premier concerne les modalités d'entrée en vigueur des nouvelles exigences de sécurité renforcées. Ces dernières ne seront applicables qu'à partir du 1 ^er septembre 2019 au niveau européen. À l'initiative du Gouvernement, l'Assemblée nationale a introduit un article additionnel autorisant le pouvoir réglementaire à déterminer pour la France des modalités transitoires de communication sécurisée. Je souscris pleinement à cette volonté d'accélérer la sécurisation des connexions, mais il convient de mieux inscrire les règles transitoires dans le sillage des normes techniques européennes. Je vous proposerai un amendement en ce sens.

Autre sujet nouveau, la pratique dite du « cashback ». L'article 1 ^er bis du projet de loi, introduit à l'initiative du Gouvernement, ouvre la possibilité pour les commerçants de fournir des espèces au consommateur à l'occasion du règlement d'un achat. On paie un plein de carburant, on retire en même temps des espèces. C'est une concurrence pour les distributeurs automatiques de billets, mais ceux-ci disparaissent dans bien des territoires, notamment ruraux... Le système permet aussi au commerçant d'optimiser la gestion de son fonds de caisse. Ce service n'a pas été mis en oeuvre en France mais il est largement utilisé dans des pays voisins. Il s'agit d'une simple possibilité ouverte au commerçant. En outre, les opérations professionnelles sont exclues du dispositif et un décret fixera un plancher appliqué à l'opération d'achat et un plafond à la délivrance d'espèces, afin de limiter les risques de blanchiment et de mise en circulation de faux billets. Bref, le dispositif adopté par l'Assemblée nationale me semble suffisamment équilibré pour être adopté en l'état.

Je vous proposerai d'adopter le projet de loi modifié par ces douze amendements.

M. Bernard Lalande . - Dans l'agrégation de tous les comptes, le danger se situe dans l'information fournie sur les comptes d'épargne et produits de placement. Au nom de la protection des données personnelles, nous devons être vigilants.

M. Albéric de Montgolfier , rapporteur . - Oui ! L'intérêt de l'agrégateur est aussi de proposer des produits d'épargne ou d'assurance à des taux plus attrayants que ceux des placements de l'utilisateur - il les connaît. La directive est incomplète en ne couvrant pas les autres comptes que les comptes courants. N'attendons pas une hypothétique troisième directive : imposons une assurance, les professionnels nous ont dit qu'ils l'acceptaient.

M. Bernard Lalande . - Un logiciel vous proposera par exemple un arbitrage entre des euros et des bitcoins , et il suffira d'un simple clic pour l'accepter. Le résultat financier est aléatoire pour l'utilisateur mais l'agrégateur, lui, percevra sa commission quoi qu'il arrive. L'amendement du rapporteur général est vraiment bienvenu.

M. Marc Laménie . - Je m'interroge sur l'avenir des chèques. Nombre de commerçants n'en veulent plus. Quant au paiement en espèces, il est limité, s'agissant des trésoreries publiques. Je comprends les objectifs de lutte contre la fraude et de sécurisation des règlements, mais quid de ces moyens de paiement ?

M. Albéric de Montgolfier , rapporteur . - L'érosion du chèque est manifeste et la Suède envisage la disparition des espèces à brève échéance. En Allemagne, il n'en va pas de même. C'est une question culturelle.

Les virements électroniques sont généralement gratuits, mais le virement européen nouvelle version sera plus intéressant. Le cashback se pratique dans beaucoup de pays, il accroît la diversité des moyens de paiement au profit du consommateur.

M. Jean-François Rapin . - Le rapport de la commission des affaires européennes est paru. Effectivement, nous n'avons pas décelé de « sur-transposition ». Et nous avons formulé les mêmes conclusions que le rapporteur général sur l'agrégation des comptes d'épargne. Il est dangereux d'attendre une autre directive. Enfin, le cashback est un apport de services utile, dans les territoires ruraux en particulier.

Mme Fabienne Keller . - La directive a été adoptée en 2015, il y a plus de deux ans : la transposition n'est pas très rapide ! Pourtant elle n'était pas une surprise, puisqu'elle avait donné lieu à plusieurs années de négociation. Y a-t-il aujourd'hui encore des textes en gestation, sur lesquels il serait souhaitable d'anticiper, voire d'influer en amont, lors du processus d'élaboration, pour être plus efficaces ?

M. Albéric de Montgolfier , rapporteur . - L'application de la directive de 2015 était différée à 2018. Il n'y a pas de directive à venir sur le sujet. Celle sur le paquet bancaire se profile à l'horizon, mais ce n'est pas pour tout de suite.

M. Alain Houpert . - Je déplore la rupture d'égalité concernant les modes de paiement des impôts. Au-delà de 2 000 euros, le virement bancaire est obligatoire : il faut donc avoir accès à un ordinateur. Mais la dématérialisation et le haut débit ne sont pas une réalité dans tous les territoires ni dans tous les foyers français. L'obligation de posséder un ordinateur est-elle inscrite dans la Constitution ?

M. Albéric de Montgolfier , rapporteur . - Payez par chèque et formez une question prioritaire de constitutionnalité s'il est refusé ! Vous pourriez faire la même remarque pour la télédéclaration, dont le seuil est abaissé année après année. Certes, à la différence des moyens de paiement, une exception est prévue pour les personnes qui ne possèdent pas d'ordinateur. Cependant, on peut toujours se rendre dans les services des impôts et les trésoreries et déposer un chèque ; mais on ne peut plus l'envoyer par voie postale. Seules les créances publiques de moins de 300 euros peuvent encore être payées en espèces ; au-delà, sont acceptés le virement bancaire, le prélèvement, ou le chèque apporté sur place...

M. Alain Houpert . - Est-il inscrit dans la Constitution que l'on doive posséder une voiture pour se déplacer jusqu'au centre des impôts ?

M. Arnaud Bazin . - Quel est l'impact sur les agrégateurs français des mesures proposées dans l'amendement, certes utile, du rapporteur général ? Ne vont-elles pas handicaper les professionnels de notre pays ?

M. Albéric de Montgolfier , rapporteur . - Nous avons consulté la Fédération bancaire française et surtout les fintech , qui nous ont indiqué que le système d'assurance complémentaire leur convient. Ils n'y voient pas un obstacle à la concurrence et veulent garder la confiance de leurs utilisateurs. Le plus gros d'entre eux a déjà souscrit une assurance volontaire. Ce que je vous propose est une bonne solution, car nous ne pouvons laisser persister une zone grise. L'ACPR a souligné que les utilisateurs pouvaient la consulter pour vérifier que l'agrégateur était agréé : mais il faut un minimum de connaissances pour y penser !

Mme Sophie Taillé-Polian . - Nous avons adopté hier, dans le cadre de l'examen du projet de loi pour un État au service d'une société de confiance, un amendement reportant le télépaiement et la télédéclaration à 2025 dans les zones blanches, malgré l'avis défavorable du Gouvernement.

M. Albéric de Montgolfier , rapporteur . - Je doute de son maintien dans le texte définitif, si le Gouvernement y est hostile...

M. Emmanuel Capus . - Le Gouvernement s'est opposé à cette disposition en considérant qu'elle est inutile, et même restrictive, puisque toutes les personnes, quel que soit le lieu où elles habitent, peuvent continuer à faire une déclaration papier si elles n'ont pas accès à un ordinateur - et ce, sans limitation dans le temps. Du reste, il a souligné l'incertitude de savoir où commence et où s'arrête une zone blanche.

M. Albéric de Montgolfier , rapporteur . - Les procédures administratives électroniques sont de plus en plus fréquentes, sans qu'aucune assistance aux personnes âgées ne soit prévue. Je songe au scandale des contraventions à Paris, aux réclamations traitées par des robots au téléphone, au mur administratif auquel on se heurte lorsque l'on veut expliquer sa situation, aux horaires d'ouverture restreints dans les centres des impôts.... Je suis favorable à la dématérialisation des procédures, à la modernisation mais conservons de l'humain ! L'accueil physique des personnes qui ont besoin d'assistance doit demeurer.

M. Vincent Capo-Canellas . - Je souscris à l'amendement sur les agrégateurs. Mais quel espoir pouvons-nous avoir d'une solution européenne ? N'y a-t-il pas une initiative à prendre à ce sujet ?

M. Albéric de Montgolfier , rapporteur . - Le droit va moins vite que la technique. Les services se développent en dehors d'un cadre juridique, celui-ci intervenant après coup. En l'espèce, il n'y a aucune « DSP 3 » en perspective, donc pas de solution avant plusieurs années. Voilà pourquoi nous utilisons le présent projet de loi.

M. Claude Nougein . - Le montant de retrait moyen dans le cashback n'est pas très élevé : entre 80 et 150 euros. Les banques ne sont pas fâchées que les commerçants se chargent de cette mission à leur place ! Le risque de blanchiment est faible, mais quid de la sécurité ? Les attaques de banque à main armée sont de plus en plus rares, mais ces agressions se déplacent à présent chez les boulangers, les épiciers, qui peuvent avoir 1 000 euros en caisse. On tue parfois pour moins que cela !

M. Albéric de Montgolfier , rapporteur . - Le cashback est proposé par les commerçants qui le souhaitent, notamment parce qu'ils gèrent ainsi leur fonds de caisse, attirent des clients et perçoivent une commission. Les banques y ont intérêt... mais elles perdent quand même la commission de retrait.

Quand on lit la presse locale, on est affolé d'apprendre pour quels dérisoires butins les commerçants sont parfois attaqués par des individus armés...

Le montant des retraits sera limité, et bien inférieur à 1 000 euros.

M. Jean-François Husson . - Il faut analyser le cashback sous l'angle de l'aménagement du territoire, car les banques ferment sans préavis leurs agences, dans les territoires urbains aussi bien que ruraux. Il y a là une question de survie économique, car personne n'est préparé à de tels bouleversements.

M. Albéric de Montgolfier , rapporteur . - Les banques sont la sidérurgie de demain... Les tâches répétitives sont mécanisées, les conseillers remplacés par des « robots-conseillers », les établissements traditionnels sont concurrencés par des acteurs nouveaux, proposant toute la gamme des services bancaires, comme Orange en a l'intention, ou simplement l'agrégation des comptes. Les réseaux bancaires seront largement rétrécis, des fermetures massives sont à prévoir.

M. Vincent Éblé , président . - Lors de notre table ronde, il y a deux ans, sur l'avenir de la banque de détail, nous n'avions malheureusement pas réussi à obtenir un éclairage déterminant sur les évolutions de la couverture territoriale des réseaux bancaires.

EXAMEN DES ARTICLES

L'article 1 ^er est adopté sans modification, de même que l'article 1 ^er bis.

Article additionnel après l'article 1 ^er bis

M. Albéric de Montgolfier , rapporteur . - L'amendement COM-1 rectifié est le plus innovant. Il vise à garantir le remboursement en cas de fraude, y compris sur les comptes autres que courants, grâce à l'obligation d'assurance et l'immatriculation.

L'amendement n° COM-1 rectifié est adopté et devient l'article 1 ^er ter A.

Article 1 ^er ter

M. Albéric de Montgolfier , rapporteur . - L'amendement COM-2 précise l'objet du décret, concernant les modalités de communication entre utilisateurs, prestataires d'information sur les comptes, services d'initiation de paiement et gestionnaires des comptes : les conditions transitoires doivent être conformes aux normes sécurisées prévues par l'acte délégué.

L'amendement n° COM-2 est adopté.

L'article 1 ^er ter est adopté dans la rédaction issue des travaux de la commission.

Article 2

M. Albéric de Montgolfier , rapporteur général . - L'amendement COM-3 est une mise en cohérence de l'article L. 133-10 du code monétaire et financier avec l'article 79 de la directive, concernant les frais susceptibles d'être facturés par les prestataires de services de paiement au titre du refus de l'exécution d'un ordre.

L'amendement n° COM-3 est adopté.

M. Albéric de Montgolfier , rapporteur . - L'amendement COM-4 vise également à mettre l'article L. 133-17-1 du code monétaire et financier en cohérence avec l'article 68 de la directive.

L'amendement n° COM-4 est adopté.

M. Albéric de Montgolfier , rapporteur général . - Idem pour l'amendement COM-5 qui modifie l'article L. 133-21 du code monétaire et financier s'agissant des conditions de responsabilité du prestataire de services de paiement en cas de non-exécution d'une opération de paiement.

L'amendement n° COM-5 est adopté.

M. Albéric de Montgolfier , rapporteur général . - Il en va de même pour l'amendement COM-6 qui met en cohérence l'article L. 133-22 du code monétaire et financier avec l'article 89 de la directive s'agissant des conditions de remboursement en cas d'opération de paiement mal exécutée et l'introduction du concept d'exécution tardive d'une opération de paiement.

L'amendement n° COM-6 est adopté.

L'article 2 est adopté dans la rédaction issue des travaux de la commission.

Article 3

L'amendement COM-7 de coordination est adopté.

L'article 3 est adopté dans la rédaction issue des travaux de la commission.

Article 4

M. Albéric de Montgolfier , rapporteur . - Les amendements COM-8 , COM-9 et COM-10 sont une mise en cohérence avec la directive sur trois points : restriction du champ de l'exception prévue pour les réseaux limités, retrait de l'agrément, notification de tout changement des conditions d'agrément.

Les amendements COM-8 , COM-9 et COM-10 sont adoptés.

M. Albéric de Montgolfier , rapporteur . - L'amendement COM-11 corrige une erreur de référence.

L'amendement COM-11 est adopté.

L'article 4 est adopté dans la rédaction issue des travaux de la commission.

Article 5

L'article 5 est adopté sans modification.

Article 6

M. Albéric de Montgolfier , rapporteur . - L'amendement COM-12 concerne une coordination pour l'application en outre-mer.

L'article 6 est adopté dans la rédaction issue des travaux de la commission.

L'ensemble du projet de loi est adopté dans la rédaction issue des travaux de la commission.

Le sort des amendements examinés par la commission est retracé dans le tableau suivant :

---

* ¹ Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique.

* ² Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur.

* ³ Règlement (UE) 2015/751 du Parlement européen et du Conseil du 29 avril 2015 relatif aux commissions d'interchange pour les opérations de paiement liées à une carte et règlement (UE) 2015/847 du Parlement européen et du Conseil du 20 mai 2015 sur les informations accompagnant les transferts de fonds.

* ⁴ Communication de la Commission au Conseil et au Parlement européen concernant un « Nouveau cadre juridique pour les paiements dans le marché intérieur », 2003/0718 final.

* ⁵ Les établissements de monnaie électronique relèvent de la directive 2009/110/CE du Parlement européen et du Conseil du 16 septembre 2009 concernant l'accès à l'activité des établissements de monnaie électronique et son exercice ainsi que la surveillance prudentielle de ces établissements, transposée en 2013.

* ⁶ La transposition en droit national a été effectuée par l'ordonnance n° 2009-866 du 15 juillet 2009 relative aux conditions régissant la fourniture de services de paiement et portant création des établissements de paiement.

* ⁷ Considérant 4 de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.

* ⁸ « Les banques aux prises avec les fintech », Matthieu Llorca, L'économie politique n° 75, 2017/3.

* ⁹ Ce service permet d'initier un ordre de paiement à la demande de l'utilisateur sous la forme d'un virement. Le consommateur peut ainsi payer un achat, tandis que le commerçant est assuré que le paiement a bien été initié.

* ¹⁰ Ce service fournit à l'utilisateur des informations consolidées de ses comptes sur une interface unique, indépendante des établissements gestionnaires de ces différents comptes.

* ¹¹ Assemblée nationale, compte rendu de la séance du 8 février 2018.

* ¹² Loi n° 2015-990 du 6 août 2015 pour la croissance, l'activité et l'égalité des chances économiques.

* ¹³ Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.

* ¹⁴ Livre vert, « Vers un marché européen intégré des paiements par carte, par internet et par téléphone mobile », Commission européenne, COM (2011) 941 final, 11 janvier 2012.

* ¹⁵ Il s'agit d'un système combinant au moins deux facteurs d'authentification parmi la possession, la connaissance et l'inhérence.

* ¹⁶ Le I de l'article L. 522-4 du code monétaire et financier les définit ainsi : « les comptes ouverts par les établissements de paiement sont des comptes de paiement qui sont exclusivement utilisés pour des opérations de paiement. Cette destination exclusive doit être expressément prévue dans le contrat-cadre de services de paiement qui régit le compte. Est exclu tout placement au nom du client de ces fonds, même temporaire, dans un produit d'épargne ou d'investissement. »

* ¹⁷ Assemblée nationale, compte rendu de la séance du 8 février 2018.

* ¹⁸ Il s'agit en particulier des dispositions relatives à la généralisation de l'authentification forte du payeur et aux normes ouvertes communes et sécurisées de communication entre les différents prestataires de services de paiement.

* ¹⁹ Journal officiel de l'Union européenne L69/23 du 13 mars 2018, pages 23 à 43.

* ²⁰ L'exigence de capital minimum est fixée à 50 000 euros et aucune exigence de fonds propre ne leur est appliquée.

* ²¹ « Droit des moyens et services de paiement, abécédaire DSP2 », Pierre Storrer, Revue Banque, n° 93, février 2016.

* ²² Art. L. 521-5 du code monétaire et financier introduit par l'article 12 de l'ordonnance du 9 août 2017.

* ²³ Art. 66, 1 et 5, ainsi qu'art. 67, 1 et 4 de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.

* ²⁴ « Les services de paiement confrontés au défi du changement », Rémi Steiner, Réalités industrielles, février 2015.

* ²⁵ Voir « Les nouveaux instruments de paiement, avatars de la monnaie fiduciaire : de nouveaux facteurs de risque en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme », Bruno Dalles, Réalités industrielles, novembre 2017.

* ²⁶ Voir le compte-rendu de l'audition du 14 février 2018 .

* ²⁷ Considérant n° 53 de la directive du 25 novembre 2015.

* ²⁸ Issues en particulier du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

* ²⁹ À savoir la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ainsi que le règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données.

* ³⁰ Articles 12 et 34.

* ³¹ Par exemple, l'accès au compte de paiement en ligne, l'initiation d'une opération de paiement électronique ou l'exécution d'une action susceptible de comporter un risque de fraude en matière de paiement.

* ³² Selon les indications de Mme Marie-Anne Barbat-Layani, directrice générale de la Fédération bancaire française devant la commission des finances du Sénat le 14 février 2018 .

* ³³ Considérant n° 93 de la directive du 25 mai 2015.

* ³⁴ Lorsqu'une interface spécifique cesse, durant plus de deux semaines consécutives, de satisfaire aux critères de qualité prévus par les normes techniques de réglementation. Dans ce cas, l'autorité nationale de régulation informe l'Agence bancaire européenne et veille à ce que la banque mette en place un mécanisme automatisé de secours, au maximum dans les deux mois.

* ³⁵ Voir le compte-rendu de l'audition du 14 février 2018.

* ³⁶ Voir le compte-rendu de l'audition du 14 février 2018.

* ³⁷ Réponse de l'Autorité de contrôle prudentiel et de résolution au questionnaire du rapporteur général.

* ³⁸ Réponse de l'Autorité de contrôle prudentiel et de résolution au questionnaire du rapporteur général.

* ³⁹ Réponse de la fédération bancaire française au questionnaire du rapporteur général.

* ⁴⁰ Réponse de l'Autorité de contrôle prudentiel et de résolution au questionnaire du rapporteur général.

* ⁴¹ Voir le commentaire de l'article 1 ^er ter A

* ⁴² L'article L. 571-3 du code monétaire et financier punit ainsi la violation du « monopole bancaire » de trois ans d'emprisonnement et de 375 000 euros d'amende.

* ⁴³ Les services de paiement sont inscrits à l'article L. 314-1 du code monétaire et financier.

* ⁴⁴ Autorité de contrôle prudentiel et de résolution, « L'agrément des acteurs du paiement et de la monnaie électronique », présentation du 28 septembre 2017, p. 6.

* ⁴⁵ À ce titre, il peut être rappelé que le monopole des dépôts est imposé par l'article 9-1 de la directive européenne 2013/36/UE. À l'inverse, la régulation du crédit relève de la responsabilité des États membres. Elle demeure particulièrement stricte en France, en dépit de certains assouplissements récents. Voir sur ce point : Haut comité juridique de la place financière de Paris, « Rapport sur le monopole bancaire », 2016.

* ⁴⁶ Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur.

* ⁴⁷ Ordonnance n° 2009-866 du 15 juillet 2009 relative aux conditions régissant la fourniture de services de paiement et portant création des établissements de paiement.

* ⁴⁸ Directive 2009/110/CE du Parlement européen et du Conseil du 16 septembre 2009 concernant l'accès à l'activité des établissements de monnaie électronique et son exercice ainsi que la surveillance prudentielle de ces établissements.

* ⁴⁹ Loi n° 2013-100 du 28 janvier 2013 portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière économique et financière.

* ⁵⁰ Prévue à l'article L. 522-6 du code monétaire et financier pour les établissements de paiement et à l'article L. 526-7 du même code pour les établissements de monnaie électronique.

* ⁵¹ À l'exception, pour le titre III, de l'article 45, paragraphe 1, point b), de l'article 52, point 2) e), et de l'article 56, point a), ainsi que, pour le titre IV, des articles 81 et 86.

* ⁵² À l'exception, pour le titre III, de l'article 45, paragraphe 1, point b), de l'article 52, point 2) e), de l'article 52, point 5) g), et de l'article 56, point a), ainsi que, pour le titre IV, de l'article 62, paragraphes 2 et 4, et des articles 76, 77 et 81.

* ⁵³ Concrètement, les opérations de paiement consistent à « verser, transférer ou retirer des fonds » et comprennent notamment « les prélèvements, les virements, les opérations de paiement effectuées avec une carte de paiement et l'émission d'instruments de paiement et/ou l'acquisition d'ordres de paiement (ex : chèques) ». Cf. « Portabilité du compte bancaire », rapport d'Inès Mercereau, décembre 2014, p. 8.

* ⁵⁴ Article 1 ^er de l'arrêté du 29 juillet 2009 relatif aux relations entre les prestataires de services de paiement et leurs clients en matière d'obligations d'information des utilisateurs de services de paiement et précisant les principales stipulations devant figurer dans les conventions de compte de dépôt et les contrats-cadres de services de paiement.

* ⁵⁵ Réponse de la Commission européenne du 15 juillet 2008 à la question n° 25 posée le 15 juillet 2008 (traduction de la commission des finances), « Payment Services Directive 2007/64/EC, Questions and answers », p. 22.

* ⁵⁶ Il peut être noté que l'exécution « d'opérations de paiement, lorsque le consentement du payeur est donné au moyen de tout dispositif de télécommunication, numérique ou informatique et que le paiement est adressé à l'opérateur du système ou du réseau de télécommunication ou informatique, agissant uniquement en qualité d'intermédiaire entre l'utilisateur de services de paiement et le fournisseur de biens ou services » est supprimée de la liste des services de paiement. Il s'agit toutefois d'une simple mesure de simplification, dès lors que ce service peut être couvert par les services prévus aux 3° (exécution de certaines opérations de paiement) et au 5° (émission d'instruments de paiement et / ou acquisition d'opérations de paiement) du II de l'article L. 314-1 du code monétaire et financier. À cet égard, le IV de l'article 34 de l'ordonnance précise que les établissements agréés pour fournir ce service sont réputés l'être pour ceux mentionnés aux 3° et 5° du II de l'article L. 314 1 du code monétaire et financier.

* ⁵⁷ Voir les considérants 12 et 13 de la directive.

* ⁵⁸ Considérant 11 de la directive.

* ⁵⁹ Article 4 de la directive.

* ⁶⁰ Ibid .

* ⁶¹ Cette disposition, issue de l'article 13 de l'ordonnance, figure à l'article 33 de la directive.

* ⁶² La procédure d'enregistrement, prévue à l'article L. 522-11-2 du code monétaire et financier et issue de l'article 13 de l'ordonnance, transpose les dispositions de l'article 33 de la directive.

* ⁶³ Article 33 de la directive, transposé au II de l'article L. 522-1 du code monétaire et financier par l'article 13 de l'ordonnance.

* ⁶⁴ Article 7 de la directive, transposé à l'article L. 522-7 du code monétaire et financier par l'article 13 de l'ordonnance.

* ⁶⁵ Paragraphe 1 de l'article 9 de la directive, transposé à l'article L. 522-14 du code monétaire et financier par l'article 13 de l'ordonnance.

* ⁶⁶ Paragraphes 2 et 3 de l'article 5 de la directive, transposés à l'article L. 522-7-1 du code monétaire et financier par l'article 13 de l'ordonnance.

* ⁶⁷ Cf. 11° de l'article R. 561-16 du code monétaire et financier.

* ⁶⁸ Paragraphe 1 de l'article 66 et paragraphe 1 de l'article 67 de la directive, transposés respectivement au I de l'article L. 133-40 et au I de l'article L. 133-41 du code monétaire et financier par l'article 2 de l'ordonnance.

* ⁶⁹ Paragraphe 3 de l'article 66 et paragraphe 4 de l'article 67 de la directive, transposés respectivement au III de l'article L. 133-40 et au III de l'article L. 133-41 du code monétaire et financier par l'article 2 de l'ordonnance.

* ⁷⁰ Paragraphe 5 de l'article 66 et paragraphe 4 de l'article 67 de la directive, transposés respectivement au IV de l'article L. 133-40 et au IV de l'article L. 133-41 du code monétaire et financier par l'article 2 de l'ordonnance.

* ⁷¹ Pour la liste complète, voir le paragraphe 3 de l'article 66 et paragraphe 2 de l'article 67 de la directive, transposés respectivement au II de l'article L. 133-40 et au II de l'article L. 133-41 du code monétaire et financier par l'article 2 de l'ordonnance.

* ⁷² Voir également le commentaire de l'article 1 ^er ter du présent projet de loi.

* ⁷³ Article 73 de la directive, transposé à l'article L. 133-18 du code monétaire et financier par l'article 2 de l'ordonnance.

* ⁷⁴ Ainsi que le prévoit l'article 73 de la directive, c'est au prestataire de services d'initiation de paiement qu'incombe la charge de prouver que, pour ce qui le concerne, l'opération en question a été « authentifiée et dûment enregistrée » et qu'elle n'a pas été affectée par « une déficience technique ou autre en relation avec le service de paiement qu'il doit assurer ».

* ⁷⁵ Article 4 de la directive, transposé à l'article L. 133-4 du code monétaire et financier par l'article 2 de l'ordonnance.

* ⁷⁶ Cf. Cour de cassation, chambre commerciale, financière et économique, arrêt n° 1327 du 25 octobre 2017. En l'espèce, le client avait répondu à un courriel se présentant comme émanant de son opérateur téléphonique, ce qui a permis au fraudeur d'intercepter les messages envoyés par la banque sur le téléphone mobile du client pour valider les paiements.

* ⁷⁷ Article 96 de la directive, transposé par l'article 12 de l'ordonnance à l'article L. 521-10 du code monétaire et financier.

* ⁷⁸ Cf. sur ce point : « Places financières : quelle stratégie française face au Brexit ? », rapport d'information n° 574 (2016-2017) d'Albéric de Montgolfier, fait au nom de la commission des finances et déposé le 7 juin 2017.

* ⁷⁹ Paragraphe 3 de l'article 11 de la directive, transposé aux articles L. 522-8 et L. 526-9 du code monétaire et financier par l'article 13 de l'ordonnance.

* ⁸⁰ Paragraphe 4 de l'article 29 de la directive, transposé aux articles L. 522-13 et L. 523-4 du code monétaire et financier par l'article 13 de l'ordonnance.

* ⁸¹ Paragraphe 2 de l'article 30 de la directive.

* ⁸² Paragraphe 1 de l'article 74 de la directive, transposé par l'article 2 de l'ordonnance à l'article L. 133-19 du code monétaire et financier.

* ⁸³ Paragraphe 1 de l'article 75 de la directive, transposé par l'article 2 de l'ordonnance à l'article L. 133-42 du code monétaire et financier.

* ⁸⁴ Paragraphe 2 de l'article 101 de la directive, transposé par l'article 2 de l'ordonnance à l'article L. 133-45 du code monétaire et financier.

* ⁸⁵ Paragraphe 2 de l'article 55 de la directive, transposé par l'article 5 de l'ordonnance à l'article L. 312-1-1 du code monétaire et financier.

* ⁸⁶ Paragraphe 1 de l'article 96 de la directive, transposé par l'article 12 de l'ordonnance à l'article L. 521-10 du code monétaire et financier.

* ⁸⁷ Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, dite « DSP 1 ».

* ⁸⁸ Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, dite « DSP 2 ».

* ⁸⁹ Ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.

* ⁹⁰ À savoir les personnes « qui exercent des actes de commerce et en font leur profession habituelle ».

* ⁹¹ Au sens de l'article L. 521-3-2 du code monétaire et financier. Il s'agit d'instruments de paiement ne pouvant être utilisés que de manière limitée comme, par exemple, les cartes prépayées.

* ⁹² Au sens de l'article L. 525-4 du code monétaire et financier. Il s'agit des « titres spéciaux de paiement dématérialisés soumis à des dispositions législatives ou réglementaires spécifiques ou à un régime spécial de droit public qui en destinent l'usage exclusivement à l'acquisition d'un nombre limité de catégories de biens ou de services déterminées ou à une utilisation dans un réseau limité ».

* ⁹³ Étude « Study on the use of cash by households », novembre 2017.

* ⁹⁴ Selon les indications de Delphine Gény-Stephann, secrétaire d'État auprès du ministre de l'économie et des finances, devant l'Assemblée nationale le 8 février 2018.

* ⁹⁵ Voir le compte-rendu de l'audition du 14 février 2018.

* ⁹⁶ Selon les informations transmises par la direction générale du Trésor, un tel encadrement est par exemple prévu en Allemagne, où la loi définit un seuil minimum d'achat de 20 euros et un plafond de retrait par opération de 200 euros.

* ⁹⁷ Pour une description détaillée, se reporter à l'exposé général et au commentaire de l'article 1 ^er du présent projet de loi.

* ⁹⁸ Assemblée nationale, compte rendu de la séance du 8 février 2018.

* ⁹⁹ Réponse de l'Autorité de contrôle prudentiel et de résolution au questionnaire du rapporteur général.

* ¹⁰⁰ Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.

* ¹⁰¹ Journal officiel de l'Union européenne L69/23 du 13 mars 2018, pages 23 à 43.

* ¹⁰² Ainsi en est-il lorsqu'une interface spécifique cesse, durant plus de deux semaines consécutives, de satisfaire aux critères de qualité prévus par les normes techniques de réglementation. Dans ce cas, l'autorité nationale de régulation informe l'Agence bancaire européenne et veille à ce que la banque mette en place un mécanisme automatisé de secours, au maximum dans les deux mois.

* ¹⁰³ En application du 4 de l'article 115 de la directive, précisant que « par dérogation au paragraphe 2, les États membres veillent à ce que les mesures de sécurité visées aux articles 65, 66, 67 et 97 s'appliquent dix-huit mois après l'entrée en vigueur des normes techniques de réglementation visées à l'article 9 8 ».

* ¹⁰⁴ Courrier n° 5927 adressé au Gouverneur de la Banque de France le 24 novembre 2017.

* ¹⁰⁵ Assemblée nationale, compte rendu de la séance du 8 février 2018.

* ¹⁰⁶ Assemblée nationale, compte rendu de la séance du 8 février 2018.

* ¹⁰⁷ Ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.

* ¹⁰⁸ Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.

* ¹⁰⁹ Cette exclusion est expressément prévue par l'article 3 de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015.

* ¹¹⁰ Ordonnance n° 2017-1433 du 4 octobre 2017 relative à la dématérialisation des relations contractuelles dans le secteur financier

* ¹¹¹ Les prestataires de services d'investissement (PSI), autres que les sociétés de gestion de portefeuille, sont des entreprises d'investissement et des établissements de crédit ayant reçu un agrément pour fournir des services d'investissement. L'exercice de chacun de ces services est soumis au respect de règles de bonne conduite et d'organisation ; après avis de l'AMF, l'agrément est délivré par l'Autorité de contrôle prudentiel et de résolution (ACPR) qui tient à jour la liste des prestataires agréés.

* ¹¹² À savoir les personnes mentionnées aux 1° et 2° de l'article L. 612-2 du code monétaire et financier.

* ¹¹³ Ordonnance n° 2018-95 du 14 février 2018 relative à l'extension en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna, de diverses dispositions en matière bancaire et financière.