Projet de loi ratifiant l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur

Rapport n° 671 (2017-2018) de M. Albéric de MONTGOLFIER , fait au nom de la commission des finances, déposé le 18 juillet 2018

Disponible au format PDF (295 Koctets)

N° 671

SÉNAT

SESSION EXTRAORDINAIRE DE 2017-2018

RAPPORT

FAIT

au nom de la commission des finances (1) sur le projet de loi , ADOPTÉ PAR L'ASSEMBLÉE NATIONALE EN NOUVELLE LECTURE , ratifiant l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur ,

Par M. Albéric de MONTGOLFIER,

Sénateur

Voir les numéros :

Première lecture : 368 , 607 et T.A. 83

Commission mixte paritaire : 894

Première lecture : 292 , 345 , 348 , 349 et T.A. 80 (2017-2018)

Commission mixte paritaire : 450 et 451 (2017 - 2018)

LES CONCLUSIONS DE LA COMMISSION DES FINANCES

AVANT-PROPOS

En première lecture, le projet de loi ratifiant l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, dite « DSP 2 », tel que transmis par l'Assemblée nationale au Sénat, comportait 8 articles, 6 articles initiaux et 2 articles additionnels (articles 1 ^er bis et 1 ^er ter ).

Le Sénat a adopté 13 amendements au texte voté par l'Assemblée nationale, correspondant à douze amendements en commission et un amendement en séance présenté par le Gouvernement.

Il a voté 3 articles conformes (articles 1 ^er , 1 ^er bis et 5), modifié 5 articles et adopté un article additionnel (article 1 ^er ter A). Il restait donc 6 articles en discussion et devant être examinés par l'Assemblée nationale en nouvelle lecture, après l'échec de la commission mixte paritaire le 19 avril dernier.

Cet échec est dû au désaccord entre les députés et les sénateurs sur l'article 1 ^er ter A, introduit par le Sénat en première lecture et proposant un dispositif assurantiel afin de répondre au problème des comptes non couverts par la directive et de protéger ainsi les consommateurs.

1/ En nouvelle lecture, des votes de l'Assemblée nationale reprenant très largement la position du Sénat mais confirmant aussi le principal point de divergence : créer une obligation assurantielle pour couvrir les comptes non couverts par la directive en vue de protéger les consommateurs

Le Sénat s'était inscrit dans une démarche constructive lors de l'examen du projet de loi en première lecture. Il avait en particulier voté conforme l'article 1 ^er, qui ratifie l'ordonnance de transposition de la directive , compte tenu de la transposition fidèle proposée et des apports indéniables de la directive, qui améliore le marché intérieur des paiements et prend en compte l'essor incontestable des Fintech .

D'ailleurs, l'Assemblée nationale a, en nouvelle lecture, conservé la quasi-totalité des améliorations apportées par le Sénat , seul l'un des douze amendements rédactionnels, de cohérence et de coordination adoptés par elle revenant sur un amendement adopté à l'article 4 par la commission des finances du Sénat, qui ne présentait pas d'enjeu majeur. Ces modifications de l'Assemblée nationale ne posent donc pas de difficulté.

En revanche, l'Assemblée nationale a supprimé l'article 1 ^er ter A , introduit par le Sénat et unique « pierre d'achoppement » entre les deux chambres.

Pourtant, le constat est partagé . La directive que l'on transpose en droit français encadre l'activité des agrégateurs de comptes et des initiateurs de paiement pour les seuls comptes de paiement , c'est-à-dire les « comptes courants ».

Or, il s'agit d'une limite majeure puisque les services offerts aux utilisateurs portent sur l'ensemble des comptes et produits d'épargne. Dans ce cas, l'utilisateur pourrait, en effet, difficilement être indemnisé en cas de fraude ou de fuite de données, la banque considérant qu'elle n'y est pas tenue puisqu'il a révélé ses identifiants à un tiers et la fintech qui verrait sa responsabilité engagée n'ayant pas nécessairement les moyens d'y procéder, faute d'obligation d'assurance et avec des fonds propres exigés de seulement 50 000 euros.

Il est donc indispensable de protéger les consommateurs qui ignorent bien souvent les risques qu'ils prennent en recourant à ces services. La solution assurantielle proposée par le Sénat avait le mérite de répondre à ces difficultés identifiées.

Les arguments avancés par l'Assemblée nationale pour s'y opposer peuvent être pour partie nuancés voire contestés . En particulier, la mesure proposée ne constitue aucunement une « sur-transposition » de la directive puisqu'elle couvre des cas qui se situent hors de son champ.

L'obligation assurantielle proposée doit par ailleurs s'entendre comme une solution nationale temporaire à un problème identifié, dans l'attente d'une réponse européenne indéniablement plus adaptée . Elle peut certes créer des difficultés dans sa mise en oeuvre - même si ces dernières ne doivent pas être surestimées, comme le démontre le commentaire de l'article 1 ^er ter A supra- et votre rapporteur avait d'ailleurs invité le Gouvernement et l'Assemblée nationale à travailler de concert pour trouver le meilleur dispositif possible.

En tout état de cause, si toute solution nationale transitoire est par nature imparfaite, elle doit surtout être évaluée de telle façon à déterminer si les inconvénients induits par son adoption excèdent les bénéfices attendus en termes de protection des consommateurs.

2/ Malgré ce désaccord, l'adoption du texte issu de l'Assemblée nationale sans modification, dans l'attente d'engagements fermes et précis du Gouvernement en séance publique

Le dispositif adopté à l'article 1 ^er ter A a mis en exergue un « vide juridique » indéniable et a ainsi permis de contraindre le Gouvernement à se saisir du sujet .

En effet, depuis la première lecture au Sénat, le Gouvernement s'est engagé à intervenir selon trois modalités :

- devant le Sénat, Mme Delphine Gény-Stephann, secrétaire d'État auprès du ministre de l'économie et des finances avait annoncé le lancement d'une « mission de réflexion pour formuler des propositions adéquates à porter auprès de nos partenaires européens et de la Commission européenne » et susceptible « le cas échant, [de] conduire à formuler toute mesure transitoire pertinente à adopter au niveau national » ^{1 ( * )} ;

- devant l'Assemblée nationale, lors de l'examen du projet de loi en nouvelle lecture, la ministre a également annoncé que la Commission européenne avait été saisie pour « établir un cadre juridique unifié au niveau européen sécurisant l'utilisation de l'ensemble des données financières individuelles et incluant les données issues de comptes d'épargne » ^{2 ( * )} ;

- enfin, elle a également indiqué à cette même occasion que le Gouvernement saisirait la Commission nationale de l'informatique et des libertés (CNIL) concernant les modalités d'accès aux comptes non couverts par la directive , pour qu'elle édicte des « lignes directrices », en travaillant avec la Banque de France, l'Autorité de contrôle prudentiel et de résolution (ACPR) et l'Agence nationale de la sécurité des systèmes d'information (ANSSI).

En effet, le règlement général sur la protection des données (RGPD) est applicable à tout traitement de données à caractère personnel et, en matière de sécurité, le responsable du traitement est tenu de mettre en oeuvre les mesures appropriées pour garantir un niveau de sécurité adapté. Dans ce cadre, la CNIL dispose d'outils de régulation permettant de guider les acteurs dans leur démarche de conformité.

Ces engagements constituent indéniablement un « premier pas » pour répondre à la difficulté identifiée par le Sénat . Les efforts pour convaincre de la nécessité d'intervenir n'ont pas été vains et l'échec de la commission mixte paritaire a eu pour effet d'obliger le Gouvernement à revenir vers le Parlement avec des pistes d'évolution .

Cependant, les réponses apportées par le Gouvernement restent imparfaites , notamment parce qu'elles ne permettent toujours pas de garantir à l'utilisateur une indemnisation en cas de fuite de ses données et surtout de fraude.

Au stade de la nouvelle lecture et alors que l'examen du projet de loi s'achèvera très prochainement , votre rapporteur entend interpeller le Gouvernement , sans proposer au stade de la commission de rétablir l'article 1 ^er ter A, sur ces différents points en séance publique . Il souhaite ainsi lui faire préciser ses engagements , dans la perspective d'assurer la protection des consommateurs , les mesures proposées au niveau national constituant une « première étape » encore insuffisante dans l'attente d'une solution européenne.

EXAMEN DES ARTICLES

ARTICLE 1er ter A (nouveau)
(Art. L. 522-7-2 [nouveau] du code monétaire et financier)

Obligation d'assurance et d'immatriculation pour les prestataires
et établissements qui initient des ordres ou permettent d'accéder
aux données concernant des comptes et produits autres
que les comptes de paiement

. Commentaire : le présent article, introduit par votre commission en première lecture, propose d'imposer aux prestataires et établissements qui initient des ordres ou permettent d'accéder aux données concernant des comptes et produits autres que les comptes de paiement de souscrire une assurance et de s'immatriculer auprès de l'Autorité de contrôle prudentiel et de résolution (ACPR).

I. LE DISPOSITIF INTRODUIT PAR LE SÉNAT

A. LA NÉCESSITÉ DE TRAITER LE PROBLÈME DES COMPTES ET PRODUITS NON COUVERTS PAR LA DIRECTIVE

Le présent article, introduit en première lecture par la commission des finances du Sénat à l'initiative de votre rapporteur, vise à garantir la possibilité pour l'utilisateur d'obtenir une indemnisation auprès des agrégateurs ou initiateurs lorsque ces derniers offrent des services non couverts par la directive.

En effet, si la directive 2015/2366 du 25 novembre 2015, dite « DSP 2 », n'est applicable qu'aux seuls comptes de paiement, ces nouveaux prestataires permettent d'ores et déjà aux utilisateurs de disposer d'une vision consolidée de leurs finances personnelles , en agrégeant les données de l'ensemble de leurs comptes et produits (comptes de paiement, livrets, contrats d'assurance vie, crédits, etc.) et en leur offrant la possibilité de réaliser des ordres depuis certains « comptes d'épargne ».

Or, l'absence d'encadrement des services proposés sur les comptes et produits autres que les comptes de paiement risque en pratique de ne pas permettre à l'utilisateur de se faire indemniser en cas de problème , dans la mesure où :

- la communication à un tiers de ses codes confidentiels par l'utilisateur est le plus souvent contraire aux dispositions contractuelles régissant le fonctionnement des comptes, ce qui devrait permettre aux banques gestionnaires de comptes de refuser de procéder à l'indemnisation ;

- les prestataires tiers, pour lesquels l'exigence de capital se limite à 50 000 euros au maximum, ne seraient vraisemblablement pas en mesure de procéder à l'indemnisation des clients si leur responsabilité était engagée, faute d'assurance souscrite à cet effet.

Dès lors, il était apparu que la question de l'indemnisation en cas de fuite de données ou de paiement non autorisé en lien avec des comptes et produits non couverts par la directive ne pouvait être laissée sans réponse .

B. UNE OBLIGATION D'ASSURANCE COMPLÉMENTAIRE AFIN DE PERMETTRE UNE INDEMNISATION EFFECTIVE DES CONSOMMATEURS

Afin de répondre à cette difficulté, le dispositif introduit par votre commission des finances comportait trois volets complémentaires ^{3 ( * )} .

Le I de l'article confirmait tout d'abord la possibilité d'engager la responsabilité du prestataire tiers, qui pouvait faire débat en présence de clauses contractuelles contraires lorsque le client est une entreprise ^{4 ( * )} .

Le II de l'article introduisait une obligation d'assurance complémentaire applicable aux prestataires de services de paiement qui fournissent le service mentionné au 7° (initiation de paiement) ou au 8° (information sur les comptes) du II de l'article L. 314-1 du code monétaire et financier.

Enfin, le III de l'article imposait aux prestataires entrant dans le champ de l'obligation d'assurance de s'immatriculer sur un registre unique, librement accessible et tenu par l'Autorité de contrôle prudentiel et de résolution (ACPR).

Il peut être noté que seuls les prestataires déjà agréés pour fournir leurs services sur les comptes de paiement entraient dans le champ des obligations d'assurance et d'immatriculation . En effet, il ne paraissait pas souhaitable de faire figurer sur la « liste blanche » de l'ACPR des prestataires tiers dont les systèmes de sécurité et de gestion des risques n'auraient pas été préalablement soumis à la procédure d'enregistrement ou d'agrément prévue par la directive.

Il doit en outre être précisé que l'obligation d'assurance complémentaire vise à couvrir deux grands types de risques qui ne sont pas de même nature et ne concernent pas les mêmes comptes et produits .

Le risque de fuite des données concerne ainsi l'ensemble des comptes et produits entrant dans le champ du dispositif :

- comptes sur livret ;

- comptes à terme ;

- comptes-titres ;

- comptes liés aux produits d'épargne générale à régime fiscal spécifique (livret A, épargne populaire, livret jeune, livret de développement durable et solidaire, épargne-logement, plan d'épargne en actions, compte PME innovation, épargne codéveloppement et compte épargne d'assurance pour la forêt) ;

- crédits immobiliers ;

- crédits à la consommation ;

- bons, contrats de capitalisation ou contrats d'assurance vie.

À l'inverse, le risque d'opération frauduleuse ne concerne pas tout le spectre des comptes et produits précités . Pour certains (par exemple les crédits immobiliers), aucun ordre de virement ne peut par définition être passé. Pour d'autres (par exemple les plans d'épargne en actions), la possibilité de réaliser un ordre est déjà subordonnée au respect de règles strictes assurant un haut degré de protection aux utilisateurs. Ainsi, même le simple conseil en investissement suppose de pouvoir justifier, à tout moment, de l'existence d'une assurance responsabilité civile professionnelle ^{5 ( * )} .

Le risque d'opération non-autorisée ne porte donc que sur les « comptes d'épargne » (comptes sur livret, comptes à terme et comptes liés aux produits d'épargne réglementée) pour lesquels il est possible de réaliser un ordre vers un compte externe .

À cet égard, il peut être observé que la lettre de la réglementation générale applicable aux comptes sur livret exclut en principe les virements externes . En effet, d'après la décision de caractère général n° 69-02 du 8 mai 1969 du Conseil national du crédit, toujours en vigueur, les virements autorisés sur les comptes sur livret se limitent « à des virements de ou à son compte à vue » (premier alinéa du 2 du B de l'article 2) - étant précisé que sont ensuite visés les seuls comptes « ouverts dans le même établissement » (deuxième alinéa du même 2). Il est en outre indiqué au paragraphe suivant que « c hacun des virements du compte sur livret au compte à vue doit faire l'objet d'une demande expresse du titulaire du compte » - ce qui exclut ainsi la possibilité de passer automatiquement par le compte à vue pour réaliser un virement externe depuis un compte sur livret. Ces dispositions sont applicables à la plupart des produits d'épargne réglementée par renvoi ^{6 ( * )} , moyennant certaines adaptations ^{7 ( * )} .

Pourtant, différents établissements proposent aujourd'hui la possibilité de réaliser des virements externes depuis ces comptes et produits, non seulement vers un compte du titulaire ouvert au sein d'un autre établissement mais aussi vers des tiers .

S'agissant du premier cas (virement externe vers un compte dont le client est titulaire), la légalité de l'opération peut être admise en adoptant une interprétation souple de la décision générale précitée. Il s'agit toutefois indéniablement d'une source de fragilité justifiant une obligation d'assurance complémentaire . En effet, à la suite de l'entrée en vigueur de la directive « DSP 1 », la Cour de cassation estime désormais que l'identifiant unique - c'est-à-dire, en pratique, le numéro du compte - suffit pour que l'établissement réceptionnaire exécute automatiquement l'ordre ^{8 ( * )} , alors qu'elle avait par le passé exigé que ce dernier vérifie la cohérence entre le numéro de compte et le nom du titulaire ^{9 ( * )} .

S'agissant du second cas (virement externe vers un compte détenu par un tiers), la réglementation ne semble pas appliquée par tous les établissements bancaires . De ce fait, certains agrégateurs et initiateurs permettent d'ores et déjà à leurs clients de réaliser des virements externes depuis leurs livrets vers des comptes tiers.

En tout état de cause, le dispositif introduit par la commission des finances renvoyait au pouvoir réglementaire le soin de définir, pour chaque compte ou produit visé, le périmètre de l'obligation d'assurance complémentaire, en fonction du risque encouru .

II. LES MODIFICATIONS APPORTÉES PAR L'ASSEMBLÉE NATIONALE EN NOUVELLE LECTURE

L'échec de la commission mixte paritaire est dû au désaccord avec nos collègues députés sur le présent article.

Dès lors, la commission des finances de l'Assemblée nationale a sans surprise adopté en nouvelle lecture, à l'initiative de notre collègue députée Nadia Hai, rapporteur, un amendement de suppression du dispositif .

III. LA POSITION DE VOTRE COMMISSION DES FINANCES

A. UNE SOLUTION NATIONALE TRANSITOIRE NÉCESSAIREMENT IMPARFAITE

Deux principaux motifs ont été invoqués par nos collègues députés pour justifier la suppression du présent article.

Sur le plan des principes, l'obligation d'assurance constituerait une forme de « surtransposition », ce que conteste votre rapporteur .

La directive se distingue du règlement par les marges de manoeuvre qu'elle laisse aux États membres pour atteindre les objectifs fixés. La « surtransposition » doit dès lors être entendue comme le fait d'utiliser ces marges de manoeuvre pour imposer des exigences réglementaires excessives, allant au-delà du minimum requis pour atteindre l'objectif fixé par la norme européenne.

Dans le cas présent, le dispositif d'assurance complémentaire ne s'inscrit pas dans ce débat sur les marges de manoeuvre laissées aux États membres. En effet, il vise à encadrer une activité qui se situe hors du champ de la directive. Considérer qu'il s'agit là d'une « surtransposition » reviendrait dès lors à interdire au législateur national de se saisir des sujets non couverts par le droit européen.

Au-delà de la question de la « surtransposition », le dispositif pourrait d'après nos collègues députés entraîner des effets pervers et se heurter à des difficultés d'application .

À cet égard, votre rapporteur admet bien volontiers qu'une solution européenne est indispensable et qu'une solution nationale, nécessairement imparfaite, ne peut être prise qu'à titre transitoire sur un marché aussi intégré que celui des services de paiement.

Il est toutefois apparu difficile d'attendre une éventuelle nouvelle directive dont les négociations n'ont pas commencé , compte tenu des enjeux pour les consommateurs.

Il peut à cet égard être souligné qu'il existe en la matière des précédents. La loi dite « Sapin 2 » du 9 décembre 2016 ^{10 ( * )} a par exemple interdit la publicité pour les produits financiers « toxiques » dans l'attente d'une solution européenne, qui est finalement intervenue en mars 2018 ^{11 ( * )} , avec l'interdiction de commercialisation décidée par le « gendarme » européen des marchés financiers. Dans ce cas, le fait d'avoir « anticipé » sur la solution européenne en mettant en place une solution nationale transitoire a permis de protéger efficacement les épargnants français ^{12 ( * )} .

Toute la question est donc de savoir si les inconvénients induits par l'adoption d'une solution nationale transitoire excèdent les bénéfices attendus en termes de protection des consommateurs .

Nos collègues députés soulignent ainsi que le dispositif porté par le Sénat engendrerait des distorsions de concurrence au détriment des acteurs français.

Ce point peut toutefois être nuancé. En effet, l'obligation d'assurance complémentaire pourrait être appliquée aux prestataires étrangers au titre de leur activité en France en étant déclarée « d'ordre public » . Cela exige qu'elle réponde à des objectifs d'intérêt général au sens du droit européen, ce qui semble manifestement être le cas. C'est d'ailleurs sur le fondement de la protection des épargnants que l'interdiction de la publicité pour les produits « toxiques » avait été prise.

Il est en revanche avéré que le contrôle de son respect ne pourrait pas s'appuyer sur le dispositif de coopération renforcée entre les autorités nationales de régulation introduit par la directive « DSP 2 ».

Au-delà des distorsions de concurrence, cette obligation d'assurance conduirait par ailleurs, selon nos collègues députés, à donner aux utilisateurs un « faux sentiment de sécurité » .

Il existe effectivement un risque que les prestataires tiers décident de s'assurer auprès d'entreprises installées dans des pays peu regardants sur le plan prudentiel. Des défaillances d'assureurs ont d'ailleurs pu être observées dans certains secteurs tels que la construction.

Il s'agit toutefois d'une difficulté commune à toutes les obligations d'assurance et non spécifique au dispositif introduit par le Sénat.

B. DES ENGAGEMENTS DU GOUVERNEMENT AFIN DE RÉPONDRE AUX DIFFICULTÉS SOULEVÉES PAR LE SÉNAT : UNE SIMPLE « PREMIÈRE ÉTAPE »

En tout état de cause, le dispositif introduit par le Sénat aura eu le mérite d' encourager le Gouvernement à se saisir du sujet des comptes non couverts par la directive .

Trois engagements ont ainsi été pris successivement devant le Sénat et l'Assemblée nationale.

Premièrement, le Gouvernement a indiqué qu'il engagerait une « mission de réflexion pour formuler des propositions adéquates à porter auprès de nos partenaires européens et de la Commission européenne » pouvant « le cas échant, conduire à formuler toute mesure transitoire pertinente à adopter au niveau national » ^{13 ( * )} .

Deuxièmement, la Commission européenne a été saisie par le Gouvernement pour « établir un cadre juridique unifié au niveau européen sécurisant l'utilisation de l'ensemble des données financières individuelles et incluant les données issues de comptes d'épargne » ^{14 ( * )} .

Enfin, le Gouvernement entend saisir la Commission nationale de l'informatique et des libertés (CNIL) concernant les modalités d'accès aux comptes non couverts par la directive ^{15 ( * )} .

En effet, le règlement général sur la protection des données (RGPD) ^{16 ( * )} est applicable à tout traitement de données à caractère personnel, ce qui inclut ainsi les données liées à des comptes et produits non couverts par la directive « DSP 2 ». En matière de sécurité, le responsable du traitement est tenu de mettre en oeuvre les mesures appropriées pour garantir un niveau de sécurité adapté. Dans ce cadre, la CNIL dispose d'outils de régulation permettant de guider les acteurs dans leur démarche de conformité. Concrètement, la CNIL pourrait ainsi édicter des « lignes directrices » concernant les modalités d'accès aux comptes non couverts par la directive, en coopération avec la Banque de France, l'ACPR et l'Agence nationale de la sécurité des systèmes d'information (ANSSI).

Ces engagements constituent indéniablement un « premier pas » allant dans la bonne direction mais il faut souligner que la solution proposée par le Gouvernement pose aussi des difficultés .

En effet, les « lignes directrices » de la CNIL n'ont pas de valeur contraignante mais visent à « accompagner les professionnels du secteur à la bonne compréhension et à l'application pratique des principes du RGPD devant être respectés par les prestataires tiers dans la mise en oeuvre de leurs traitements, que ceux-ci s'inscrivent strictement dans le champ de la directive « DSP 2 » (fourniture des services sur des comptes de paiement) ou aillent au-delà » ^{17 ( * )} .

En outre, l'encadrement des modalités d'accès aux comptes non couverts par la directive ne suffit pas à résoudre le problème identifié . En effet, ainsi que le reconnaît l'ACPR, l'agrément prévu par la directive « DSP 2 » n'est certes délivré que sur l'activité relative aux seuls comptes de paiement, mais « les dispositifs de contrôle, de gestion des risques et de sécurité, dont la qualité est une condition de l'agrément délivré, sont en pratique les mêmes pour les comptes d'épargne et les comptes de paiement » ^{18 ( * )} . Ce qui constitue le « coeur » du problème , c'est bien le risque que les prestataires tiers se trouvent dans l'incapacité d'indemniser les utilisateurs en cas de piratage . Or, les exemples récents constatés sur des sites internet d'entreprises pourtant reconnus pour leur compétence en matière informatique suggèrent qu'il ne s'agit pas d'un risque théorique.

Aussi, au stade de la nouvelle lecture et alors que l'examen du projet de loi s'achèvera très prochainement, votre rapporteur propose d'interpeller le Gouvernement sur ce sujet en séance publique , afin de lui faire confirmer ses engagements et de rappeler que la solution qu'il propose ne peut constituer qu'une « première étape ».

Décision de la commission : votre commission a confirmé la suppression de cet article.

ARTICLE 1er ter
(Art. 34 de l'ordonnance n° 2017-1252 du 9 août 2017)

Modalités transitoires de communication entre prestataires de services
de paiement et gestionnaires de comptes

. Commentaire : le présent article prévoit qu'un décret définisse des modalités transitoires de communication entre les prestataires de services de paiement et les gestionnaires de comptes, dans l'attente de l'entrée en vigueur en septembre 2019 des normes techniques de réglementation définissant les modalités de communication standardisée au niveau européen.

Cet article, adopté en première lecture par l'Assemblée nationale à l'initiative du Gouvernement et après un avis favorable de la commission des finances, permet au pouvoir réglementaire de définir les dispositions transitoires de communication entre les prestataires de services de paiement, les gestionnaires de comptes et les utilisateurs , dans l'attente de l'entrée en application des normes techniques de réglementation européennes en septembre 2019. Le décret pris sur ce fondement vise ainsi à anticiper l'entrée en application des dispositions des normes techniques réglementaires relatives aux modalités de communication sécurisée telles que prévues par l'acte délégué adopté en mars 2018 en vertu du 1 de l'article 98 de la directive, qui n'entrera en application que 18 mois plus tard.

*

À l'initiative de votre rapporteur, la commission des finances du Sénat avait complété le dispositif initial en précisant que les modalités de communication transitoires définies par le décret devraient être conformes aux dispositions des normes techniques de réglementation européenne qui trouveront à s'appliquer à compter de septembre 2019 ^{19 ( * )} .

*

En nouvelle lecture, la commission des finances de l'Assemblée nationale a adopté, à l'initiative de notre collègue députée Nadia Hai, rapporteur, deux amendements rédactionnels .

Décision de la commission : votre commission a adopté cet article sans modification.

ARTICLE 2
(Art. L. 133-1, L. 133-2, L. 133-28, L. 133-39, L. 133-40, L. 133-41 et L. 133-45 du code monétaire et financier)

Corrections apportées aux dispositions de l'ordonnance relatives
aux instruments de paiement et à l'accès aux comptes

. Commentaire : le présent article prévoit diverses corrections aux dispositions de l'ordonnance et précise les obligations d'information à la charge des prestataires de paiement à l'adresse des utilisateurs de services de paiement professionnels s'agissant des procédures de règlement extrajudiciaire à leur disposition.

Le présent article procède à plusieurs corrections des dispositions de l'ordonnance du 9 août 2017 ^{20 ( * )} , que l'article 1 ^er du présent projet de loi propose de ratifier.

Le 1° du présent article modifie l'article L. 133-1 du code monétaire et financier, afin de rétablir une disposition supprimée accidentellement par l'ordonnance. Elle précise que les opérations de paiement effectuées entre prestataires de services de paiement pour leur propre compte n'entrent pas dans le périmètre d'application des règles prévues pour les instruments de paiement et l'accès aux comptes ^{21 ( * )} .

Le 3° transpose le point b) de l'article 63 de la directive oublié par l'ordonnance. À cet effet, il modifie l'article L. 133-28 du code monétaire et financier encadrant les possibilités de déroger au droit commun pour les opérations de faibles montants. Dans le cas d'une utilisation anonyme de l'instrument de paiement ou de l'impossibilité pour le prestataire de prouver qu'une opération a été autorisée, il est prévu que le payeur et le prestataire de services de paiement peuvent déroger par contrat aux deux règles suivantes :

- l'absence de conséquences financières pour le payeur qui a perdu ou s'est fait voler son instrument de paiement et a prévenu son prestataire de services de paiement pour qu'il le bloque ;

- l'obligation pour le prestataire de services d'initiation de paiement de prouver que l'ordre de paiement a été reçu par le gestionnaire et correctement exécuté , dans le cas où l'utilisateur nie avoir exécuté l'opération ou affirme qu'elle a été mal exécutée.

Les 2° et 4° à 8° procèdent à des mesures de coordination et à des modifications rédactionnelles aux articles L. 133-2, L. 133-19, L. 133-40 et L. 133-41 du code monétaire et financier.

*

En première lecture, à l'initiative de notre collègue députée Nadia Hai, rapporteur, la commission des finances de l'Assemblée nationale avait adopté un amendement rédactionnel.

En séance publique, l'Assemblée nationale avait également adopté, après un avis favorable de la commission des finances, un amendement du Gouvernement visant à clarifier les obligations d'information à la charge des prestataires de services de paiement à l'adresse des utilisateurs de services de paiement professionnels concernant les procédures de règlement extrajudiciaire qui sont à leur disposition .

À l'initiative de votre rapporteur, la commission des finances du Sénat avait, en première lecture, complété le présent article en adoptant quatre amendements visant à améliorer la cohérence des dispositions du code monétaire et financier avec la rédaction de la directive.

*

En nouvelle lecture, à l'initiative de notre collègue députée Nadia Hai, rapporteur, la commission des finances de l'Assemblée nationale a adopté trois amendements rédactionnels .

Décision de la commission : votre commission a adopté cet article sans modification.

ARTICLE 3
(Art. L. 351-1 du code monétaire et financier)

Correction d'une erreur de référence

. Commentaire : le présent article prévoit diverses mesures de coordination et procède à la correction d'une erreur de référence.

Le présent article procède à diverses mesures de coordination et à la correction d'une erreur de référence au sein du code monétaire et financier.

En première lecture, à l'initiative de notre collègue députée Nadia Hai, rapporteur, et après un avis favorable du Gouvernement, l'Assemblée nationale l'avait complété afin de procéder aux coordinations rendues nécessaires par la nouvelle rédaction de l'article L. 351-1 du code monétaire et financier, issue de l'article 16 de l'ordonnance du 4 octobre 2017 relative à la dématérialisation des relations contractuelles dans le secteur financier ^{22 ( * )} , qui entre en vigueur le 1 ^er avril 2018.

*

En première lecture, à l'initiative de votre rapporteur, la commission des finances du Sénat avait adopté un amendement de coordination visant à prendre en compte les rédactions des articles L. 312-1-1 et L. 314-13 du code monétaire et financier qui devraient entrer en vigueur à compter du 1 ^er avril 2018 au sein des articles L. 314-5 et L. 351-1 du même code.

*

En nouvelle lecture, à l'initiative de notre collègue députée Nadia Hai, députée, la commission des finances de l'Assemblée nationale a adopté un amendement rédactionnel .

Décision de la commission : votre commission a adopté cet article sans modification.

ARTICLE 4
(Art. L. 521-3-2, L. 522-3, L. 522-8, L. 522-13, L. 525-9, L. 526-19, L. 526-24, L. 526-28 et L. 561-2 du code monétaire et financier)

Dispositions de coordination et corrections de rédaction au titre II
du livre V du code monétaire et financier

. Commentaire : le présent article prévoit les modalités de contrôle applicable aux instruments de paiement spécifiques et procède à diverses mesures de coordination ainsi que de corrections rédactionnelles ou de références dans plusieurs articles du code monétaire et financier.

Le présent article procède à :

- des mesures de coordination omises par l'ordonnance du 9 août 2017 aux articles L. 522-3 et L. 526-28 du code monétaire et financier ;

- des améliorations rédactionnelles aux articles L. 522-8, L. 522-13 et L. 526-24 du même code ;

- des corrections de références résultant d'erreurs de l'ordonnance du 9 août 2017 aux articles L. 526-9, L. 526-19, L. 526-28, L. 561-12 et L. 561-2 du même code.

*

En première lecture, à l'initiative du Gouvernement et avec l'avis favorable de la commission des finances, l'Assemblée nationale avait adopté un amendement visant à préciser les modalités de contrôle applicables aux instruments de paiement spécifiques. Pour mémoire, il s'agit d'instruments de paiement ne pouvant être utilisés que de manière limitée comme, par exemple, les cartes prépayées.

À l'initiative de votre rapporteur, la commission des finances du Sénat avait adopté un amendement de correction d'une erreur matérielle ainsi que trois amendements tendant à mettre en cohérence plusieurs articles du code monétaire et financier avec la nouvelle rédaction de l'article 3 de la directive du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.

En particulier, il s'agissait de mettre en cohérence les articles L. 521-3 et L. 525-5 du code monétaire et financier avec la nouvelle rédaction figurant à l'article 3 de la directive du 25 novembre 2015, dite « DSP 2 », qui restreint le champ de l'exception prévue pour les réseaux limités.

Jusqu'à présent, la fourniture de moyens de paiement utilisés au sein d'un réseau limité d'accepteurs ou pour l'acquisition d'un « éventail limité » de biens ou services (par exemple, les cartes d'enseigne, les titres-repas, etc.) pouvait être exemptée des obligations applicables aux services de paiement.

Face au constat d'une application du régime d'exclusion au-delà de la portée qu'il était censé avoir dans certains États membres, ce qui implique des risques pour les utilisateurs, la nouvelle rédaction de l'article 3 précité de la directive resserre les conditions d'application du régime d'exclusion : les instruments ne doivent désormais pouvoir être utilisés que pour acquérir un éventail « très » limité de biens ou services.

Toutefois, l'ordonnance n'avait pas transposé cette restriction, le Gouvernement considérant que l'ajout de cet adverbe serait « superfétatoire » d'un point de vue légistique.

Votre rapporteur avait estimé plus prudent de transposer ce terme, dans la mesure où il traduit une volonté politique et pourrait fournir une base légale à l'Autorité de contrôle prudentiel et de résolution (ACPR) pour limiter les dérogations prises sur ce fondement.

*

En nouvelle lecture, à l'initiative de notre collègue députée Nadia Hai, rapporteur, la commission des finances de l'Assemblée nationale a adopté deux amendements . Le premier supprime l'ajout de l'adverbe « très » pour revenir à la version initiale du Gouvernement . Le second procède à la correction d'une erreur .

Au stade de la nouvelle lecture, votre rapporteur considère que ce retour au texte initial ne constitue pas un obstacle à l'adoption de l'article , cette modification n'étant pas d'une ampleur majeure.

Décision de la commission : votre commission a adopté cet article sans modification.

ARTICLE 6
(Art. L. 741-2-1 A, L. 743-2, L. 743-3, L. 743-7-1, L. 745-8, L. 745-8-1, L. 745-8-4, L. 745-8-5, L. 745-13, L. 746-2, L. 751-2-1, L. 751-2-1 A, L. 753-2, L. 753-3, L. 753-7-1, L. 755-8, L. 755-8-1, L. 755-8-4, L. 755-8-5, L. 755-13, L. 756-2, L. 761-1-2, L. 761-1-2 A, L. 763-2, L. 763-3, L. 763-7-1, L. 765-8, L. 765-8-1, L. 765-8-4, , L. 765-8-5, L. 765-13 et L. 766-2 du code monétaire et financier)

Dispositions de coordinations et corrections d'erreurs de rédaction relatives à l'application de l'ordonnance n° 2017-1252 du 9 août 2015 en Nouvelle-Calédonie, en Polynésie française et à Wallis-et-Futuna

. Commentaire : le présent article prévoit les coordinations rendues nécessaires dans les articles précisant les règles d'application et les adaptations requises en Nouvelle-Calédonie, en Polynésie-française et à Wallis-et-Futuna.

Le présent article modifie les articles du livre VII du code monétaire et financier relatif au régime de l'outre-mer afin d'actualiser la liste des dispositions de l'ordonnance du 9 août 2017 applicables à la Nouvelle-Calédonie, à la Polynésie-française et à Wallis-et-Futuna.

De façon générale, les dispositions relatives aux instruments de paiement, à l'accès aux comptes et aux services de paiement sont applicables dans ces territoires d'outre-mer si le prestataire de services de paiement du bénéficiaire et celui du payeur sont situés sur le territoire de la République et que l'opération est effectuée en euros ou en francs Pacifique (CFP).

Il s'agit donc d'un aménagement par rapport aux règles d'extraterritorialité prévues par l'ordonnance, dont les dispositions s'appliquent lorsque l'un des prestataires est situé en France métropolitaine et l'autre dans un État partie à l'Espace économique européen (EEE).

*

En première lecture, à l'initiative de notre collègue députée Nadia Hai, rapporteur, l'Assemblée nationale avait procédé à des corrections d'erreurs matérielles et à des modifications rédactionnelles .

À l'initiative de votre rapporteur, la commission des finances du Sénat avait supprimé les dispositions du 5° du présent article concernant l'article L. 753-2 du code monétaire et financier, rendues caduques par l'ordonnance du 14 février 2018 relative à l'extension en Nouvelle-Calédonie, en Polynésie-française et à Wallis-et-Futuna, de diverses dispositions en matière bancaire et financière ^{23 ( * )} .

*

En nouvelle lecture, à l'initiative de notre collègue députée Nadia Hai, rapporteur, la commission des finances de l'Assemblée nationale a adopté deux amendements . Le premier procède à une précision rédactionnelle , tandis que le second complète les adaptations nécessaires au sein du code monétaire et financier.

En séance publique, à l'initiative de notre collègue députée Nadia Hai, rapporteur, et avec l'avis favorable du Gouvernement, l'Assemblée nationale a adopté deux nouveaux amendements de coordination.

Décision de la commission : votre commission a adopté cet article sans modification.

EXAMEN EN COMMISSION

Réunie mercredi 18 juillet 2018, sous la présidence de M. Vincent Éblé président, la commission a examiné le rapport pour avis en nouvelle lecture de M. Albéric de Montgolfier sur le projet de loi n° 644 (2017-2018), adopté par l'Assemblée nationale en nouvelle lecture, ratifiant l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur

M. Vincent Éblé , président . - Nous abordons ce matin l'examen, en nouvelle lecture, du projet de loi ratifiant l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 concernant les services de paiement dans le marché intérieur, dite « DSP 2 ».

La commission mixte paritaire (CMP) réunie le 19 avril dernier s'étant conclue par un constat de désaccord, l'Assemblée nationale a statué en nouvelle lecture le 5 juillet dernier. Nous examinerons quant à nous ce texte en séance les mardi 24 juillet et mercredi 25 juillet prochains. Aucun amendement n'a été déposé sur le texte au stade de la commission.

M. Albéric de Montgolfier , rapporteur . - Je ne reviens pas sur les apports de cette directive, qui améliore le marché intérieur des paiements et prend en compte les nombreuses évolutions survenues depuis la première directive « DSP 1 » en 2007 et notamment le formidable essor des Fintech .

En première lecture le Sénat avait adopté treize amendements au texte voté par l'Assemblée nationale, douze en commission et un en séance, présenté par le Gouvernement à l'article 3. Il s'agissait pour l'essentiel de mesures de correction, de coordination et d'amélioration. Nous avions soutenu les deux articles additionnels insérés par l'Assemblée nationale, ayant notamment pour objet d'introduire en France la pratique dite du cashback . Le Sénat, dans une démarche pragmatique, avait voté trois articles conformes sur les huit articles du texte de l'Assemblée nationale.

L'ordonnance procédait à une transposition globalement fidèle de la directive et faisait bon usage des marges de manoeuvre laissées aux États membres. Sa ratification ne posait donc pas de difficulté. Pourquoi, alors, la CMP a-t-elle échoué ? La divergence a porté sur un article introduit par notre commission des finances, qui visait à apporter une réponse au problème des comptes non couverts par la directive.

Ce point de divergence se confirme en nouvelle lecture à l'Assemblée nationale, mais sur les autres points, la quasi-totalité des améliorations apportées par le Sénat a été conservée. Six articles restaient en discussion après l'échec de la CMP.

L'article 1 ^er ter A relatif aux comptes non couverts demeure aujourd'hui la seule « pierre d'achoppement » avec nos collègues députés.

La directive « DSP 2 » encadre l'activité des agrégateurs de comptes et des initiateurs de paiement. Le consommateur télécharge une application, fournit les codes d'accès à ses comptes bancaires, et peut alors voir l'ensemble de ses comptes et effectuer des virements. Les agrégateurs doivent s'enregistrer ou obtenir un agrément auprès de l'Autorité de contrôle prudentiel et de résolution (ACPR) et sont tenus de communiquer avec le gestionnaire de compte par le biais d'un canal de communication sécurisé et standardisé. Surtout, en cas de fraude ou de fuite des données, l'utilisateur peut être indemnisé immédiatement par sa banque ; il revient ensuite à celle-ci de se retourner vers le prestataire tiers, qui doit souscrire une assurance. L'obligation d'assurance est cruciale, puisque l'exigence de capital minimum fixée par la directive pour ces nouveaux acteurs est limitée à 50 000 euros. Cela ne suffirait pas en cas de fraude massive...

Mais la directive - et donc l'ordonnance qui la transpose en droit français - ne concerne que les comptes de paiement, c'est-à-dire les comptes courants. Il s'agit d'une limite majeure, car les services actuellement offerts aux utilisateurs portent sur l'ensemble des comptes et produits d'épargne, livrets A, contrats d'assurance, comptes-titres... Ainsi, 80 % des comptes agrégés ne seraient pas des comptes de paiement.

Il existe donc un vide juridique dommageable pour les utilisateurs. Seuls les virements depuis un compte courant sont protégés. Pour les comptes non couverts par la directive, la banque ne serait pas contrainte d'indemniser l'utilisateur en cas de fraude ou de fuite des données, dans la mesure où ce dernier a révélé ses identifiants à un tiers.

Dès lors, il m'est apparu indispensable de proposer une mesure permettant de protéger les utilisateurs. Nous avons adopté une disposition contraignant les agrégateurs et les initiateurs à souscrire une assurance complémentaire pour les comptes non couverts. L'Assemblée nationale l'a supprimée.

Elle considère en particulier que l'obligation d'assurance constitue une forme de surtransposition. Je ne peux qu'être en désaccord sur ce point. Vous le savez, les États membres disposent de marges de manoeuvre pour atteindre les objectifs fixés par une directive. La surtransposition doit être entendue comme le fait d'utiliser ces marges de manoeuvre pour imposer des exigences réglementaires plus strictes, allant au-delà du minimum requis par la norme européenne. En première lecture, nous avons du reste vérifié que le Gouvernement avait correctement utilisé les latitudes laissées par la directive. Nous encadrons ici une activité qui se situe hors du champ de la directive. Considérer qu'il s'agit d'une surtransposition reviendrait à interdire au législateur national de se saisir des sujets non couverts par le droit européen ! Notre collègue Jean-François Rapin, qui s'est intéressé aux risques de surtransposition pour ce texte au nom de la commission des affaires européennes, a partagé notre point de vue.

L'Assemblée nationale et le Gouvernement considèrent en outre que le dispositif pourrait entraîner des effets pervers et se heurterait à des difficultés d'application. La ministre nous a affirmé qu'une solution serait proposée au plan européen, mais on ne peut l'espérer prochainement.

J'observe d'ailleurs qu'il existe des précédents. La loi Sapin 2 du 9 décembre 2016 a interdit la publicité pour les produits financiers toxiques, dans l'attente d'une solution européenne, qui est finalement intervenue en janvier dernier, avec l'interdiction de commercialisation décidée par l'autorité européenne des marchés financiers (AEMF). Nous avions sans attendre prononcé cette interdiction, pour protéger les épargnants français avant la solution européenne.

Le dispositif porté par le Sénat engendrerait aussi, nous dit-on, des distorsions de concurrence au détriment des acteurs français. Ce point me semble pouvoir être nuancé. L'obligation pourrait en effet être appliquée aux prestataires étrangers au titre de leur activité en France, puisqu'il existe bien un motif d'intérêt général au sens du droit européen.

Il est en revanche vrai que le contrôle de son respect ne pourrait pas s'appuyer sur la coopération renforcée entre les autorités nationales de régulation telle qu'introduite par la directive. Il existe en revanche une obligation générale de coopération entre les autorités, sur laquelle pourrait s'appuyer l'ACPR.

Cette obligation d'assurance, objectent enfin nos interlocuteurs, conduirait à donner aux utilisateurs un « faux sentiment de sécurité ». Certes, les prestataires tiers pourraient s'assurer auprès d'entreprises installées dans des pays peu regardants sur le plan prudentiel. Des défaillances d'assureurs ont pu être observées dans différents secteurs - en particulier dans la construction. Précisément, il s'agit d'une difficulté commune à toutes les obligations d'assurance, elle n'est pas spécifique à notre dispositif. C'est au régulateur européen des assurances d'intervenir sur ce point.

Quoi qu'il en soit, grâce au dispositif que nous avons adopté, nous avons conduit le Gouvernement à réfléchir à la question et à chercher des solutions pour l'examen en nouvelle lecture. Il s'est ainsi engagé sur trois points. Premièrement, Delphine Gény-Stephann, secrétaire d'État auprès du ministre de l'économie et des finances, nous avait indiqué en première lecture que le Gouvernement lancerait une « mission de réflexion pour formuler des propositions adéquates à porter auprès de nos partenaires européens et de la Commission européenne » - mais combien de temps de processus exigera-t-il ?

Deuxièmement, elle a indiqué devant l'Assemblée nationale que la Commission européenne a été saisie par le Gouvernement pour « établir un cadre juridique unifié au niveau européen sécurisant l'utilisation de l'ensemble des données financières individuelles et incluant les données issues de comptes d'épargne » .

Enfin et surtout, le Gouvernement entend saisir la Commission nationale de l'informatique et des libertés (CNIL) sur les modalités d'accès aux comptes non couverts par la directive. En effet, le règlement général sur la protection des données (RGPD) est ici applicable ; la CNIL dispose d'outils de régulation et elle pourrait édicter des « lignes directrices » concernant les modalités d'accès aux comptes non couverts par la directive. Un bémol toutefois : les lignes directrices de la CNIL n'ont pas de valeur contraignante. Il s'agit de droit souple.

Ce qui pose réellement problème, c'est le risque que les prestataires tiers se trouvent dans l'incapacité d'indemniser les utilisateurs en cas de problème. Les exemples récents de piratage et de fraude constatés sur des sites Internet reconnus, dotés d'importants systèmes de sécurité informatique, suggèrent qu'il ne s'agit pas d'un risque théorique.

Quoi qu'il en soit, nos efforts n'ont pas été vains et l'échec de la CMP a eu pour effet d'obliger le Gouvernement à revenir vers le Parlement avec des pistes de réflexion et des engagements. À ce stade de la navette, je ne vous propose ni d'opposer une question préalable, puisque sur le fond, nous sommes favorable à la directive transposée, ni de rétablir dès à présent le dispositif introduit par notre commission en première lecture, car ce serait assez vain...

Je compte interpeller le Gouvernement en séance publique, afin qu'il confirme ses engagements ; je lui rappellerai que sa solution ne peut constituer qu'une première étape, encore insuffisante. À cet effet, j'envisage de présenter un amendement de séance tendant à rétablir l'article 1 ^er ter A ou d'intervenir sur cet article supprimé. En fonction de ce que dira le Gouvernement, nous pourrions alors adopter le texte sans modification.

Ce serait un amendement d'appel, sur un problème qui n'avait pas été perçu par les députés mais que nous avons mis lumière et qui a ému les associations de consommateurs : le Gouvernement nous dira, j'espère, où il en est...

M. Bernard Lalande . - Nous conservons notre position et voterons l'amendement du rapporteur général en séance, au nom de la protection des consommateurs.

M. Albéric de Montgolfier , rapporteur . - Je pourrais aussi le retirer, pour assurer un vote conforme du texte.

M. Jérôme Bascher . - Comment voter le texte du projet de loi tel que renvoyé par l'Assemblée nationale ? Cela me semblerait impossible après l'attitude de nos collègues députés lors de la CMP ! Ne pas réagir face aux risques de fraude serait insupportable.

M. Albéric de Montgolfier , rapporteur . - Notre proposition n'était pas non plus parfaite. Elle a suscité une discussion intense avec le Gouvernement et l'Assemblée nationale. Ils ont reconnu qu'il y a là un vrai sujet. Le Gouvernement a avancé d'autres pistes qui peuvent être décevantes, je vous l'accorde.

M. Jean-Claude Requier . - Mon groupe soutiendra l'éventuel amendement. C'est un sujet très technique, mais c'est la protection du consommateur qui est en jeu.

M. Rémi Féraud . - Je partage la position du rapporteur général. Le Gouvernement a dit qu'il y travaillerait, il n'a pas encore trouvé de solution. S'il faut attendre deux ou trois ans un texte européen, le délai est trop long. D'autant que la directive « DSP 2 » est déjà en retard sur les innovations financières. La solution proposée au Sénat nous rassemblait. Il est dommage qu'elle n'ait pas été retenue. Cela ne doit pas nous conduire à rejeter le texte, car nous voulons ratifier la directive. Mais il y a un vrai problème, y compris de relations entre le Sénat, l'Assemblée nationale et le Gouvernement, sur une matière qui n'est pourtant pas clivante politiquement.

M. Albéric de Montgolfier , rapporteur . - Il est dommage que le délai depuis la CMP n'ait pas été davantage mis à profit par le Gouvernement. Nous verrons en séance ce à quoi il s'engage, notamment sur le rôle de l'ACPR, et j'attends des précisions sur l'action de la CNIL. Si les obligations informatiques sont réellement renforcées, contrôlées par l'ACPR, fort bien.

M. Philippe Dallier . - Sur les solutions de sécurité informatique, je ne vois pas ce que l'on pourrait inscrire de façon efficace. Les choses évoluent tellement vite...

M. Albéric de Montgolfier , rapporteur . - Bien sûr. Le Gouvernement pourra néanmoins nous indiquer quel dispositif il compte retenir.

M. Philippe Dallier . - Mais qu'est-ce qu'un niveau de sécurité renforcé ? J'ose espérer qu'en matière de produits financiers, le top niveau est déjà assuré... Notre idée de départ était la bonne.

M. Vincent Éblé , président . - Pour l'heure, c'est le texte de l'Assemblée nationale qui est soumis au vote de la commission.

M. Albéric de Montgolfier , rapporteur . - Je vous invite à l'adopter, puis je présenterai un amendement en séance publique.

Le projet de loi est adopté sans modification.

---

* ¹ Discours de Mme Delphine Gény-Stephann, secrétaire d'État auprès du ministre de l'économie et des finances lors de la séance du 22 mars 2018 au Sénat, dans le cadre de la discussion générale du projet de loi.

* ² Première séance du 5 juillet 2018 à l'Assemblée nationale.

* ³ Pour une description détaillée, voir le rapport n° 348 (2017-2018) d'Albéric de Montgolfier, fait au nom de la commission des finances et déposé le 14 mars 2018.

* ⁴ Les dispositions de droit commun en matière de responsabilité civile excluent l'introduction de telles clauses lorsque le client est un particulier.

* ⁵ Article D. 541-9 du code monétaire et financier.

* ⁶ Voir par exemple le I de l'article R. 221-5 pour le livret A.

* ⁷ Voir par exemple le II de l'article R. 221-5 et l'article 1 de l'arrêté du 4 décembre 2008 pris pour l'application de l'article R. 221-5 du code monétaire et financier pour le livret A.

* ⁸ Cour de cassation, Chambre commerciale, financière et économique, 24 janvier 2018, 16-22.336.

* ⁹ Voir par exemple : Cour de cassation, Chambre commerciale, 2 novembre 2016, 15-12.325. Dans cette affaire, la société Generali vie, qui avait découvert que des contrats d'assurance-vie faisaient l'objet, par l'intermédiaire de son logiciel de gestion, de rachats frauduleux, reprochait à la banque réceptionnaire d'avoir exécuté les ordres de virement en dépit d'un défaut de concordance entre la désignation des bénéficiaires et l'identité du titulaire du compte qui avait reçu les fonds.

* ¹⁰ Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique.

* ¹¹ Autorité européenne des marchés financiers, « L'ESMA convient d'interdire les options binaires et de restreindre les CFD afin de protéger les investisseurs de détail », communiqué de presse, mars 2018.

* ¹² Sur l'efficacité du dispositif transitoire, voir compte rendu de l'audition du mercredi 6 juin 2018 de Robert Ophèle, président de l'Autorité des marchés financiers.

* ¹³ Sénat, compte rendu de la séance du 20 mars 2018.

* ¹⁴ Assemblée nationale, compte rendu de la première séance du jeudi 5 juillet 2018.

* ¹⁵ Ibid .

* ¹⁶ Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

* ¹⁷ Réponses transmises par la CNIL à votre rapporteur.

* ¹⁸ Réponse de l'Autorité de contrôle prudentiel et de résolution au questionnaire du rapporteur.

* ¹⁹ Règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/2366 du Parlement européen et du Conseil par des normes techniques de réglementation relatives à l'authentification forte du client et à des normes ouvertes communes et sécurisées de communication, Journal officiel de l'Union européenne L69/23 du 13 mars 2018, pages 23 à 43.

* ²⁰ Ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.

* ²¹ Cette exclusion est expressément prévue par l'article 3 de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015.

* ²² Ordonnance n° 2017-1433 du 4 octobre 2017 relative à la dématérialisation des relations contractuelles dans le secteur financier.

* ²³ Ordonnance n° 2018-95 du 14 février 2018 relative à l'extension en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna, de diverses dispositions en matière bancaire et financière.