compte rendu intégral
Présidence de Mme Marie-Noëlle Lienemann
vice-présidente
Secrétaires :
Mme Agnès Canayer,
Mme Françoise Gatel.
1
Procès-verbal
Mme la présidente. Le compte rendu analytique de la précédente séance a été distribué.
Il n’y a pas d’observation ?…
Le procès-verbal est adopté sous les réserves d’usage.
2
Conventions internationales
Adoption en procédure d’examen simplifié de trois projets de loi dans les textes de la commission
Mme la présidente. L’ordre du jour appelle l’examen de trois projets de loi tendant à autoriser la ratification ou l’approbation de conventions internationales.
Pour ces trois projets de loi, la conférence des présidents a retenu la procédure d’examen simplifié.
Je vais donc les mettre successivement aux voix.
projet de loi autorisant la ratification de l’accord instituant la fondation internationale ue-alc
Article unique
Est autorisée la ratification de l’accord instituant la Fondation internationale UE-ALC, signé à Saint-Domingue le 25 octobre 2016, et dont le texte est annexé à la présente loi.
Mme la présidente. Je mets aux voix le texte adopté par la commission sur le projet de loi autorisant la ratification de l’accord instituant la Fondation internationale UE-ALC (projet n° 249, texte de la commission n° 357, rapport n° 356).
La commission des affaires étrangères, de la défense et des forces armées est favorable à l’adoption de ce texte.
(Le projet de loi est adopté.)
projet de loi autorisant la ratification du protocole n° 16 à la convention de sauvegarde des droits de l’homme et des libertés fondamentales
Article unique
Est autorisée la ratification du protocole n° 16 à la convention de sauvegarde des droits de l’homme et des libertés fondamentales, signé à Strasbourg le 2 octobre 2013, et dont le texte est annexé à la présente loi.
Mme la présidente. Je mets aux voix le texte adopté par la commission sur le projet de loi, adopté par l’Assemblée nationale, autorisant la ratification du protocole n° 16 à la convention de sauvegarde des droits de l’homme et des libertés fondamentales (projet n° 304, texte de la commission n° 359, rapport n° 358).
La commission des affaires étrangères, de la défense et des forces armées est favorable à l’adoption de ce texte.
(Le projet de loi est adopté définitivement.)
projet de loi autorisant la ratification de la convention internationale sur les normes de formation du personnel des navires de pêche, de délivrance des brevets et de veille (stcw-f)
Article unique
Est autorisée la ratification de la convention internationale sur les normes de formation du personnel des navires de pêche, de délivrance des brevets et de veille (STCW-F) (ensemble une annexe), adoptée à Londres le 7 juillet 1995, et dont le texte est annexé à la présente loi.
Mme la présidente. Je mets aux voix le texte adopté par la commission sur le projet de loi autorisant la ratification de la convention internationale sur les normes de formation du personnel des navires de pêche, de délivrance des brevets et de veille (STCW-F) (projet n° 582 [2016–2017], texte de la commission n° 355, rapport n° 354).
La commission des affaires étrangères, de la défense et des forces armées est favorable à l’adoption de ce texte.
(Le projet de loi est adopté.)
3
Services de paiement dans le marché intérieur
Adoption en procédure accélérée d’un projet de loi dans le texte de la commission modifié
Mme la présidente. L’ordre du jour appelle la discussion du projet de loi, adopté par l’Assemblée nationale après engagement de la procédure accélérée, ratifiant l’ordonnance n° 2017–1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (projet n° 292, texte de la commission n° 349, rapport n° 348, rapport d’information n° 345).
Dans la discussion générale, la parole est à Mme la secrétaire d’État.
Mme Delphine Gény-Stephann, secrétaire d’État auprès du ministre de l’économie et des finances. Madame la présidente, monsieur le rapporteur, mesdames, messieurs les sénateurs, le projet de loi présenté permet la ratification de l’ordonnance 2017–1252 qui transposait la directive « DSP 2 » de 2015.
La directive européenne n° 2015/2366, dite « services de paiement 2 », met à jour et complète le dispositif européen d’encadrement des services de paiement, en vue d’encourager cette activité dans le marché intérieur de l’Union européenne.
Cette directive constitue ainsi une mise à jour de la directive du 13 novembre 2007 relative aux services de paiement, dite « DSP 1 », qui avait introduit un premier cadre d’activité en complétant la typologie des acteurs bancaires. Cette directive a notamment créé le statut d’établissements de paiement, complété en 2009 par le statut d’établissements de monnaie électronique. La reconnaissance d’un statut spécifique a permis le développement de ces services très usuels aujourd’hui grâce aux paiements en ligne. Ces acteurs bénéficient notamment d’un régime simplifié par rapport aux établissements de crédit.
Quelles ont été les avancées permises par la directive DSP 2, dont nous achevons la ratification par ce projet de loi de ratification présenté aujourd’hui devant vous ?
Premièrement, la directive complète le cadre juridique applicable aux prestataires de services de paiement : supervision des prestataires de services de paiement, droits et obligations des parties à un service de paiement.
Deuxièmement, elle élève les standards de sécurité des transactions, en particulier en généralisant le principe d’une authentification forte pour les transactions en ligne.
Troisièmement, elle apporte une reconnaissance juridique à deux nouvelles catégories d’acteurs : les agrégateurs de comptes, qui offrent un accès pédagogique à l’information financière individuelle tant pour les entreprises que pour les particuliers ; les initiateurs de paiement, dont l’activité d’intermédiaire doit permettre de fluidifier la réalisation des virements.
La traduction dans notre droit de cette directive constitue une opportunité pour la place financière française et s’inscrit pleinement dans les objectifs poursuivis par le Gouvernement : favoriser l’innovation, renforcer la concurrence pour dynamiser la croissance, et améliorer les services rendus aux consommateurs et aux entreprises, tout en assurant un niveau de sécurité maximal des paiements.
La France a toujours été à la pointe de l’innovation en matière de paiements – nous avons ainsi été pionniers dans le paiement par carte à puce. Elle doit le demeurer, et continuer de l’afficher. C’est l’ambition que nous nous sommes donnée au travers de cette transposition.
Aussi le Gouvernement a-t-il souhaité transposer avec plusieurs mois d’avance cette directive, afin de permettre à l’ensemble des acteurs de la place de s’approprier ces nouvelles dispositions, d’asseoir la confiance du marché et d’attirer les innovateurs.
L’ordonnance portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur a ainsi été adoptée le 9 août 2017, avec près de six mois d’avance par rapport à sa date d’entrée en vigueur, faisant de la France l’un des premiers pays à transposer la directive, et le premier à avoir officiellement agréé un agrégateur de compte et initiateur de paiement.
Cette ordonnance a été prise sur le fondement de l’habilitation donnée au Gouvernement par la loi n° 2016–1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique.
Le projet de loi qui vous est soumis vise à procéder à la ratification de cette ordonnance par le Parlement.
Le Gouvernement souhaite au travers de ce texte compléter le dispositif défini dans l’ordonnance sur deux principaux points : l’accompagnement du nouveau service de remise d’espèces lors du passage en caisse, dit « cashback », et l’accélération de la sécurisation du dispositif issu de la directive.
En premier lieu, l’article 2 du projet de loi qui vous est présenté vise à accompagner le développement de la pratique du rendu d’espèces complémentaires à la demande du client lors d’un achat, plus connu sous l’appellation « cashback ».
Ce service existe chez la plupart de nos voisins, par exemple en Allemagne, en Espagne, en Belgique et au Royaume-Uni. La directive « services de paiement 2 » indique que ce service peut, en théorie, être fourni sans être soumis aux règles prévalant pour les services de paiement. Elle laisse de fait très largement aux États le soin d’en définir les modalités pratiques d’exercice.
Ce service présente de nombreux avantages sur lesquels je souhaite attirer votre attention.
C’est un net progrès pour favoriser l’accès aux services financiers de base pour tous les Français, qui permettra de répondre à l’isolement des territoires les plus reculés, dont les relais d’accès aux espèces sont souvent trop limités ou éloignés. C’est un sujet sur lequel, je le sais, les élus locaux sont très mobilisés.
C’est une opportunité de services nouveaux pour les consommateurs et pour les commerçants : ce service permettra d’attirer davantage de clientèle, par l’ouverture d’un service additionnel. Il offrira un moyen de gérer plus efficacement les encours en caisse pour les commerçants. Les associations de commerçants écoutées sur ce sujet ont souligné leur intérêt pour l’apparition d’un tel service.
Le dispositif que nous proposons dans ce projet de loi permettra ainsi d’offrir un cadre lisible et stable pour les commerçants, afin d’encourager cette pratique, mais également d’assurer la qualité de la circulation de la monnaie fiduciaire sur l’ensemble du territoire et de prévenir les risques de blanchiment en précisant ses modalités, par la fixation de seuils de retrait par voie réglementaire.
En deuxième lieu, le Gouvernement propose de mettre en œuvre sans attendre le dispositif de sécurisation des conditions d’exercice des initiateurs de paiement et agrégateurs de compte.
La directive DSP 2 prévoit que l’essentiel de ses dispositions entre en vigueur au 13 janvier 2018. La directive renvoie toutefois à une norme technique réglementaire, ou NTR, de l’Autorité bancaire européenne, l’ABE, un pan essentiel du dispositif, relatif aux modalités informatiques d’accès aux comptes de paiement par les nouveaux acteurs.
Concrètement, cette norme technique détaille le fonctionnement des interfaces de communication sécurisées, appelées « API », par lesquelles ces acteurs pourront accéder, en pleine sécurité, aux données individuelles de comptes bancaires. Mais cette norme, qui a été publiée tout récemment, n’entrera en vigueur que 18 mois plus tard, soit en septembre 2019.
Il nous semble que cette période transitoire peut engendrer des risques en termes de cybersécurité pour l’ensemble des acteurs, car elle conduit à pérenniser pendant cette durée la pratique actuelle dite du « web scraping », qui consiste, en récupérant les identifiants et mots de passe de l’usager, à accéder pour lui à son compte bancaire en ligne.
Le gouverneur de la Banque de France et le directeur général de l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, nous ont alertés sur les risques, lesquels seront maîtrisés une fois les API disponibles et applicables, en vertu de cette norme technique.
Il est donc proposé d’anticiper son entrée en vigueur, afin que, pour les banques prêtes en avance, l’API puisse être testée et rendue obligatoire, et ce dès la fin de 2018, si elle satisfait aux exigences de performance et de qualité définies par la norme technique et qu’elles assurent que les nouveaux acteurs tiers pourront continuer d’exercer leur activité. Cette disposition a pour objectif de garantir la protection des utilisateurs de ce type de service.
Enfin, et pour conclure, nous savons que la transposition de cette directive a suscité des questions sur les modalités d’exercice des nouveaux acteurs tiers, notamment lorsque ceux-ci accèdent aux données de comptes d’épargne.
La directive DSP 2 se limite à encadrer l’accès, par les agrégateurs de comptes et initiateurs de paiement, aux comptes de paiement et ne traite pas de l’accès aux autres comptes – épargne, crédit, ou autres. Les négociateurs européens s’en sont tenus au champ qui avait été identifié par la directive, ce que l’on peut comprendre. Mais l’accès aux données sensibles des comptes tels que les comptes d’épargne ou les comptes titres mérite un cadre aussi sécurisé que celui qui est prévu pour l’accès aux données de comptes de paiement. Le nouvel article 1er ter introduit par le rapporteur et adopté par la commission des finances met le doigt sur cette difficulté.
Le Gouvernement partage la volonté de soutenir les acteurs innovants tout en maîtrisant les risques attachés à leur activité pour ce qui dépasse le champ de la directive DSP 2.
Toutefois, il nous semble que la réponse à cette question passe en premier lieu par une modification des textes européens. Le Gouvernement s’est engagé à lutter contre toutes les surtranspositions du droit européen à l’échelle nationale, notamment pour ce qui concerne le droit financier.
La raison en est simple : alors que nous faisons des efforts importants pour renforcer l’attractivité de notre place financière en vue d’attirer davantage d’acteurs et d’institutions en France, notamment dans le secteur porteur des paiements, il serait peu compréhensible que nous imposions aux acteurs qui se développent chez nous des règles supplémentaires qui n’existent pas ailleurs. Or l’obligation de disposer d’une assurance de responsabilité civile professionnelle ou d’une assurance comparable associée à une obligation d’enregistrement engendre des formalités dont l’impact doit être soigneusement évalué, dans un contexte très concurrentiel au niveau européen.
Ainsi, tout en rejoignant la préoccupation du rapporteur, il nous semble qu’un travail complémentaire est indispensable pour calibrer au mieux les modalités d’encadrement de l’accès aux comptes d’épargne, et sur cette base, pour engager dans les meilleurs délais une modification du droit européen.
Nous devrons en effet réfléchir à une intervention au niveau national, sur la base d’une étude d’impact plus documentée que celle dont nous disposons aujourd’hui. À cet effet, nous engagerons une mission de réflexion pour formuler des propositions adéquates à porter auprès de nos partenaires européens et de la Commission européenne. Cette réflexion pourra, le cas échant, conduire à formuler toute mesure transitoire pertinente à adopter au niveau national. (Applaudissements sur les travées du groupe La République En Marche.)
Mme la présidente. La parole est à M. le rapporteur général.
M. Albéric de Montgolfier, rapporteur général de la commission des finances. Madame la présidente, madame la secrétaire d’État, mes chers collègues, le Sénat est amené à examiner le présent projet de loi qui, transmis par l’Assemblée nationale et faisant l’objet de la procédure accélérée – une procédure qui tend à devenir la procédure normale –, vise à ratifier l’ordonnance du 9 août 2017, laquelle porte elle-même transposition de la directive du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, communément appelée « DSP 2 ».
En effet, cette directive fait suite à une première initiative européenne qui, avec la directive « DSP 1 » du 13 novembre 2007, avait mis fin au « monopole » des banques sur la fourniture de services de paiement.
Cette première directive a ainsi permis, en ouvrant ces marchés à la concurrence, de favoriser l’émergence de nouveaux acteurs ainsi que l’innovation, comme en témoigne l’essor du porte-monnaie électronique Moneo ou encore le Compte-Nickel, qui permettent d’offrir de nouveaux services à des populations qui étaient parfois éloignées des services bancaires traditionnels.
Cette seconde directive, « DSP 2 », vise à prendre en compte les nombreuses évolutions survenues depuis 2007. Pour ne donner qu’un chiffre, 40 % des 1 400 fintech interviennent dans le secteur des moyens de paiement.
Au sein de cette catégorie, de nouveaux acteurs permettent, en particulier, aux clients des banques d’accéder de façon consolidée aux données de l’ensemble de leurs comptes et produits d’épargne, ou encore d’initier des ordres de paiement et – pourquoi pas ? – des placements.
Ces activités d’agrégateurs de comptes et d’initiateurs de paiement se sont développées hors de tout cadre réglementaire, tout en connaissant une croissance très rapide. Nous le disions hier en commission, la pratique en la matière va beaucoup plus vite que le droit : 4 millions de consommateurs ont ainsi déjà eu recours à un agrégateur en France, et 2,5 millions, à un initiateur de paiement.
Dans ce contexte, la directive de 2015 encadre l’activité de ces nouveaux acteurs et améliore le fonctionnement du marché intérieur des paiements. À cet effet, elle poursuit quatre objectifs principaux : reconnaître ces nouveaux acteurs et réglementer leurs relations avec les gestionnaires de compte et les utilisateurs ; renforcer les exigences de sécurité pour l’ensemble des paiements électroniques ; lutter contre le risque d’arbitrage réglementaire ; garantir un meilleur niveau de protection aux consommateurs dans leurs relations avec les prestataires de services de paiement.
L’ordonnance prévoit une transposition globalement fidèle de la directive et fait bon usage des marges de manœuvre laissées aux États membres. Sa ratification ne pose donc pas de difficulté. Les corrections, coordinations et améliorations techniques figurant dans le présent projet de loi étaient nécessaires. La commission des finances les a, je crois, utilement complétées à l’occasion de l’établissement du texte qui vous est proposé aujourd’hui. Ainsi, dix amendements ont été adoptés en commission pour améliorer la cohérence de l’ordonnance avec la directive et procéder à des coordinations ou à des corrections d’erreurs matérielles. Cela ne pose de difficulté ni à la commission ni, je pense, au Gouvernement.
La commission des finances est également favorable aux deux dispositions introduites par l’Assemblée nationale, sur proposition du Gouvernement.
Il est en effet utile que le pouvoir réglementaire puisse fixer les modalités transitoires de communication sécurisée applicables en France jusqu’à l’entrée en vigueur des exigences de sécurités établies au niveau européen, afin d’accélérer la sécurisation des connexions entre prestataires et gestionnaires de comptes. La commission des finances a toutefois précisé que les mesures réglementaires devraient respecter les normes techniques déjà prévues par l’acte délégué de la Commission européenne.
Le projet de loi tel qu’issu de l’Assemblée nationale prévoit, par ailleurs, de permettre le développement en France de la pratique dite du « cashback » – on pourrait traduire ce mot par « possibilité de retrait sur place » –, qui correspond à la possibilité offerte aux commerçants qui le désirent de fournir des espèces au consommateur à l’occasion d’une opération de paiement pour l’achat de biens ou de services.
Largement développée dans d’autres pays européens et permise par la directive, cette pratique peut, à la fois, être une alternative notamment dans des territoires marqués par la réduction du nombre de distributeurs automatiques, je pense à des zones rurales, et permettre aux commerçants d’accroître la fréquentation de leur magasin et d’optimiser la gestion de leurs fonds de caisse.
Le dispositif proposé nous est apparu suffisamment équilibré pour pouvoir être adopté en l’état, notamment en excluant les opérations professionnelles et en prévoyant la fixation d’un plancher appliqué à l’opération d’achat ainsi qu’un plafond maximal pour la fourniture d’espèces, afin de limiter les risques de blanchiment et de mise en circulation de faux billets. Il s’agit de limites raisonnables, fixées par voie réglementaire. Le dispositif nous paraît donc acceptable.
J’utiliserai enfin le temps qu’il me reste dans le cadre de cette discussion générale pour aborder le dispositif que la commission des finances a décidé, à l’unanimité, d’introduire dans le projet de loi à l’article 1er ter A.
En effet, la directive « DSP 2 » fixe des règles strictes pour les agrégateurs de comptes et les initiateurs de paiement, en leur imposant à la fois l’obtention d’un agrément ou de s’enregistrer auprès de l’Autorité de contrôle prudentiel et de résolution, l’ACPR, et de communiquer avec le gestionnaire de compte par le biais d’un canal de communication sécurisé et standardisé. Par ailleurs, en cas de fraude, l’utilisateur peut être indemnisé immédiatement par sa banque, le prestataire tiers devant, à ce titre, souscrire une assurance afin de pouvoir rembourser la banque si sa responsabilité est engagée.
Toutefois, la directive, et donc l’ordonnance qui la transpose en droit français, ne concerne que les comptes de paiement, c’est-à-dire les comptes courants. Il s’agit d’une limite majeure, dans la mesure où les services actuellement offerts aux utilisateurs portent sur l’ensemble des comptes et produits d’épargne, qu’il s’agisse d’un livret A, d’un contrat d’assurance, d’un compte titres ou plan d’épargne en actions, un PEA. Ainsi, 80 % des comptes agrégés ne seraient pas des comptes de paiement.
Il existe donc un vide juridique particulièrement dommageable pour les utilisateurs qui supportent en pratique, souvent sans le savoir, tous les risques en cas de fraude ou de piratage de leurs comptes. Or ces hypothèses sont loin d’être improbables, si l’on en juge par les exemples récents de piratage et de fraude constatés sur des sites internet reconnus et pour lesquels d’importants systèmes de sécurité informatique sont pourtant mis en place. L’actualité immédiate – je pense aux affaires impliquant Facebook et Uber – fourmille de cas d’utilisation non consentie de données personnelles. Malgré les moyens considérables, des milliards de dollars, consacrés à la sécurité informatique par les GAFA – Google, Apple, Facebook, Amazon -, il n’y a pas de pare-feu imparable et le risque juridique est important.
Pour les comptes non couverts par la directive, la banque – il faut que les consommateurs en soient avertis – ne serait pas contrainte d’indemniser l’utilisateur en cas de fraude, dans la mesure où ce dernier a révélé ses identifiants à un tiers. Autrement dit, la responsabilité de la banque ne peut être engagée, puisque ce n’est pas elle qui a transmis ces codes.
La possibilité d’engager la responsabilité du prestataire tiers, qui est dans certains cas exclue par des clauses contractuelles, serait en tout état de cause dépourvue de toute portée pratique, puisqu’il n’existe pas d’obligation d’assurance et qu’une fintech serait probablement incapable de rembourser ses clients avec une exigence de fonds propres de seulement 50 000 euros ! En cas de fraude massive, si les comptes d’épargne étaient siphonnés, une telle société pourrait se retrouver rapidement en cessation de paiement et le consommateur final perdrait l’intégralité de son épargne.
Cette problématique désormais identifiée, notamment par des associations de consommateurs, il nous est apparu comme indispensable de proposer une mesure permettant de protéger ces utilisateurs, qui ignorent les risques qu’ils prennent en recourant à ces services et qui, surtout, ne font pas la différence – il est vrai qu’elle est assez subtile – entre les comptes de paiement et les autres.
Dès lors, trois possibilités s’offraient à nous : interdire l’agrégation des comptes et l’initiation de paiement pour les comptes et produits autres que les comptes de paiement ; étendre les dispositions de la directive à tous les comptes et produits d’épargne ; proposer une mesure de portée plus réduite mais permettant a minima de protéger le consommateur en cas de fraude.
Les deux premières solutions ont été exclues. L’interdiction aurait porté un coup fatal à ces nouveaux services.
Aussi, dans l’attente d’une solution européenne – j’ai échangé avec le cabinet –, la commission des finances du Sénat a adopté un dispositif permettant de garantir a minima la possibilité pour l’utilisateur d’obtenir un remboursement auprès du prestataire tiers en cas de fraude. La responsabilité des prestataires pourrait être engagée, ces derniers devant dès lors souscrire une assurance complémentaire pour les comptes non couverts par la directive. Nous ne faisons pas de la surtransposition : nous sommes « à côté » de la directive.
Cette mesure nous paraît raisonnable, de bon sens. Les fintech concernées ont, elles-mêmes, bien compris l’importance cruciale de préserver la confiance de leurs utilisateurs. Comment pourrait-on comprendre que le législateur décide de ne pas combler ce « vide juridique » et de renoncer ainsi à la protection du consommateur ? On nous reprochera, en cas de survenue d’un problème majeur – et cela arrivera ! –, de ne pas avoir prévu de dispositif assurantiel.
C’est pourtant ce que semble décidé à faire, de façon très étonnante, le Gouvernement, qui présente un amendement de suppression du dispositif introduit par la commission des finances. La commission ne comprend pas cette position : le Gouvernement propose-t-il ainsi d’attendre une éventuelle nouvelle directive, dont la négociation n’a même pas commencé ?
Mme la présidente. Il faut conclure !
M. Albéric de Montgolfier, rapporteur général de la commission des finances. Compte tenu de l’ensemble de ces éléments, je vous invite, mes chers collègues, à adopter le présent projet de loi tel qu’issu des travaux de la commission des finances, et à rejeter l’amendement présenté par le Gouvernement. (Applaudissements sur plusieurs travées du groupe Les Républicains. – Mme Nathalie Goulet applaudit également.)
Mme la présidente. La parole est à M. André Gattolin, au nom de la commission des affaires européennes.
M. André Gattolin, au nom de la commission des affaires européennes. Madame la présidente, madame la secrétaire d’État, monsieur le rapporteur général de la commission des finances, mes chers collègues, le 21 février dernier la conférence des présidents a demandé à la commission des affaires européennes d’exercer, à titre expérimental, une veille sur l’intégration des normes européennes en droit interne afin, notamment, d’informer le Sénat sur d’éventuelles surtranspositions.
C’est donc avec cette préoccupation que la commission a examiné, sur le rapport de notre collègue Jean-François Rapin, qui est malheureusement retenu dans son département, le projet de loi ratifiant l’ordonnance de transposition de la directive sur les services de paiement.
La deuxième directive sur les services de paiement, on le sait, entend favoriser l’innovation, la concurrence, l’efficience et la sécurité des services de paiement fournis au sein de l’Union européenne, afin d’élargir et d’améliorer les choix des consommateurs. Elle révise à cet effet les conditions d’agrément et d’exercice de ces services. Elle renforce les exigences de sécurité et de protection des données en imposant des normes techniques rigoureuses, comme l’« authentification forte » des clients, à compter de septembre 2019. Elle améliore les droits des utilisateurs de ces services.
La commission des affaires européennes a formulé dans son rapport plusieurs observations sur la transposition à laquelle a procédé l’ordonnance.
Tout d’abord, elle a constaté que, de manière générale, cette transposition était rigoureuse.
Ensuite, elle a relevé que l’ordonnance avait retenu quelques-unes des facultés ouvertes aux États membres, par exemple l’allégement des conditions d’agrément et des exigences prudentielles auxquelles sont soumis les petits établissements de paiement, dont la moyenne mensuelle de la valeur totale des opérations de paiement est inférieure à 3 millions d’euros.
Elle a également constaté que l’ordonnance faisait usage de la faculté ouverte par la directive d’imposer la désignation d’un point de contact central à tous les établissements de paiement agréés dans un autre État membre qui ont recours en France à des agents en libre établissement ou à des succursales.
Ces points de contact faciliteront ainsi la supervision des activités transfrontalières.
La directive encadre deux services de paiement connexes dits « tiers » : le service d’initiation de paiement et le service d’information sur les comptes, qui fournit au client une vue agrégée d’ensemble sur ses comptes de paiement et soldes disponibles.
Elle soumet ces services à des conditions allégées d’enregistrement et de radiation et leur fait obligation de souscrire une assurance de responsabilité civile professionnelle ou une garantie comparable.
Enfin, elle prévoit de leur ouvrir un accès sécurisé aux données utiles.
Concernant l’agrégation des comptes, la commission des affaires européennes a observé que la directive ne couvre pas l’information sur des comptes autres que les comptes de paiement, en particulier les comptes d’épargne. Cela s’explique par le fait qu’elle ne concerne que le marché intérieur des paiements et les services de paiement.
Or les comptes d’épargne constituent la part la plus importante – à hauteur de 80 %, comme l’a rappelé le rapporteur général – de la situation financière des personnes physiques.
Dès lors, afin de pouvoir également agréger les soldes de ces comptes, les fintech qui dispensent ce service utilisent les données de connexion que leur transmettent les titulaires pour collecter les données par voie de scraping, c’est-à-dire de capture d’écran.
Les risques associés à une telle pratique et l’absence de responsabilité des agrégateurs de ces comptes ont conduit la commission des affaires européennes et la commission des finances à s’interroger sur l’opportunité d’un encadrement de cette activité, et donc d’une extension de certaines dispositions de la directive à l’agrégation des comptes d’épargne.
La commission des finances propose de procéder immédiatement à un encadrement minimal.
Au-delà, la commission des affaires européennes estime que la France devrait porter sans tarder cette question au niveau européen, en concertation avec les teneurs de ces comptes, en particulier pour déterminer les exigences de sécurité et répartir la charge du financement de l’interfaçage.
Cet exemple montre, si besoin est, que toute surtransposition n’est pas condamnable, mais doit être dûment justifiée.
Il y va de la compétitivité de nos acteurs économiques, et la commission des affaires européennes entend être vigilante sur ce point. (M. Roger Karoutchi applaudit.)