3
Services de paiement dans le marché intérieur
Adoption définitive en nouvelle lecture d’un projet de loi dans le texte de la commission
M. le président. L’ordre du jour appelle la discussion en nouvelle lecture du projet de loi, adopté par l’Assemblée nationale en nouvelle lecture, ratifiant l’ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (projet n° 644, texte de la commission n° 672, rapport n° 671).
Dans la discussion générale, la parole est à Mme la secrétaire d’État.
Mme Delphine Gény-Stephann, secrétaire d’État auprès du ministre de l’économie et des finances. Monsieur le président, monsieur le président de la commission des finances, monsieur le rapporteur, mesdames, messieurs les sénateurs, je suis très heureuse d’être de nouveau devant vous pour débattre de ce projet de loi qui a pour objet de ratifier l’ordonnance du 9 août 2017 portant transposition de la directive concernant les services de paiement dans le marché intérieur, dite « services de paiement 2 », ou « DSP 2 ». Cette directive procède à la mise à jour de la DSP 1. Deux grandes avancées sont attendues : favoriser l’innovation dans le cadre de nouveaux services et asseoir la confiance du marché grâce à un cadre assurant la sécurité des paiements.
En matière d’innovation, la directive permet l’entrée de nouveaux acteurs, tout en préservant la sécurité du consommateur. Ces nouveaux acteurs sont les agrégateurs de comptes – ils offrent un nouveau service de visualisation dans un lieu, au travers d’un support unifié, de l’ensemble des informations financières des particuliers – et les initiateurs de paiement, qui permettent de faciliter les virements pour les usagers, en particulier pour les achats en ligne. Nous pensons que ces nouveaux services apportent une réelle valeur ajoutée au financement de l’économie et à l’innovation financière.
Pour ce qui concerne la sécurisation, la directive améliore les droits du consommateur, puisque les franchises en cas de perte ou de vol d’une carte de paiement sont ramenées de 150 euros à 50 euros. La directive renforce également le droit à l’information dont bénéficie le consommateur. Il est ainsi plus clairement informé du prix des prestations de paiement, des facultés de résiliation contractuelle ainsi que des voies de recours.
La directive constitue en outre un véritable progrès en matière de renforcement des normes de sécurité d’accès aux données des comptes de paiement des utilisateurs. Le mécanisme dit d’« authentification forte » est généralisé pour toutes les opérations de paiement en ligne au-dessus d’un seuil de 30 euros.
Enfin, la directive renforce les conditions d’agrément et de la supervision des établissements de paiement, en particulier en développant les pouvoirs des superviseurs des pays dans lesquels des établissements exercent librement leurs services.
Le Gouvernement a souhaité, au travers de ce projet de loi de ratification, compléter le dispositif défini dans l’ordonnance sur trois principaux points.
Le premier concerne l’accompagnement de la pratique dite du « cashback », c’est-à-dire du rendu d’espèces complémentaires à la demande du client lors d’un achat. Ce service existe chez la plupart de nos voisins. La directive Services de paiement 2 prévoit uniquement que ce service peut être fourni sans être soumis aux règles prévalant pour les services de paiement. Elle laisse de fait aux États le soin d’en définir les modalités pratiques d’exercice. Grâce à ces dispositions, que je vous remercie d’avoir adoptées en première lecture, les commerçants pourront proposer un nouveau service à leurs clients, qu’ils pourront facturer s’ils le souhaitent.
Le deuxième point résulte d’un amendement que vous avez adopté et dont l’objet est de clarifier la rédaction du code monétaire et financier pour que la loi étende explicitement le bénéfice de la garantie des dépôts aux sommes déposées par les sociétés de financement, les établissements de paiement et les établissements de monnaie électronique, lorsque ces sommes ne sont pas déposées en leur nom et pour leur compte propre. Je tiens à préciser que, en aucun cas, cet amendement n’a pour effet d’assujettir les sociétés de financement, les établissements de paiement et les établissements de monnaie électronique au mécanisme de garantie des dépôts ; il vise uniquement à protéger leurs clients lorsque des sommes sont déposées pour leur compte.
Le troisième point est l’accélération de la sécurisation des conditions d’exercice de l’activité des nouveaux acteurs du numérique.
La directive renvoie à une norme technique réglementaire de l’Autorité bancaire européenne les modalités informatiques d’accès aux comptes de paiement par ces nouveaux acteurs. Cette norme technique prévoit que les banques développent des interfaces de communication sécurisées, appelées API. Elle doit entrer en vigueur dix-huit mois après son adoption, soit en septembre 2019.
Nous vous avons donc proposé d’anticiper cette entrée en vigueur, afin de sécuriser au plus vite l’usage de ces données particulièrement sensibles pour les consommateurs. Après avoir été testée, l’API sera rendue obligatoire si elle satisfait aux exigences de performance et de qualité définies par la norme technique et si elle assure que les nouveaux acteurs tiers pourront continuer d’exercer leur activité.
Monsieur le rapporteur, vous avez toutefois appelé à raison notre attention sur la sécurisation des données qui ne sont pas issues de comptes de paiement, notamment les données de comptes d’épargne, et qui sont également utilisées par les agrégateurs de comptes et initiateurs de paiement.
Le Gouvernement partage la volonté de soutenir les acteurs innovants tout en maîtrisant les risques attachés à leur activité pour ce qui excède le champ de la directive DSP 2.
Je rappelle au préalable que les virements ne sont possibles, en théorie, qu’à partir d’un compte de paiement. Ils ne sont en aucun cas autorisés depuis un compte d’épargne vers des bénéficiaires tiers, y compris pour le livret A.
M. Albéric de Montgolfier, rapporteur de la commission des finances. Ça, c’est la théorie !
Mme Delphine Gény-Stephann, secrétaire d’État. En ce qui concerne le risque lié au maniement et à la divulgation d’informations sur les comptes d’épargne, si nous partageons cette finalité d’une sécurisation accrue du recours à ces données, après examen – je m’y étais engagée lors de la première lecture –, nous ne sommes pas convaincus par le dispositif qui avait été proposé par votre commission des finances.
L’introduction d’une obligation d’assurance et d’une obligation d’enregistrement auprès de l’ACPR, l’Autorité de contrôle prudentiel et de résolution, serait susceptible d’induire en erreur l’usager, celui-ci pouvant s’estimer protégé par l’existence d’une assurance, alors que certains risques inhérents à la pratique du web scraping demeureraient identiques. En outre, des mesures ad hoc propres au droit national pourraient être considérées comme imposant une contrainte qui n’existe pas dans d’autres États membres, ce qui pourrait brouiller le message d’attractivité et de lutte contre la surtransposition que nous portons par ailleurs.
Nous avons donc travaillé à une approche alternative, fondée sur les dispositions du règlement général sur la protection des données, le RGPD, qui prévoit un régime de responsabilité pour tout responsable de traitement de données que sont les prestataires de services de paiement. Ce règlement prévoit des obligations de sécurisation des données personnelles à la charge des responsables de traitement, assorties d’importantes sanctions en cas de violation et d’un droit de l’usager à réparation en cas de violation de ces règles.
Les échanges parlementaires autour de ce projet de loi m’ont convaincue de l’opportunité d’inviter la Commission nationale de l’informatique et des libertés, la CNIL, à travailler étroitement avec la Banque de France, l’Autorité de contrôle prudentiel et de résolution, ainsi que l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, afin de clarifier, au regard du RGPD, les modalités adéquates et sûres d’accès aux données financières des usagers.
Je vous informe que nous saisissons cette semaine ces autorités afin de les inviter à émettre des recommandations permettant d’apporter un niveau de sécurité optimale dans l’accès aux comptes autres que les comptes de paiement.
Je rappelle que nous avons en parallèle saisi la Commission européenne pour l’inviter à établir un cadre juridique unifié au niveau européen sécurisant l’utilisation de l’ensemble des données financières individuelles, incluant les données issues de comptes d’épargne.
Enfin, je viens de saisir l’Inspection générale des finances d’une mission visant à élaborer des propositions pour cartographier de manière plus précise les risques suscités par ces nouveaux services et alimenter ces travaux au niveau européen.
Cette approche permettra d’offrir un cadre à la fois sécurisé pour les consommateurs, et proportionné juridiquement, pour le développement des services d’information sur les comptes.
Je tiens à vous remercier, mesdames, messieurs les sénateurs, et vous, en particulier, monsieur le rapporteur, du dialogue qui s’est instauré pour trouver ces voies de progrès.
M. le président. La parole est à M. le rapporteur.
M. Albéric de Montgolfier, rapporteur général de la commission des finances, rapporteur. Monsieur le président, madame la secrétaire d’État, mes chers collègues, nous abordons la nouvelle lecture du projet de loi visant à ratifier l’ordonnance du 9 août 2017, laquelle porte elle-même transposition de la directive du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, communément appelée DSP 2.
Je le dis d’emblée : nous n’avons aucun désaccord fondamental sur ce texte, madame la secrétaire d’État. Cette directive est utile, car elle améliore le marché intérieur des paiements, prend en compte les très nombreuses évolutions qui sont intervenues depuis la directive DSP 1 en 2017. En particulier, elle tient compte du formidable essor des fintech, en encadrant l’activité des agrégateurs de comptes et des initiateurs de paiement.
L’ordonnance prévoit une transposition globalement fidèle de la directive et fait bon usage des marges de manœuvre laissées aux États membres. Pour toutes ces raisons, nous souscrivons pleinement à sa ratification. L’article 1er qui y procède figurait d’ailleurs parmi les trois articles adoptés conformes dès la première lecture.
Le Sénat avait adopté treize amendements au texte voté par l’Assemblée nationale, majoritairement des mesures de correction, de coordination et d’amélioration. Nous avions par ailleurs soutenu, moyennant quelques aménagements, les deux articles additionnels 1er bis et 1er ter insérés par l’Assemblée nationale, ayant notamment pour objet d’introduire en France la pratique du cashback – pardonnez-moi tous ces anglicismes –, qui permet à un commerçant de fournir des espèces à l’occasion d’une opération d’achat. Cette disposition peut être utile, notamment en zone rurale où les distributeurs de billets sont parfois inexistants.
Cela ne peut donc nous être contesté : le Sénat s’est pleinement inscrit dans une démarche positive. Pour autant, la commission mixte paritaire a échoué le 19 avril dernier, en raison d’un article additionnel – l’article 1er ter A – introduit par notre commission des finances et visant à apporter une réponse concrète au problème des comptes non couverts par la directive. Je rappellerai brièvement l’enjeu de cet article.
Dans le cadre de la DSP 2, les agrégateurs de comptes et des initiateurs de paiement doivent s’enregistrer ou obtenir un agrément auprès de l’Autorité de contrôle prudentiel et de résolution et sont tenus de communiquer avec le gestionnaire de compte par le biais d’un canal de communication sécurisé et standardisé. Surtout, en cas de fraude ou de fuite des données, l’utilisateur peut être indemnisé immédiatement par sa banque, laquelle peut ensuite « se retourner » vers le prestataire tiers, qui doit souscrire une assurance pour garantir le remboursement. Cette obligation d’assurance est cruciale, dès lors que le capital minimum exigé n’est que de 50 000 euros. Il est aisément imaginable que, en cas de problème majeur, le capital social risque d’être insuffisant pour rembourser un grand nombre de consommateurs victimes de fraude.
La directive et, donc, l’ordonnance qui la transpose en droit français ont une limite majeure : elles ne concernent que les comptes de paiement, soit les « comptes courants », alors que les services actuellement offerts aux utilisateurs portent sur tous les comptes et produits d’épargne, sur lesquels doit porter l’essentiel de la rémunération des opérateurs. En cas de fraude ou de fuite de données sur ces comptes, l’utilisateur pourrait ainsi difficilement être indemnisé : d’une part, la banque pourrait considérer qu’elle n’y est pas tenue, puisque le consommateur a fourni ses identifiants à un tiers et, d’autre part, la fintech qui verrait sa responsabilité engagée n’aurait pas nécessairement les moyens d’y procéder, faute d’assurance obligatoire et de fonds propres suffisants.
Dans l’attente d’une solution européenne, le Sénat, vous y avez fait allusion, madame la secrétaire d’État, avait adopté un dispositif assurantiel permettant de protéger les utilisateurs : ceux-ci avaient au moins la garantie d’obtenir une indemnisation auprès du prestataire tiers, qui devait, à cette fin, souscrire une assurance complémentaire. En nouvelle lecture, l’Assemblée nationale a choisi de supprimer ce dispositif sur le fondement de trois arguments que je ne partage pas totalement.
Tout d’abord, nous ne proposons pas une surtransposition de la directive. Nous n’utilisons pas les marges de manœuvre laissées par ce texte pour imposer des exigences réglementaires plus strictes, allant au-delà du minimum requis par la norme européenne. Notre dispositif vise à encadrer une activité qui se situe hors du champ de la directive.
Par ailleurs, au-delà de la question de la surtransposition, le dispositif pourrait, selon les députés et le Gouvernement, entraîner des effets pervers et se heurterait à des difficultés d’application. Sur ce point, j’admets bien volontiers qu’une solution européenne serait préférable à une solution nationale transitoire, nécessairement imparfaite et susceptible de poser des problèmes de concurrence sur un marché aussi intégré que celui des services de paiement. Néanmoins, il me paraît difficile d’attendre une nouvelle directive sans rien faire, compte tenu des enjeux importants pour le consommateur. Il existe d’ailleurs des précédents, à l’exemple de la loi Sapin II du 9 décembre 2016, qui a protégé les épargnants en interdisant la publicité pour les produits financiers « toxiques », ces produits qui permettaient de gagner beaucoup d’argent en un jour, mais aussi de perdre tout en une minute ! Le législateur avait anticipé la directive.
Toute solution nationale transitoire étant par nature imparfaite, elle doit être évaluée pour déterminer si les inconvénients induits par son adoption excèdent les bénéfices attendus en termes de protection des consommateurs.
Ensuite, toujours selon les députés et le Gouvernement, le dispositif porté par le Sénat engendrerait des distorsions de concurrence au détriment des acteurs français.
En réalité, cette obligation d’assurance pourrait être appliquée aux prestataires étrangers au titre de leur activité en France si elle est déclarée « d’ordre public », même si la société a son siège social hors de l’Hexagone. Cela exige qu’elle réponde à des objectifs d’intérêt général au sens du droit européen, ce qui me semble manifestement être le cas.
Enfin, on nous oppose le fait que cette obligation d’assurance conduirait à donner aux utilisateurs un « faux sentiment de sécurité ».
M. Julien Bargeton. C’est un risque !
M. Albéric de Montgolfier, rapporteur. Il existe effectivement un risque que les prestataires tiers décident de s’assurer auprès d’entreprises installées dans des pays peu regardants sur le plan prudentiel. Il s’agit toutefois d’une difficulté commune à toutes les obligations d’assurance. C’est au régulateur européen des assurances d’intervenir si une société n’est pas sérieuse.
Quel que soit son sort final, notre dispositif a eu le mérite d’inciter le Gouvernement à se saisir de sujets ne figurant pas dans le texte initial. Madame la secrétaire d’État, je vous remercie de l’écoute dont vous avez fait preuve à plusieurs reprises à notre égard. Vous avez déjà évolué sur un certain nombre de points que vous avez rappelés à l’instant.
Premièrement, devant le Sénat, vous aviez annoncé le lancement d’une « mission de réflexion pour formuler des propositions adéquates à porter auprès de nos partenaires européens et de la Commission européenne » et susceptible, « le cas échéant, [de] conduire à formuler toute mesure transitoire pertinente à adopter au niveau national ». Vous venez de confirmer le lancement de la mission.
Deuxièmement, devant l’Assemblée nationale, en nouvelle lecture, vous avez annoncé que la Commission européenne avait été saisie pour « établir un cadre juridique unifié au niveau européen sécurisant l’utilisation de l’ensemble des données financières individuelles et incluant les données issues de comptes d’épargne ».
Enfin, troisièmement, vous avez indiqué devant l’Assemblée nationale que le Gouvernement saisirait la CNIL pour qu’elle édicte des « lignes directrices » relatives aux modalités d’accès aux comptes non couverts par la directive, en travaillant avec l’ANSSI, l’ACPR et la Banque de France – vous l’avez confirmé. Son travail pourrait se fonder sur le règlement général sur la protection des données.
Ces engagements constituent indéniablement un premier pas qui va dans la bonne direction, mais la solution proposée par le Gouvernement n’est pas non plus exempte d’imperfections.
Tout d’abord, comme l’a rappelé Philippe Dallier en commission, les lignes directrices de la CNIL n’ont pas de valeur contraignante. Surtout, l’informatique évolue à une telle vitesse que les directives en la matière, aussi précises soient-elles, ont du retard par rapport aux avancées technologiques.
M. Philippe Dallier. Exact !
M. Albéric de Montgolfier, rapporteur. Ensuite, l’intervention de la CNIL ne résout pas le cœur du problème, à savoir le risque que les prestataires tiers se trouvent dans l’incapacité d’indemniser les utilisateurs en cas de piratage. Ces pratiques sont malheureusement fréquentes, y compris sur des sites très connus prétendant consacrer des milliards d’euros à la sécurité. L’exemple des GAFA montre bien qu’il ne s’agit pas d’un risque théorique. Or, là, il s’agit de l’épargne des Français. Les enjeux sont donc plus importants que le piratage de leur compte Facebook.
Le Gouvernement a donc évolué. Il a apporté des réponses à nos questions, même si elles sont insuffisantes et imparfaites. Nos efforts n’ont pas été vains, et l’échec de la commission mixte paritaire a eu pour effet d’inciter le Gouvernement à avancer.
Pourquoi n’avons-nous pas déposé aujourd’hui une motion tendant à opposer la question préalable ? Tout simplement, parce que nous sommes favorables sur le fond à la directive transposée. En outre, l’Assemblée nationale, en nouvelle lecture, a conservé la quasi-totalité de nos amendements.
La commission des finances a donc fait le choix d’adopter sans modification le texte issu de l’Assemblée nationale pour présenter en séance le rétablissement du dispositif assurantiel adopté à l’article 1er ter A. Nous souhaitons ainsi, avant que le Sénat ne prenne une position définitive, entendre le Gouvernement confirmer et préciser ses engagements. Je pourrais en effet vous faire en deux minutes la démonstration que l’on peut, depuis un compte d’épargne, transférer directement de l’argent, même si c’est interdit en théorie.
J’attends vos réponses, madame la secrétaire d’État, et vous remercie encore de votre écoute.
M. le président. La parole est à M. Jean-Claude Requier.
M. Jean-Claude Requier. Monsieur le président, madame la secrétaire d’État, mes chers collègues, après les riches discussions sur le projet de loi portant évolution du logement, de l’aménagement et du numérique, dit ÉLAN, porté par le M. le ministre Jacques Mézard, nous revenons à des textes de taille plus modeste, avec une discussion plus restreinte.
L’échec de la commission mixte paritaire le 19 avril dernier nous conduit à cet examen en nouvelle lecture du projet de loi de transposition de la directive Services de paiement, qui porte le sobre acronyme de DSP 2.
L’ordonnance du 9 août 2017, qui a été ratifiée à l’article 1er du projet de loi, porte diverses modifications du code monétaire et financier. Comme je l’ai indiqué en première lecture, la précédente directive, dite « DSP 1 », avait déjà été complètement transposée, si bien que le travail de transposition était cette fois-ci plus limité. Ainsi, l’ordonnance ne comporte « que » 35 articles, alors que la nouvelle directive, dite « DSP 2, » en compte 117 ! Mais elle concerne tous les États membres, alors que la France est plus solidement armée juridiquement.
Cette ordonnance est entrée en vigueur le 13 janvier dernier, la veille de l’expiration du délai fixé. C’est donc une transposition dans les temps. À titre de comparaison, environ la moitié des États membres n’a pas encore pris de mesure de transposition. Cela montre encore une fois que la France respecte parfaitement ses obligations communautaires, ce dont je me félicite avec vous, madame la secrétaire d’État. Depuis 2009, nous sommes ainsi constamment restés sous le taux cible de déficit de transposition de 1 %.
Le groupe du RDSE souscrit aux mesures proposées par le texte, qu’il s’agisse du renouvellement du cadre juridique afin de préciser les conditions d’exercice des services de paiement – les PSIP et les PSIC – ou du renforcement de la sécurité des clients avec l’« authentification forte », pour n’en citer que quelques-unes.
Comme en première lecture, nous soutiendrons l’abaissement de 150 euros à 50 euros de la franchise payée par l’utilisateur en cas de paiements non autorisés à la suite d’un vol, d’une perte ou d’un détournement d’instrument de paiement. Il s’agit d’une mesure de réelle protection des consommateurs, a fortiori dans un domaine où l’asymétrie entre le client et le professionnel est particulièrement prononcée.
L’article 1er bis, également adopté conforme, encadre le cashback. Cette pratique – moi qui suis un rural, j’avoue l’avoir découverte en commission des finances –, encore peu répandue en France, pourrait se révéler utile à condition d’être correctement encadrée pour éviter les abus, en particulier dans les zones rurales où les distributeurs automatiques d’espèces sont plus rares et plus éloignés. Cela pose, au passage, une vraie question en termes d’aménagement du territoire et de développement économique.
Le point de désaccord entre nos deux assemblées demeure l’article 1er ter A, introduit par notre commission des finances en première lecture, supprimé par l’Assemblée nationale en nouvelle lecture, et que le rapporteur soumet de nouveau à notre vote.
Comme cela a été expliqué, cet article prévoit l’engagement de la responsabilité des prestataires et établissements initiateurs d’ordres de paiement, ainsi que des agrégateurs de données de comptes de placement en cas d’opération non autorisée, d’accès non autorisé ou frauduleux à ces données ou d’utilisation non autorisée ou frauduleuse de ces données. Bien qu’elle sorte du champ de la directive, cette mesure vise également à protéger les consommateurs face à des technologies qui se développent très rapidement, ce qui me semble encore une fois indispensable.
Bien sûr, il existe un risque de surtransposition à laquelle nous sommes par essence hostiles. Toutefois, ce n’est pas un sujet anodin, puisqu’il s’agit de l’épargne des Français. C’est pourquoi je suis, à titre personnel, favorable à l’amendement du rapporteur, même si j’entends les arguments du Gouvernement et que je reconnais qu’un accord au niveau européen aurait été préférable. La directive DSP 2 date déjà de 2015. Il apparaît difficile d’attendre une nouvelle directive, alors que les technologies évoluent rapidement dans ce domaine, comme cela a été indiqué.
En conclusion, et compte tenu du haut niveau de technicité de ce débat, j’indique que les membres du groupe du RDSE, dans leur entière liberté de vote, se partageront entre un soutien à l’amendement du rapporteur et un soutien à la position du Gouvernement. Mais tous sont favorables à ce texte.
M. le président. La parole est à M. Julien Bargeton.
M. Julien Bargeton. Monsieur le président, madame la secrétaire d’État, chers collègues, nous examinons aujourd’hui en nouvelle lecture le projet de loi de ratification de l’ordonnance du 9 août 2017, transposant la directive dite « DSP 2 » relative aux services de paiement dans le marché intérieur.
Cette directive a fait l’objet d’une transposition rapide de la part de la France. Notre pays a fait ce choix utilement, parce qu’il s’agit, à travers ce texte, d’atteindre plusieurs objectifs : favoriser l’innovation et, ainsi, faire de la place de Paris l’un des leaders mondiaux – nous y tenons, dans le contexte du Brexit –, assurer la protection des consommateurs et garantir la sécurité de leurs données.
La directive a été complétée par un amendement du Gouvernement, pour permettre le développement du cashback. Je souligne une nouvelle fois cette avancée pour les Français, non seulement pour ceux de nos concitoyens qui vivent en milieu rural, où il n’y a pas toujours de distributeur automatique, mais aussi pour les commerçants, comme nouveau service et comme moyen de gestion plus efficace de leurs encours en caisse.
Principalement, la directive encadre et réglemente deux secteurs d’activité en plein essor.
Le premier est celui des services d’initiation de paiement, intermédiaires traitant la demande d’un détenteur d’un compte de paiement, dont l’activité fluidifie la réalisation des virements.
Le second secteur est celui des agrégateurs d’informations, qui fournissent aux particuliers ou aux entreprises une vision globale de leurs finances, sur l’ensemble des comptes qu’ils détiennent dans une ou plusieurs banques, et qui conseillent l’utilisateur dans sa gestion en proposant de nouvelles offres. On compte déjà 4 millions d’utilisateurs de ce service en France et 15 millions en Europe.
À mon sens, ces types d’entreprises sont utiles pour les Français, pour leur simplifier la vie et accompagner au mieux la gestion de leurs comptes et de leurs placements. Notre pays en a besoin. C’est donc avec satisfaction que notre groupe a pris connaissance des avis par lesquels les rapporteurs de la commission des affaires européennes et de la commission des finances relèvent qu’il n’y a pas de surtransposition.
Cela étant, non-surtransposition ne veut pas dire sécurité au rabais : la directive crée des garanties fortes pour les usagers, notamment en renforçant les pouvoirs des superviseurs, comme l’Autorité de contrôle prudentiel et de résolution.
La directive renforce également la supervision transfrontalière des établissements de paiement et prévoit un mécanisme d’échange d’informations entre les autorités de supervision. Elle renforce aussi la sécurité des transactions ; l’accès des comptes de paiement devra s’effectuer à travers un système qui combine plusieurs facteurs d’authentification.
En outre, la directive apporte une réponse fiable à la question de l’accès aux données par ces nouveaux prestataires. Il s’agit là d’un sujet clef. Actuellement, ces entreprises utilisent la technique du web scraping – partons pour ce bon français ! –, qui consiste à extraire de manière automatique les données du web. Grâce aux identifiants de leurs clients, ces prestataires récupèrent ainsi quantité d’informations, ce qui pose des difficultés de sécurité juridique.
La directive élève en conséquence les standards de sécurité, en prévoyant que les prestataires tiers s’identifient auprès des banques. Ces derniers ne pourront donc plus utiliser les identifiants de leurs clients.
En première lecture, la commission des finances, sur l’initiative du rapporteur, a souhaité renforcer les garanties de sécurité de ces nouvelles activités. Notre assemblée a ainsi adopté un article additionnel qui met en place l’obligation d’assurance. C’est sur ce point, vous le savez, que la commission mixte paritaire a échoué le 19 avril dernier.
L’article additionnel est repris aujourd’hui dans un amendement, dont les dispositions comprennent, notamment, cette fameuse obligation d’assurance ; les autres possibilités prévues existent déjà aujourd’hui.
Toutefois, pour le dire aussi délicatement que possible, les dispositions de cet amendement ne réduisent pas les risques auxquels ses auteurs prétendent répondre : l’obligation d’assurance n’apporte rien à la sécurité des transactions elle-même. En revanche, le fait que cette proposition ne soit pas opérationnelle ne dispense pas de mesures complémentaires.
Madame la secrétaire d’État, j’ai, moi aussi, noté vos engagements, notamment quant au rôle que pourrait jouer la CNIL. Certes, nous le savons, c’est à l’échelle européenne que cette question pourra être réglée ; néanmoins, l’engagement de saisine de la CNIL, laquelle présentera ses recommandations pour encadrer le secteur, est un pas utile pour répondre aux légitimes interrogations de M. le rapporteur. J’y insiste, la solution qu’il préconise ne permet pas d’y répondre parfaitement, mais, en tout cas, la question qu’il pose doit être réglée.
Chers collègues, il faut préserver un texte d’équilibre, entre la liberté d’innover pour les acteurs et les conditions de sécurité nécessaires à l’exercice de ces nouvelles activités. Sur l’ensemble de ces travées, je le crois, nous nous rassemblons sur ce point : il faut en terminer avec des surréglementations qui bloquent l’activité et empêchent nos entreprises de faire. Je suis même persuadé que c’est là une ritournelle que nous tous entendons souvent dans nos territoires.
Notre groupe suivra cette ligne d’équilibre, et, pour rester fidèles à nos engagements politiques de simplification, nous ne soutiendrons pas la surtransposition de la directive DSP 2. (M. Arnaud de Belenet applaudit.)