Directive services de paiement dans le marché intérieur (Nouvelle lecture)
M. le président. - L'ordre du jour appelle l'examen en nouvelle lecture du projet de loi ratifiant l'ordonnance n°2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.
Discussion générale
Mme Delphine Gény-Stephann, secrétaire d'État auprès du ministre de l'économie et des finances . - Ce projet de loi ratifie l'ordonnance du 9 août 2017 de transposition de la directive du 25 novembre 2015 sur les services de paiement dans le marché intérieur, dite DSP2.
Elle favorisera les innovations et accroîtra la confiance du marché. Tout en garantissant la sécurité des consommateurs, elle encadre l'activité des agrégateurs de comptes, nouveau service de visualisation de l'ensemble des informations financières d'un particulier, et des initiateurs de paiement qui facilitent les achats en ligne. Ces nouveaux services apportent une valeur ajoutée incontestable pour le financement de l'économie et l'innovation financière.
La directive améliore les droits du consommateur en abaissant la franchise de 150 à 50 euros en cas de perte ou de vol de sa carte de paiement et en améliorant son droit à l'information. Elle sécurise l'accès aux données des comptes de paiement des utilisateurs en généralisant le mécanisme dit d'authentification forte pour toute opération au-dessus de 30 euros. Enfin, elle renforce la supervision des établissements de paiement.
Le Gouvernement a complété le dispositif de l'ordonnance, d'abord sur la pratique du cashback - le rendu d'espèces complémentaires lors d'un achat, qui existe chez nos voisins. Les commerçants proposeront ce nouveau service, qu'ils pourront facturer.
Le bénéfice de la garantie des dépôts a été étendu aux sommes déposées par les sociétés de financement, établissements de paiement et établissements de monnaie électronique. Il s'agit uniquement de protéger les clients.
Enfin, la sécurisation de l'activité des nouveaux acteurs digitaux est renforcée. La directive renvoie à une norme technique réglementaire de l'Autorité bancaire européenne qui prévoit que les banques développent des interfaces de communication sécurisées, appelées API ; elles seront rendues obligatoires après expérimentation.
Le rapporteur général a attiré notre attention sur la sécurisation des données issues de comptes autres que les comptes de paiement, notamment les comptes d'épargne. Je rappelle qu'en théorie le virement à un tiers n'est autorisé que depuis un compte de paiement.
M. Albéric de Montgolfier, rapporteur de la commission des finances. - Ça, c'est la théorie !
Mme Delphine Gény-Stephann, secrétaire d'État. - Attention à ce que les usagers ne se croient pas protégés par l'assurance des plateformes que vous préconisez, alors que ce ne sera pas le cas. Attention aussi à ne pas imposer une contrainte qui n'existe pas chez nos voisins.
Le RGPD impose aux plateformes des obligations de traitement des données personnelles et donne un droit de réparation aux usagers. J'ai demandé à la CNIL de travailler avec la Banque de France, l'ACPR et l'ANSSI sur ces questions. Nous avons aussi saisi la Commission européenne pour arriver à un cadre juridique unifié au niveau européen.
J'ai enfin confié à l'Inspection générale des finances une mission pour cartographier des risques et alimenter les travaux européens.
Je remercie le rapporteur général du dialogue que nous avons mené pour trouver des voies de progrès.
M. Albéric de Montgolfier, rapporteur de la commission des finances . - L'ordonnance du 9 août 2017 transpose la directive dite DSP2 du 25 novembre 2015. Celle-ci est utile car elle tient compte du formidable essor des fintech. La transposition est globalement fidèle et fait bon usage des marges de manoeuvre laissées aux États membres. L'article 1er a d'ailleurs été voté conforme dès la première lecture.
Le Sénat a adopté des mesures de correction et de coordination et a validé la pratique du cashback qui peut notamment être utile dans les zones rurales où les distributeurs de billets sont rares. Bref, le Sénat s'est inscrit dans une démarche positive.
La CMP a échoué le 19 avril dernier à cause de l'article 1er ter A, introduit par notre commission des finances, qui porte sur les comptes non couverts par la directive.
Les agrégateurs de comptes et initiateurs de paiement doivent s'enregistrer auprès de l'ACPR et sont tenus de communiquer avec le gestionnaire de compte via un canal de communication sécurisé. En cas de fraude, l'utilisateur est indemnisé par sa banque, laquelle se retourne vers le prestataire tiers qui doit souscrire une assurance pour garantir le remboursement. Or cette protection ne porte que sur les comptes de paiement. Dans la pratique, sur les autres comptes, l'utilisateur n'a que peu de chance d'être indemnisé. Nous avons voulu le protéger, dans l'attente d'une solution européenne.
L'Assemblée nationale a rejeté ce dispositif au prétexte, d'abord, que ce serait une surtransposition. Il est plutôt hors du champ de la directive.
L'Assemblée nationale craint encore des effets pervers et des difficultés d'application. Certes, une solution européenne serait préférable, mais au regard des enjeux pour les consommateurs, nous ne pouvons attendre une nouvelle directive. Sur les produits financiers toxiques, le législateur français avait pris les devants, avec la loi Sapin 2 du 9 décembre 2016. Pourquoi ne pas le faire ici ?
Toujours selon les députés et le Gouvernement, notre mesure créerait une distorsion de concurrence. Pourtant les opérateurs étrangers qui exercent en France peuvent avoir une obligation d'assurance déclarée d'ordre public. Enfin, on affirme que notre dispositif donnerait un faux sentiment de sécurité à l'utilisateur. (M. Julien Bargeton le confirme.) Mais les assurances font l'objet de vérifications de la part du régulateur européen des assurances.
Je remercie la ministre d'avoir évolué. Une mission a ainsi été lancée ; vous avez aussi saisi la Commission européenne et la CNIL sur les modalités d'accès aux comptes non couverts par la directive.
Ce sont des avancées, mais la solution du Gouvernement n'est pas exempte d'imperfections : les lignes directrices de la CNIL ne sont pas contraignantes. En outre, elles seront toujours en retrait des innovations des pirates. Le risque n'est pas théorique et il y va de l'épargne des Français.
Point de question préalable, car nous sommes favorables au fond de la directive transposée. La commission des finances a donc adopté sans modification le texte issu de l'Assemblée nationale mais défendra le rétablissement de l'article premier ter A et souhaite que le Gouvernement précise ses engagements. Je vous ferai la démonstration que, dans la pratique, il est tout à fait possible de transférer de l'argent depuis un compte d'épargne !
M. Jean-Claude Requier . - Après ELAN, nous revenons à un projet de loi de taille plus modeste.
L'ordonnance du 19 août 2017 porte diverses modifications du code monétaire et financier. Elle ne comporte que 35 articles contre 117 pour la directive DSP2. L'ordonnance est entrée en vigueur le 13 janvier dernier, un jour avant l'expiration du délai. La France, nous nous en réjouissons, respecte ses engagements communautaires : la part des directives non transposées à temps n'a pas dépassé 1 % depuis 2009.
Le groupe RDSE souscrit aux objectifs du texte. Nous soutenons l'abaissement de la franchise de 150 à 50 euros en cas de vol ou perte des moyens de paiement.
La pratique du cashback que j'ai découverte en commission - je suis un rural - pourrait se révéler utile si elle est encadrée. Le manque de distributeurs de billets en zone rurale pose d'ailleurs une question d'aménagement du territoire.
L'engagement de la responsabilité des agrégateurs de comptes sort du champ de la directive mais protège les utilisateurs, ce qui est indispensable. À titre personnel, je suis favorable à l'amendement du rapporteur général. Il apparaît difficile d'attendre la DSP3...
Le groupe RDSE se partagera entre défense de la position du rapporteur général et défense de la position du Gouvernement mais tous soutiennent ce projet de loi.
M. Julien Bargeton . - La DSP2 a fait l'objet d'une transposition rapide pour favoriser l'innovation et faire de la place de Paris un leader mondial, mais aussi protéger les consommateurs. Je salue l'avancée que représente la possibilité de cashback, à la fois pour les ruraux et pour les commerçants.
Mon groupe a noté avec satisfaction que la commission des affaires européennes et celle des finances reconnaissent l'absence de surtransposition. Et absence de surtransposition ne signifie pas sécurité au rabais. La directive crée des garanties fortes : elle renforce les pouvoirs des superviseurs et la supervision transfrontalière des établissements de paiement. La sécurité des transactions est assurée : l'accès aux comptes de paiement s'effectuera à travers un système combinant plusieurs facteurs d'authentification. Surtout, la directive apporte une réponse fiable à la question de l'accès aux données : fini le web scrapping, les prestataires tiers devront s'identifier auprès des banques, ils ne pourront plus utiliser les identifiants de leurs clients.
La CMP a achoppé sur l'article additionnel contenant la fameuse obligation d'assurance étendue aux comptes autres que les comptes de paiement. Une telle assurance ne réduit pas les risques pesant sur les opérations elles-mêmes. C'est au niveau européen que les choses se régleront. En attendant, le Gouvernement s'est engagé à saisir la CNIL, qui formulera des recommandations pour encadrer le secteur ; il répond ainsi aux légitimes inquiétudes du rapporteur général.
Nous partageons sur ces bancs la volonté d'en finir avec la sur-réglementation. Fidèle à ses engagements politiques, le groupe LaREM ne veut pas d'une surtransposition de la DSP2. (Applaudissements sur les bancs du groupe SOCR)
M. Pascal Savoldelli . - Le moins qu'on puisse dire, c'est que la sécurité des opérations financières est au coeur du débat. Le rapporteur général nous a éclairés sur ce qu'on pourrait appeler les lignes de fuite du cadre juridique qu'on nous propose. Réintroduire l'article 1er ter, comme le propose le rapporteur général, est une approche responsable.
La transposition est un exercice délicat, à bien mesurer. Il n'y a pas selon nous de surtransposition : il y a un droit français plus protecteur qu'il faudrait défendre auprès de nos partenaires au lieu de couvrir le droit européen d'opprobre en oubliant qu'il n'est rien d'autre qu'une construction politique. Et puisqu'il est question des services de paiement, les directives ne disent rien de l'accessibilité bancaire, c'est à nous d'inventer en ce domaine. Le droit au compte existe en France mais il est peu utilisé. Nous attendons des avancées du Gouvernement sur l'exclusion bancaire. Vous conviendrez, mes chers collègues, que je ne vous ai pas parlé cash ! (Sourires)
M. Bernard Delcros . - Au-delà de sa technicité, ce texte est d'une grande importance ; il sécurise les consommateurs dans des pratiques amenées à se développer car portées par des progrès technologiques.
Des millions d'euros sont échangés par les applications mais 4 % seulement des Français savent ce qu'est une fintech. C'est grâce à ces entreprises que de nouveaux services sont apparus : agrégation d'informations et initiation de paiement. Ce sont eux que vise la directive DSP2.
L'essor du commerce en ligne nous oblige à actualiser la DSP1. En France, 2,5 millions de personnes ont eu recours aux services d'un initiateur de paiement et 4 millions à un agrégateur de compte.
Le développement numérique est une chance pour notre économie à condition de ne jamais transiger avec la sécurité des consommateurs.
La CMP a échoué du fait du refus de l'Assemblée nationale d'étendre l'obligation d'assurance à l'ensemble des services financiers, et non aux seuls comptes de paiement. D'où l'amendement du rapporteur général, que nous avons adopté en commission des finances.
Une question pour finir : la proposition n°16 du rapport CAP22 préconise la suppression progressive des paiements en espèces. Cette évolution n'empiétera-t-elle pas sur les libertés individuelles et ne renforcera-t-elle pas le contrôle par les acteurs économiques que nous souhaitons encadrer ? (Applaudissements sur les bancs du groupe UC)
M. Rémi Féraud . - Ce projet de loi ratifie l'ordonnance de 2017 qui transpose la DSP2 de 2015. Les initiateurs de paiement devront se soumettre à un agrément et à des contraintes de capital minimal ; le régime d'enregistrement sera plus souple pour les agrégateurs mais ces derniers seront tenus de souscrire une assurance civile professionnelle.
Ce texte comporte plusieurs avancées sur la protection des données des consommateurs. Il limite le risque d'asymétrie réglementaire en alignant les normes de sécurité des pays européens. Il impose aussi un standard technique « d'authentification forte », c'est-à-dire l'usage d'un mot de passe unique, généralement reçu par SMS, avant d'effectuer le paiement en ligne. De plus, la technologie dite « API »» permettra aux agrégateurs et aux initiateurs d'accéder aux comptes de paiement via une interface plus sécurisée. La Commission européenne a pris du retard sur l'élaboration des règles techniques relatives aux API, celles-ci ne pourront être mises en oeuvre que fin août 2019. Le Gouvernement a heureusement proposé un amendement en première lecture pour les anticiper ; c'est une bonne chose car ces règles sont essentielles pour la sécurité.
Ce texte est donc utile mais incomplet. Le rapporteur général a lancé l'alerte en première lecture : le consommateur encourt le risque d'être seul responsable en cas de fraude sur des comptes non couverts par la directive. Madame la Ministre, c'est la fintech elle-même qui nous sollicite et demande une assurance étendue. Madame la Ministre, la commission mixte paritaire a échoué là où elle aurait dû être l'occasion, pour vous, de présenter la solution alternative que vous vous étiez engagée, au Sénat, à présenter. Vous avez préféré en rester au texte initial. Il n'est pas raisonnable de s'en remettre à une future directive dont les délais d'élaboration sont très longs quand la fintech évolue vite.
Nous voterons donc l'amendement du rapporteur général, qui protège mieux les consommateurs, et le texte ainsi modifié, comme en première lecture. (Applaudissements sur les bancs du groupe SOCR)
M. Claude Malhuret . - En ratifiant l'ordonnance transposant la DSP2, nous ferons oeuvre de modernisation de notre code monétaire et financier pour l'adapter aux évolutions de l'industrie financière et, surtout, à la numérisation de l'économie. Cela est nécessaire pour la compétitivité de notre économie, la protection des consommateurs et la responsabilisation des acteurs financiers. C'est ce dernier point qui a provoqué l'échec de la commission mixte paritaire, de façon un peu étonnante étant donné la technicité de ce texte et son caractère de véhicule de transposition. La directive ne concerne que les comptes courants, c'est une limite majeure de ce texte dans la mesure où 80 % des comptes agrégés ne sont pas des comptes de paiement. Le rapporteur pour l'Assemblée nationale a jugé le dispositif proposé par le Sénat trop simpliste sans proposer d'alternative.
Quelle est la solution ? Laisser persister un flou juridique mettant en péril les épargnants jusqu'à l'adoption de la prochaine directive ? On sait que cela peut prendre des mois, voire des années. Nous pouvons agir immédiatement en usant d'un expédient qui pourra être raffiné. Cette difficulté, qui devrait être levée si les deux assemblées et le Gouvernement y mettent du leur, est bien la seule de ce texte.
Ce texte constitue une nouvelle étape dans la création d'un marché unique numérique dans l'Union européenne. Il encouragera le développement de systèmes de paiement en ligne et mobiles innovants, ce qui stimulera l'économie et la croissance.
Pour lever les difficultés révélées en CMP, une réflexion commune doit s'engager ; faute de quoi, nous voterons le texte du Sénat.
Mme Christine Lavarde . - (Applaudissements sur les bancs du groupe Les Républicains) Un mot sur la procédure d'abord. Nous regrettons l'inscription aussi tardive de ce projet de loi et la mauvaise gestion de l'ordre du jour qu'elle traduit. Nous sommes le 25 juillet ; la CMP s'est tenue le 19 avril... La gestation de ce projet de loi aura quasiment pris neuf mois, pour transposer une directive de 2015 ! J'exprime mon mécontentement au nom de mon groupe, et de Jean-François Rapin, rapporteur pour la commission des affaires européennes, qui n'a pu modifier son agenda pour suivre les derniers changements de l'ordre du jour.
Le fond, à présent. Ce texte ratifie l'ordonnance transposant la directive de 2015. En dix ans, une réglementation a été mise en place pour prendre en compte l'émergence des nouveaux acteurs que sont les agrégateurs de compte et les initiateurs de paiement. Elle est plus allégée que pour les institutions bancaires traditionnelles, puisque ces nouveaux acteurs ne disposent pas de fonds. Agrégateurs de compte et initiateurs de paiement demeurent néanmoins soumis au superviseur, l'ACPR, qui peut prendre des mesures conservatoires temporaires allant jusqu'à la suspension du service.
Hélas, la CMP a échoué ; encore une fois, la majorité gouvernementale censure systématiquement toute initiative du Sénat, même de bon sens, même adoptée à l'unanimité ou à une très large majorité. L'article 1er ter A est pourtant essentiel car l'utilisateur n'a pas même conscience de supporter seul les risques de fraude. Cet article, dans l'attente d'une solution européenne, lui permettrait de se retourner contre le prestataire tiers, tenu de s'assurer.
Je salue la qualité du travail du rapporteur général, le groupe Les Républicains soutiendra son amendement. Notre vote sur l'ensemble du texte dépendra, Madame la Ministre, de vos réponses. (Applaudissements sur les bancs du groupe Les Républicains)
La discussion générale est close.
Discussion des articles
ARTICLE 1er TER A (Suppression maintenue)
M. le président. - Amendement n°1, présenté par M. de Montgolfier, au nom de la commission.
Rétablir cet article dans la rédaction suivante :
Après l'article L. 522-7-1 du code monétaire et financier, il est inséré un article L. 522-7-2 ainsi rédigé :
« Art. L. 522-7-2. - I. - Nonobstant toute clause contraire, les prestataires de services de paiement qui fournissent le service mentionné au 7° ou au 8° du II de l'article L. 314-1 et qui, à la demande de l'utilisateur, initient un ordre ou lui permettent d'accéder aux données concernant ses comptes sur livret, ses comptes à terme, ses comptes-titres, ses comptes sur lesquels sont inscrits des titres, avoirs ou dépôts au titre des produits d'épargne mentionnés au chapitre Ier du titre II du livre II, ses crédits mentionnés au titre Ier du livre III du code de la consommation ou ses bons, contrats de capitalisation ou placements de même nature souscrits auprès d'entreprises d'assurance peuvent voir leur responsabilité engagée à l'égard de l'utilisateur en cas d'opération non autorisée, d'accès non autorisé ou frauduleux à ces données ou d'utilisation non autorisée ou frauduleuse de ces données qui leur est imputable.
« II. - Les établissements de paiement, les établissements de monnaie électronique et les prestataires de services d'information sur les comptes mentionnés au I doivent disposer d'une assurance de responsabilité civile professionnelle ou d'une autre garantie comparable les couvrant contre l'engagement de leur responsabilité et être en mesure de justifier à tout moment de leur situation au regard de cette obligation.
« Un décret en Conseil d'État fixe les modalités d'application de cette obligation, les critères permettant de déterminer le montant minimal de l'assurance de responsabilité civile professionnelle ainsi que les délais dans lesquels l'indemnisation doit intervenir.
« III. - Les prestataires et établissements mentionnés au II doivent être immatriculés sur un registre unique, qui est librement accessible au public et tenu par l'Autorité de contrôle prudentiel et de résolution.
« Un décret en Conseil d'État précise les conditions d'immatriculation sur ce registre et détermine les modalités de la tenue de ce dernier ainsi que les informations qui doivent être rendues publiques. »
M. Albéric de Montgolfier, rapporteur. - L'amendement est connu. Il s'agit de protéger les consommateurs par une obligation d'assurance pour les agrégateurs de compte dès lors qu'ils proposent un accès à une épargne non couverte par la directive. Il y avait d'autres solutions, en particulier réglementaires : faire respecter l'interdiction de transfert direct depuis un compte d'épargne.
Pourquoi insister ? C'est que les enjeux sont importants : sur un compte courant, on peut avoir quelques milliers d'euros, sur une assurance vie, cela peut être quelques centaines de milliers. (Applaudissements sur les bancs du groupe Les Républicains)
Mme Delphine Gény-Stephann, secrétaire d'État. - Dans la législation actuelle, les virements externes ne sont théoriquement pas possibles à partir d'un compte d'épargne. Nous avons constaté des pratiques qui ne respectent pas cette règle. J'appellerai l'attention de l'ACPR sur la nécessité de le faire respecter. Il n'est pas question de laisser perdurer cette pratique.
Au bénéfice de cet engagement à faire respecter la loi, le Sénat pourrait retirer son amendement, qui nous ennuie car il s'agit d'une nouvelle réglementation contraignante s'appliquant à la fintech française. En théorie, les acteurs étrangers y seront aussi soumis mais vous savez qu'ils sont plus difficiles à contraindre.
Monsieur Féraud, en cas de fraude, il est possible d'engager la responsabilité de droit commun. Surtout, il existe désormais le RGPD que la CNIL complètera par des recommandations fortes.
Monsieur Delcros, sur les paiements en espèces, il s'agit de les réduire, non de les supprimer, pour limiter la fraude. Le ministère promeut les paiements dématérialisés en abaissant les seuils de paiement en espèces et en généralisant le paiement sans contact. La commission européenne étudie l'impact de la suppression des pièces de 1 et 2 centimes ; il faudra bien sûr être vigilant sur une possible hausse des prix.
Demande de retrait.
M. Albéric de Montgolfier, rapporteur. - Saisine de l'IGF, saisine de la CNIL, j'ai obtenu quelques réponses. La vraie sécurité, c'est l'utilisation d'un moyen de paiement sécurisé, non une obligation d'assurance. Si la Banque de France et l'APCR font appliquer la réglementation, une partie du problème est résolue. Il est toujours possible d'engager la responsabilité d'une banque ? Mieux vaut un système sûr qui évite d'aller devant les tribunaux.
Je vérifierai si les engagements que Mme la ministre a pris ont été tenus, si les virements depuis les comptes d'épargne sont toujours possibles, quand viendra l'examen de la loi Pacte. Si ce n'est pas le cas, je redéposerai mon amendement. En attendant, je le retire.
L'amendement n°1 est retiré.
L'article 1er ter A demeure supprimé.
L'article 1er ter est adopté.
L'article 2 est adopté ainsi que les articles 3, 4 et 6.
Le projet de loi est adopté définitivement.
La séance est suspendue à 19 h 10.
présidence de M. Thani Mohamed Soilihi, vice-président
La séance reprend à 21 h 30.