Intervention de Nadia Hai

Comme de nombreux secteurs, les activités de services de paiement en Europe ont été profondément transformées par l'innovation technologique. Il en a résulté un manque d'harmonisation des règles applicables à ces services, constituant un frein à la réalisation du marché intérieur, si bien que le consommateur ne peut pas tirer un avantage optimal des innovations et du marché.

Des avancées technologiques ont également conduit à rénover des pratiques anciennes et à en façonner de nouvelles. Elles s'appuient en particulier sur l'accès aux données des utilisateurs et sur leur traitement. Deux types d'acteurs nouveaux sont apparus : d'abord les services d'initiation de paiement, qui donnent des ordres de paiement à la demande d'un utilisateur à partir d'un compte de paiement détenu auprès d'une banque, ensuite les services d'information sur les comptes, qui fournissent des informations consolidées sur les différents comptes d'un utilisateur, qu'ils soient gérés par une ou plusieurs banques.

Actuellement, ces services accèdent aux données des clients des banques grâce aux identifiants de ces derniers. Autrement dit, pour accéder à leurs données bancaires, ils se font passer pour eux, sur le site de leur banque. C'est la technique de l'accès direct non identifié ou web scraping non identifié. En l'absence de régulation, l'accès de ces acteurs aux données bancaires fragilise la sécurité des données.

Ces évolutions ont donc rendu indispensable une adaptation du cadre juridique européen. Celle-ci s'est matérialisée par l'adoption de la directive du 23 novembre 2015 sur les services de paiement dans le marché intérieur, dite directive DSP 2. La plupart de ses dispositions sont applicables depuis le 13 janvier 2018. Certaines parmi les plus importantes n'entreront toutefois en vigueur que dans le courant de l'année 2019.

Premièrement, la directive DSP 2 donne un statut juridique aux activités de services d'initiation de paiement et de services d'information sur les comptes. Cette reconnaissance s'accompagne de l'obligation pour les gestionnaires de comptes de paiement – à savoir les banques –, de mettre à disposition les informations nécessaires à l'exercice de leur activité.

Les transmissions de ces données doivent se faire dans un cadre sécurisé, par l'intermédiaire d'une interface ouverte et sécurisée que les banques devront mettre à disposition des initiateurs de paiement et des agrégateurs de données. Ces derniers devront s'identifier via cette plateforme et la pratique du web scraping non identifié sera interdite.

Pour l'application de cette obligation, la directive renvoie à la Commission européenne le soin de proposer des normes techniques de réglementation (NTR). Ces exigences entreront en vigueur au terme d'une période de transition de dix-huit mois suivant l'adoption de ces normes. En attendant, les initiateurs de paiement et les agrégateurs de compte pourront continuer à utiliser le web scraping non identifié pour accéder aux informations bancaires nécessaires à leurs activités.

Outre les modalités d'accès aux comptes, la directive fixe les règles concernant le régime de responsabilité en cas d'opération mal réalisée : elle oblige les initiateurs de paiement et les agrégateurs à disposer d'une assurance civile professionnelle pour couvrir les sommes à rembourser en cas de reconnaissance de leur responsabilité.

Deuxièmement, la directive renforce les exigences de sécurité concernant l'accès du client à son compte de paiement en ligne, en exigeant l'authentification forte. Il s'agit d'une technique de connexion combinant plusieurs facteurs d'identification.

Troisièmement, elle renforce les droits des utilisateurs des services de paiement. Par exemple, elle diminue de 150 à 50 euros la limite du montant que les prestataires de service de paiement peuvent imposer à leur client en cas d'utilisation frauduleuse de leur instrument de paiement.

Enfin, quatrièmement, les règles de supervision et de coopération transfrontalière sont renforcées. Les conditions d'agrément des services de paiement sont complétées. La communication entre les différentes autorités de supervision des États membres, dans le cadre du droit d'établissement et de la liberté de prestation de services, est rendue plus systématique.

L'ordonnance du 9 août 2017 a transposé ces dispositions dans le code monétaire et financier, en vertu de l'habilitation conférée par l'article 70 de la loi « Sapin 2 ». Celle-ci fait l'objet du présent projet de loi de ratification venant en discussion car l'application de la directive et sa transposition dans le droit interne comportent quelques enjeux importants. Je vais en évoquer rapidement trois.

Le premier enjeu concerne l'application des normes NTR que la Commission va proposer et la période de transition avant laquelle elles entreront en vigueur. Après prise en compte de l'avis de l'Autorité bancaire européenne, la Commission a préparé une proposition qui pourrait être adoptée à la fin du mois de février, ce qui déclencherait le début de la période transitoire de dix-huit mois prévue par la directive.

La proposition précise les exigences des interfaces mises à disposition des prestataires de paiement tiers : elles devront être aussi performantes que celles que les banques mettent à disposition de leurs clients. En cas de défaillance de ces interfaces, la proposition de la Commission prévoit un mécanisme de secours pour que les prestataires tiers puissent accéder aux données des banques par leur interface utilisateur, mais en s'identifiant comme prestataires tiers.

Les banques peuvent toutefois être exemptées de cette obligation si certaines conditions garantissant le bon fonctionnement des interfaces dédiées sont respectées. Durant la phase de transition, les interfaces en question seront testées, en particulier par les prestataires tiers.

Les banques françaises ont décidé de développer des interfaces dites Application programming interface (API), qui semblent correspondre aux critères de sécurité de la Commission. Pour accéder aux données bancaires, les prestataires tiers auraient donc l'obligation de s'identifier, via ces interfaces, à l'issue de la période de transition, c'est-à-dire en août 2019. Or, à l'origine, ces dispositions auraient dû entrer en vigueur bien plus tôt. De longues discussions entre l'Autorité bancaire européenne et la Commission sur les normes NTR expliquent en effet un retard significatif dans d'application de la directive. La période d'incertitude est donc plus longue que prévu. Le Gouvernement pourrait déposer un amendement proposant de réduire la période de transition, qui prendrait fin début 2019. Je le soutiendrai.

Le deuxième enjeu concerne le champ de la directive. Actuellement, celle-ci ne concerne que les comptes de paiement. Or, les prestataires tiers proposent des services qui concernent également d'autres types de comptes, comme les comptes d'épargne. Je comprends la logique sous-jacente à la proposition d'étendre les règles de la directive DSP 2 aux comptes de paiement, mais je crois qu'une telle extension doit s'inscrire dans un cadre européen. Nous y reviendrons lors de l'examen des amendements.

Enfin, le troisième enjeu de la discussion concerne ce que l'on appelle le cashback. Il s'agit de la possibilité pour les commerçants de mettre à disposition de leurs clients des espèces en contrepartie d'un paiement par carte correspondant au prix du bien acheté auquel on ajoute le montant des espèces rendues.

Dans les faits, la directive DSP 1, en excluant ce type d'activités de son champ d'application, rendait possible ce service. La directive DSP 2 confirme cette possibilité ; or, en l'absence de dispositions nationales d'application, ledit service ne s'est pas développé. En effet, le cadre juridique étant trop incomplet, les commerçants n'ont pas procédé aux investissements nécessaires. Il serait opportun de poser les premiers jalons pour que cette pratique puisse se développer. Le Gouvernement déposera un second amendement en ce sens.

Pour conclure, la directive DSP 2 comporte un grand nombre de dispositions techniques, mais elle aura, à court et moyen terme, des traductions très concrètes dans la vie de nos concitoyens. J'ai pu le constater lors des auditions que j'ai menées et grâce aux contributions écrites que j'ai reçues depuis une semaine.

Ce projet de loi, tel qu'il sera amendé par le Gouvernement, parvient à atteindre un équilibre entre promotion de l'innovation et protection des données personnelles. Il transpose la directive et rien que la directive.