Monsieur le président, monsieur le président de la commission des finances, de l'économie générale et du contrôle budgétaire, madame la rapporteure, mesdames et messieurs les députés, le projet de loi qui vous est présenté permet la ratification de l'ordonnance no 2017-1252 du 9 août 2017.
La directive européenne 20152366, dite « Services de paiement 2 », ou DSP 2, met à jour et complète le dispositif européen des services de paiement en vue d'encourager cette activité dans le marché intérieur de l'Union européenne. Elle actualise la directive 200764CE du 13 novembre 2017, dite DSP 1, qui avait introduit un premier cadre d'activité en complétant la typologie des acteurs bancaires. La directive DSP 1 avait ainsi créé les établissements de paiement, la directive 2009110 du 16 septembre 2009 relative à l'accès à l'activité des établissements de monnaie électronique ayant ensuite donné naissance aux établissements de monnaie électronique, avec un régime allégé par rapport aux établissements de crédit, et ce afin de rendre plus concurrentiel et plus dynamique le marché des services de paiement dans le marché intérieur.
La nouvelle directive de 2015 fixe les règles régissant l'accès à l'activité de services de paiement, la supervision des prestataires de services de paiement, les modalités techniques applicables aux opérations de paiement ainsi que les droits et obligations des parties à un service de paiement. Elle vise en cela à promouvoir un cadre ouvert et concurrentiel dans le secteur des paiements, tout en rehaussant les standards de sécurité des transactions. Elle améliore en outre le cadre existant issu de la première directive et l'adapte à l'émergence de nouvelles pratiques.
Elle comporte trois principaux points. Tout d'abord, elle reconnaît de nouveaux acteurs venant s'intercaler entre les banques et leurs clients afin de rendre nouveaux services et de faciliter les paiements, tout en préservant la sécurité des dispositifs. Ces nouveaux acteurs sont notamment les agrégateurs de comptes, qui présentent un potentiel important pour les particuliers comme pour les entreprises en ce qu'ils offrent un accès pédagogique à leurs informations financières. Ce sont également les initiateurs de paiement, dont l'activité d'intermédiaire doit permettre de fluidifier la réalisation des virements.
Ensuite, cette directive renforce les conditions d'agrément et de supervision des établissements de paiement, en particulier en développant les pouvoirs des superviseurs des pays dans lesquels les établissements exercent librement leurs services.
Enfin, elle élève les standards de sécurité pour les transactions, notamment en généralisant l'authentification forte pour les transactions en ligne.
La transposition de cette directive dans notre droit constitue donc une opportunité pour la place financière française et s'inscrit pleinement dans les objectifs poursuivis par le Gouvernement : favoriser l'innovation, renforcer la concurrence pour dynamiser la croissance et améliorer les services rendus aux consommateurs et aux entreprises, tout en assurant une plus grande sécurité des paiements.
La France a toujours été à la pointe de l'innovation en matière de paiements : nous avons par exemple été pionniers dans le domaine du paiement par carte à puce. Elle doit demeurer au premier plan en matière d'innovation et continuer de l'afficher : telle est l'ambition que nous nous sommes donnés au travers de cette transposition.
Aussi le Gouvernement a-t-il pris soin de transposer rapidement la DSP 2 afin de permettre à l'ensemble des acteurs de la place de Paris de s'approprier les nouvelles dispositions, d'asseoir la confiance du marché et d'attirer les innovateurs.
L'ordonnance portant transposition de la directive a ainsi été prise le 9 août 2017, sur le fondement de l'habilitation donnée au Gouvernement par la loi no 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique.
Le présent projet de loi vise à procéder à la ratification de cette ordonnance par le Parlement.
Le Gouvernement souhaite, au travers de ce projet de loi, compléter le dispositif défini dans l'ordonnance sur deux points principaux : l'accompagnement du nouveau service de remise d'espèces dans le cadre d'un achat, également appelé cashback, et l'accélération de la sécurisation du dispositif issu de la directive. Il s'agit là d'éléments nouveaux par rapport au texte de l'ordonnance.
En premier lieu, s'agissant de l'accompagnement de la pratique dite du cashback, un amendement à l'article 2 vous est proposé en vue d'accompagner le développement de cette pratique du rendu d'espèces complémentaires, à la demande du client, lors d'un achat.
Ce service existe chez la plupart de nos voisins, notamment en Allemagne, en Espagne, en Belgique et au Royaume-Uni. La directive DSP 2 prévoit que ce service peut être fourni sans être soumis aux règles prévalant pour les services de paiement. Elle laisse donc aux États, de fait, le soin d'en définir les modalités pratiques d'exercice.
Ce service présente de nombreux avantages sur lesquels je souhaite appeler votre attention. Ils justifient le souhait du Gouvernement de voir adopter rapidement un cadre qui en favorisera le développement.
Ce service présente tout d'abord des avantages pour les commerçants, lesquels pourront ainsi proposer un nouveau service à leurs clients, service qu'ils pourront facturer s'ils le souhaitent. Ce service additionnel permettra d'attirer davantage de clientèle en magasin. Il offrira en outre aux commerçants un moyen de gérer plus efficacement leurs encours en caisse. Les associations de commerçants ont d'ailleurs unanimement dit leur intérêt pour ce nouveau service.
Celui-ci bénéficiera également aux consommateurs qui verront ainsi élargie la palette des services auxquels ils peuvent accéder auprès de leurs commerçants. Plus important encore, ce service permettra de répondre à l'isolement des territoires les plus reculés où les relais d'accès aux espèces sont souvent trop limités ou trop éloignés. C'est là une réponse à une préoccupation sur laquelle mon attention est régulièrement appelée. C'est par conséquent une proposition à laquelle, je le sais, les élus locaux très attachés.
L'amendement proposé par le Gouvernement permettra ainsi tout à la fois d'offrir un cadre lisible et stable pour les commerçants, afin d'encourager cette pratique, d'assurer la qualité de la circulation de la monnaie fiduciaire sur l'ensemble du territoire et de prévenir les risques de blanchiment en précisant ses modalités, en particulier en fixant des seuils de retrait.
Autre élément nouveau par rapport à l'ordonnance : le Gouvernement propose un amendement tendant à accélérer le processus de sécurisation des conditions d'exercice de l'activité des nouveaux acteurs tiers.
La date d'entrée en vigueur de la directive a été fixée au 13 janvier 2018. La directive renvoie cependant à une norme technique réglementaire de l'Autorité bancaire européenne, l'ABE, qui constitue un pan essentiel du dispositif de sécurisation des modalités informatiques d'accès aux comptes de paiement par ces nouveaux acteurs.
Cette norme technique prévoit que les banques développent des interfaces de communication sécurisées – dénommées API, pour application programming interface – permettant de garantir un accès ouvert mais sécurisé des agrégateurs de compte et initiateurs de paiement aux données de comptes de paiement détenues par les établissements bancaires.
L'adoption de cette norme technique a été retardée : elle devrait intervenir à la fin du mois de février 2018, pour une entrée en vigueur dix-huit mois plus tard, soit en septembre 2019, ce qui laisse un délai important avant l'introduction effective de ce dispositif de sécurisation.
Cette période transitoire présente des risques en termes de cyber-sécurité pour l'ensemble des acteurs, car la pratique actuelle dite du web scraping, qui consiste à récupérer – bien entendu avec son accord – les identifiants et mots de passe de l'usager et à se faire passer pour lui pour accéder à son compte bancaire en ligne, continuera à prévaloir.
Le gouverneur de la Banque de France et le directeur général de l'Agence nationale de la sécurité des systèmes d'information – ANSII – ont alerté le Gouvernement sur les risques encourus. L'enjeu ? Des risques d'atteinte aux données des comptes courants qui constituent des données personnelles particulièrement sensibles. Ces risques seront maîtrisés une fois les API disponibles et applicables en vertu de cette nouvelle norme technique.
Le Gouvernement propose donc d'anticiper l'entrée en vigueur de ce dispositif sécurisé, afin que, pour les banques prêtes en avance, l'API puisse être testée et rendue obligatoire à deux conditions : d'une part qu'elle satisfasse aux exigences de performance et de qualité définies par la norme technique, et d'autre part que les banques assurent que les nouveaux acteurs tiers pourront continuer d'exercer leur activité.
Ce dispositif fera l'objet de tests ouverts garantissant que tous les nouveaux acteurs seront capables de poursuivre leurs activités dans de bonnes conditions.