Intervention de Nadia Hai

En effet, les objectifs de la directive sont centrés sur l'intérêt du consommateur : la DSP 2 accompagne en effet l'innovation dans le secteur des services de paiement tout en visant à protéger les données des utilisateurs.

Ces dernières années, l'innovation s'est traduite par l'apparition et le développement de nouveaux acteurs et de nouvelles pratiques auxquels la DSP 2 a donné un cadre juridique. Elle a ainsi octroyé un statut à deux types de prestataires de services tiers dont les activités sont en plein développement.

Il s'agit d'une part des services d'initiation de paiement qui passent des ordres de paiement, à la demande d'un utilisateur, à partir d'un compte de paiement détenu auprès d'une banque. Ils permettent par exemple aux consommateurs de payer leurs achats en ligne par simple virement, tout en donnant aux commerçants l'assurance que le paiement a bien été initié. On compte environ 2,5 millions d'utilisateurs de ces services en France et 50 millions en Europe.

Il s'agit, d'autre part, des services d'information sur les comptes appelés aussi agrégateurs d'informations. Les entreprises fournissant ces services proposent à leurs clients une vision transversale de leurs finances sur l'ensemble de leurs comptes qui peuvent être détenus auprès de différentes banques. La France compte environ 4 millions d'utilisateurs de ces services, dont 200 000 entreprises. En Europe, ils sont 15 millions.

Encourager le développement de ces acteurs stimule la concurrence dans le secteur : le consommateur peut ainsi comparer diverses offres bancaires sur de nombreux critères.

Il dispose en outre de conseils pour optimiser sa gestion en fonction de son profil ou de ses besoins : certains acteurs français de la fintech sont particulièrement performants dans ces domaines et la DSP 2 constitue pour eux une source d'opportunités.

Bien entendu, pour exercer leur activité, ces nouveaux prestataires – qui comptent déjà quelques années d'activité – doivent accéder à certaines données détenues par les banques des utilisateurs. Aujourd'hui, cet accès est possible, mais il n'est pas régulé. Les prestataires de services utilisent en effet les identifiants de leurs clients pour se connecter aux sites de leurs banques et récupérer les données nécessaires à leur activité : on appelle cette technique le web scraping non identifié. Or elle présente des fragilités aussi bien sur le plan de la sécurité des données que sur le plan juridique. Un des problèmes qui se posent est celui de l'établissement des responsabilités en cas d'opérations mal exécutées. Sans identification des prestataires tiers, il est très difficile de déterminer les responsabilités de chacun.

Voilà pourquoi la directive encadre ces pratiques. D'une part, elle oblige les banques à fournir aux prestataires tiers l'accès aux données nécessaires à leur activité. D'autre part, elle sécurise cet accès en prévoyant que les prestataires tiers s'identifieront eux-mêmes auprès des banques via une interface sécurisée dédiée. Ils ne pourront plus utiliser les identifiants de leurs clients. En d'autres termes, le web scraping non identifié sera interdit.

Ces dispositions ne s'appliqueront qu'à l'issue d'une période transitoire de dix-huit mois, qui commencera à partir de l'adoption d'un règlement délégué fixant des normes techniques de réglementation. La Commission européenne a publié un projet de règlement, qui, selon toute vraisemblance, devrait être adopté à la fin de ce mois. Ce projet fixe les exigences que devront respecter les interfaces dédiées. Il prévoit aussi un mécanisme de secours, dans l'hypothèse où ces interfaces seraient défaillantes. En pareil cas, les banques seront dans l'obligation de mettre leur interface client à la disposition des prestataires tiers, afin que ceux-ci puissent accéder aux données en s'identifiant. Toutefois, les banques pourront être exemptées de cette obligation dès lors que certaines conditions garantissant la performance des interfaces dédiées seront respectées. Durant la phase de transition, les interfaces seront testées par les prestataires tiers.

Les banques françaises ont décidé de développer des interfaces dites API – Application Programming Interface –, qui correspondent aux critères de sécurité que la Commission a définis dans son projet. Pour accéder aux données bancaires, les prestataires tiers auront l'obligation de s'identifier via ces interfaces API à l'issue de la période de transition, c'est-à-dire en août 2019. Il s'agira de veiller à ce que les API répondent aux critères de la Commission s'agissant non seulement de la sécurité des données, mais aussi de son efficacité pour les activités des prestataires tiers.

En l'état du droit, d'ici à août 2019, c'est le système actuel qui continuera de s'appliquer, avec un risque, qui a été évoqué, relatif à la sécurité des données. Voilà pourquoi il serait bon d'abréger la phase transitoire et d'avancer l'application de la directive, tout en conservant l'équilibre de celle-ci. Je soutiendrai donc l'amendement du Gouvernement allant dans ce sens.