Monsieur le président, madame la secrétaire d'État, monsieur le président de la commission des finances, madame la rapporteure, chers collègues, la discussion d'aujourd'hui porte sur la ratification d'une ordonnance transposant en droit français une directive européenne sur les services de paiement connue sous le nom de DSP2, laquelle vient abroger la première directive de 2007.
Comme l'ont expliqué mes collègues, l'enjeu de ce texte est notamment de donner un cadre à l'activité de nouveaux acteurs du numérique financier : les prestataires de services d'information sur les comptes, parfois appelés agrégateurs d'informations. Il s'agit de start-up de la fintech comme « Gérer mon compte », « Budgea », « Bankin' » ou « Linxo », qui revendiquent plus de 4 millions d'utilisateurs. Ces prestataires permettent de gérer au mieux ses comptes, en agrégeant les informations de ses différents établissements financiers.
Le contexte actuel est très favorable aux agrégateurs de comptes bancaires. La loi Macron sur la mobilité bancaire, mise en application en février 2017, a entraîné une multibancarisation des Français. La moitié d'entre eux possède aujourd'hui des comptes dans plusieurs établissements bancaires. Cette multibancarisation a suscité de nouveaux intérêts : consulter l'ensemble de ses comptes au même endroit ; et aussi comparer en toute transparence les différents frais bancaires.
Pour utiliser l'application des agrégateurs d'information, il suffit de la télécharger, puis de fournir les codes d'accès de sa banque. Le but est simple : centraliser dans une seule et même interface tous ses comptes bancaires et connaître rapidement son solde. Il devient ainsi possible de suivre en temps réel ses finances à l'aide de statistiques de dépenses, de graphiques ou encore d'alertes, dès qu'un prélèvement s'opère. Chacune de ces applications s'est spécialisée dans un domaine précis.
Les nouveaux acteurs du numérique financier peuvent être aussi des prestataires de services d'initiation de paiement, qui donnent l'assurance au commerçant en ligne que le paiement a bien été initié par l'acheteur.
La transposition de cette directive, excellemment présentée tout à l'heure par notre rapporteure, s'inscrit dans la droite ligne de la philosophie de notre majorité : libérer et protéger. Libérer, c'est favoriser l'innovation et la concurrence. C'est permettre à notre marché intérieur d'accueillir les nouvelles technologies qui viennent répondre à de nouveaux besoins. C'est aussi rendre accessibles aux Français des modes de consommation qui sont un succès dans d'autres pays : c'est le cas des prestataires de services d'initiation de paiement en Allemagne et du système du cashback, devenu monnaie courante dans les pays anglo-saxons et défendu et soutenu par une majorité d'acteurs. Il permet, entre autres, de donner accès à des liquidités directement à la caisse des commerces de proximité, ce qui est une commodité pour les citadins et les jeunes, mais devient une nécessité dans les territoires ruraux, où les distributeurs de billets se font plus clairsemés, pour les personnes âgées et à mobilité réduite.
Protéger, c'est s'assurer que ces nouvelles pratiques sont encadrées et que les intérêts de nos concitoyens sont protégés au mieux. C'est par exemple : l'authentification forte pour les paiements en ligne de plus de 30 euros afin de réduire la fraude ; l'obligation pour les agrégateurs d'obtenir les informations bancaires de l'utilisateur directement auprès de l'établissement bancaire via un canal de communication sécurisé, quand le client devait auparavant communiquer à l'agrégateur ses données personnelles. Jusqu'alors, nombre de clients prenaient le risque de fournir leurs identifiants et mots de passe, en acceptant les conditions générales d'utilisation de la banque ou de l'agrégateur – ce qui les laissait porter l'entière responsabilité en cas de fraude.
Cela nous renvoie à la problématique des données personnelles et prolonge le débat qui s'est achevé hier soir dans l'hémicycle. Les données personnelles dites sensibles sont certes mieux protégées avec ce texte, mais qu'en est-il de la mine d'or d'informations qui peut être tirée de la lecture d'un compte bancaire ? Aujourd'hui, les prestataires de services d'information sur les comptes utilisent la vente de ces données client comme une source de rémunération complémentaire, qui leur permet de proposer un service gratuit. Il serait dommage que cette pratique se propage aux établissements bancaires qui ne vendent pas aujourd'hui les données de leurs clients. Je déposerai à cet égard un amendement d'appel visant à sécuriser les données personnelles pouvant avoir un intérêt commercial pour les prestataires.
Ce problème pourrait se poser d'autant plus fortement si, comme on le suppose, les GAFA – Google, Apple, Facebook, Amazon – profitaient de l'open banking, la « banque ouverte », pour utiliser des données à des fins commerciales. Il faut donc réguler davantage. C'est pourquoi, le présent texte sera complété par le règlement de protection des données de l'Union européenne qui entrera bientôt en vigueur. Nous avons l'occasion d'en rediscuter ce matin, et je m'en réjouis.