Intervention de Nadia Hai

Monsieur le président, madame la secrétaire d'État, mes chers collègues, la directive du 25 novembre 2015 sur les services de paiement dans le marché intérieur, dite « DSP 2 », constitue un progrès réel et concret non seulement pour le secteur d'activité, mais aussi pour les consommateurs.

Elle modernise le cadre juridique applicable aux services de paiement pour favoriser la concurrence, prendre en compte l'évolution des services offerts par les prestataires et les nouvelles pratiques des utilisateurs. Elle permet de mieux protéger les consommateurs. On ne saurait considérer la DSP 2 comme un ensemble de normes trop techniques pour être compréhensibles ou trop lointaines pour avoir des effets sur le quotidien de nos concitoyens. Rappelons les quatre principaux apports de la directive.

Premièrement, elle consacre et encadre les activités d'initiation de paiement et d'agrégation des comptes de paiement. Elle offre aux acteurs exerçant ces activités un cadre juridique, formalise leurs droits et les obligations qui leur incombent. L'offre de services de paiement s'en trouve améliorée.

Deuxièmement, la DSP 2 renforce les normes de sécurité pour l'accès aux données des comptes de paiement. Dans le cadre de leurs activités, les prestataires de services de paiement, dont les initiateurs de paiement et les agrégateurs, accèdent aux données bancaires des utilisateurs. Actuellement, cet accès s'opère par la technique dite du web scraping non identifié : l'utilisateur communique au prestataire ses identifiants lui permettant d'accéder à ses comptes en ligne. Ce mode d'accès présente des fragilités en termes de sécurité : la DSP 2 vient renforcer les exigences en la matière.

Troisièmement, la DSP 2 enrichit les droits des utilisateurs des services de paiement. Par exemple, divers frais dont le consommateur peut avoir à s'acquitter sont encadrés et les conditions de remboursement en cas d'opérations mal exécutées sont améliorées.

Quatrièmement, la supervision transfrontalière des établissements de paiement et des établissements de monnaie électronique est rendue plus efficace.

Les dispositions de la directive ont été transposées dans le code monétaire et financier par une ordonnance du 9 août 2017 que le projet de loi a pour objet de ratifier. Il a été adopté en première lecture par l'Assemblée nationale le 8 février, puis par le Sénat le 22 mars. La commission mixte paritaire, qui s'est réunie le 19 avril, n'a pas abouti à un texte commun.

La première lecture a été l'occasion d'enrichir le texte. À l'Assemblée nationale, deux amendements du Gouvernement ont été adoptés. Là encore, ces dispositions auront un impact direct sur le quotidien des Français.

Le premier a introduit dans le texte l'article 1er bis, qui fixe des règles permettant aux commerçants de fournir des espèces à leurs clients à l'occasion d'un paiement par carte bancaire, selon le principe du cashback. Ainsi, lors de l'achat d'un bien d'une valeur de 15 euros, si le commerçant le permet, il sera possible au consommateur de régler un montant de vingt euros et d'obtenir la somme de 5 euros en espèces. La pratique est autorisée en théorie par le droit européen depuis l'entrée en vigueur de la DSP 1 mais, faute d'encadrement suffisant par le droit interne, elle n'a pas pu se développer. Nos collègues sénateurs ont adopté l'article 1er bis sans modification.

Le second amendement adopté par l'Assemblée visait à anticiper l'entrée en vigueur des dispositions de la directive relatives à l'accès sécurisé aux données des comptes de paiement. La communication sécurisée entre les banques et les prestataires tiers se fera, en France, par l'intermédiaire d'une interface dédiée de type API, que les banques françaises sont en train de développer, en conformité avec les dispositions de la directive. L'API devra scrupuleusement respecter les normes techniques de réglementation européennes. Elle ne doit en aucun cas entraver les activités des prestataires tiers régies par la directive. Elle doit être performante et facile d'utilisation pour les intermédiaires et pour le consommateur, comme le veulent la lettre et l'esprit des normes européennes.

Les principaux initiateurs de paiement et agrégateurs sont associés à l'élaboration de l'interface API dans le cadre d'un groupe de travail. Son secrétariat est assuré par la direction générale du Trésor et par la Banque de France. Je fais toute confiance aux participants de ce groupe pour trouver rapidement des positions consensuelles sur ces questions certes techniques mais essentielles. En l'état actuel du droit, les normes relatives à l'accès aux données des comptes de paiement doivent entrer en vigueur en septembre 2019. L'amendement adopté par l'Assemblée nationale permettra d'anticiper de quelques mois leur application.

Au Sénat, outre des amendements de précision ou de rédaction, deux amendements portant article additionnel ont été adoptés.

Le premier, résultant d'une initiative du Gouvernement, visait à clarifier la rédaction du code monétaire et financier, pour que la loi étende explicitement le bénéfice de la garantie des dépôts aux sommes déposées par les sociétés de financement, les établissements de paiement et les établissements de monnaie électronique, lorsque ces sommes ne sont pas déposées en leurs noms et pour leurs comptes propres. Les ayants droit de ces sommes seraient ainsi protégés par transparence. Lorsqu'un particulier ou une entreprise confie des fonds à un établissement de paiement ou de monnaie électronique, celui-ci peut les déposer sur un compte de cantonnement tenu par une banque, afin de les protéger.

À l'heure actuelle, les sociétés de financement ne sont pas titulaires de comptes de cantonnement, mais cette disposition les concerne, parce qu'il s'agit de prendre en compte des situations qui pourraient advenir. Un arrêté du 27 octobre 2015, actuellement en vigueur, prévoit bien l'intégration de ces sommes dans le champ de la garantie des dépôts. Toutefois, la rédaction de la loi est ambiguë. Il convient donc de la clarifier pour sécuriser le dispositif réglementaire.

J'insiste sur le fait que le dispositif proposé n'a pas pour effet de rendre les sociétés de financement, les établissements de paiement et les établissements de monnaie électronique adhérents au système de garantie des dépôts. Seuls les établissements de crédit y adhèrent et y contribuent. Ce principe n'est en rien modifié par le dispositif proposé. Il est simplement précisé que les ayants droit des sommes déposées par les sociétés de financement, les établissements de paiement et les établissements de monnaie électronique bénéficient de la garantie des dépôts par transparence. Je suis favorable à l'adoption de cet article.

Le second amendement adopté par le Sénat a été proposé par Albéric de Montgolfier, rapporteur du texte. L'article additionnel instaure une obligation d'assurance des établissements de paiement, des établissements de monnaie électronique et des agrégateurs, pour leurs activités concernant des comptes autres que des comptes de paiement. Il s'agit donc de comptes hors du champ de la DSP 2. La commission des finances a supprimé cette disposition sur ma proposition. Elle pose en effet des difficultés qui ont expliqué l'échec de la commission mixte paritaire.

D'abord, il s'agit d'une surtransposition de la directive, en ce qu'elle étend le champ d'application de l'obligation d'assurance à d'autres activités que celles régies par la DSP 2. Cette obligation d'assurance ne s'accompagnerait d'ailleurs pas du renforcement des normes de sécurité d'accès sur les comptes autres que les comptes de paiement. L'extension seulement parcellaire des dispositions de la directive ne pourra pas apporter de solution efficace aux problèmes soulevés par le Sénat.

Ensuite, cette disposition créerait plusieurs distorsions de concurrence. Elle ne concernerait pas les agrégateurs qui seraient spécialisés dans les comptes qui ne sont pas visés par la DSP 2. Le contrôle du respect de l'obligation d'assurance ne pourrait pas bénéficier des procédures spécifiques de coopération entre les autorités nationales de régulation. Il n'est, de plus, pas certain que cette disposition soit d'ordre public et qu'elle puisse s'appliquer aux prestataires agréés dans d'autres pays de l'Union européenne. Je note qu'il est d'ores et déjà possible pour les prestataires tiers de s'assurer sur leurs activités hors DSP 2 de façon volontaire. Il ne serait pas opportun de rendre obligatoire cette démarche, selon les représentants des professionnels du secteur de l'assurance.

Enfin, je rappelle que la plupart des prestataires tiers qui ont des activités sur les comptes hors du champ de la DSP 2 ont également des activités à l'intérieur de ce champ. L'agrément qu'ils doivent obtenir à ce titre permet, dans les faits, de garantir la qualité de l'ensemble de leur système de sécurité. Toutefois, la proposition de M. de Montgolfier rejoint notre volonté de porter une attention supérieure à la protection du consommateur et à la prévention des risques que les activités d'initiation de paiement et d'agrégation des comptes peuvent comporter. Le règlement général de protection des données, entré en vigueur en mai, fixe un certain nombre d'obligations en matière de sécurité des données et de protection des systèmes d'information qui s'appliquent à l'ensemble des activités des établissements de paiement et de monnaie électronique.

Des précisions de ces normes générales pourraient concerner spécifiquement le secteur des services de paiement. À la suite des auditions que j'ai menées, je pense que le droit souple est l'outil adéquat. Il serait utile que la CNIL, en lien avec l'ACPR, la Banque de France et l'ANSSI édictent des recommandations ou des lignes directrices favorisant les bonnes pratiques dans le secteur. Il est nécessaire d'engager un travail au niveau européen pour étendre et, le cas échéant, adapter l'ensemble des dispositions de la DSP 2 à d'autres types de comptes, comme les comptes d'épargne. Je salue la décision de Mme la secrétaire d'État de constituer une mission sur le sujet, dont j'espère que les travaux débuteront le plus rapidement possible.

Mes chers collègues, je vous propose d'adopter le projet de loi modifié par deux amendements de coordination à l'article 6. La DSP 2 est une directive importante pour l'offre de services rendue au consommateur et pour la protection de ses données. L'examen de notre projet de loi a été l'occasion d'enrichir les normes qu'elle édicte.