Monsieur le président, madame la secrétaire d'État, madame la rapporteure, chers collègues, nous examinons aujourd'hui en nouvelle lecture le projet de loi ratifiant l'ordonnance de transposition de la directive du 23 novembre 2015 sur les services de paiement, dite « DSP 2 ».
Dans le monde actuel, la sécurisation des données concerne la vie quotidienne de chacun d'entre nous. La précédente directive, la DSP 1, avait marqué la première grande étape de l'unification du marché intérieur en matière de services de paiement, en harmonisant les règles applicables dans les États membres. À l'époque, l'objectif était d'assurer la coordination de dispositions nationales alors fragmentées, de garantir l'accès au marché de nouveaux prestataires de services de paiement, de fixer des exigences en matière d'information et de définir les droits et obligations des utilisateurs et prestataires de services de paiement.
Elle a instauré une nouveauté : l'agrément unique pour tous les prestataires de services de paiement étrangers à l'activité de réception des dépôts ou d'émission de monnaie électronique. À cette fin, une nouvelle catégorie juridique a été créée : les établissements de paiement, mettant ainsi fin au monopole des établissements bancaires en la matière.
Toutefois, les innovations du secteur ont rendu nécessaire, en quelques années seulement, une rénovation du corpus de normes européennes régissant ce secteur. Une perpétuelle remise en question est nécessaire, car en seulement quelques années le paysage financier mondial a beaucoup évolué. Sous l'impulsion d'acteurs offrant des prestations d'un nouveau type grâce aux technologies de la finance – appelées Fintechs –, les usages bancaires se sont modifiés. En résultent des incertitudes juridiques concernant la protection des données personnelles des utilisateurs et le régime de responsabilité des prestataires.
Dans les faits, à l'heure actuelle, la plupart des prestataires de services d'initiation de paiement, dont l'activité consiste à initier un ordre de paiement à la demande de l'utilisateur, accèdent directement aux comptes bancaires en ligne de leurs clients en se faisant passer pour eux. Ils utilisent la méthode dite de l'accès direct non identifié – dite aussi de web scraping non identifié.
Cette situation cause de nombreuses fragilités juridiques qui menacent les consommateurs, notamment du point de vue du régime de responsabilité. Ce sont plus précisément les données bancaires des consommateurs qui sont menacées. Il est urgent de les rendre plus sûres, aussi bien sur le plan technique que sur le plan juridique, car leur interception par des tiers serait extrêmement préjudiciable pour les consommateurs.
Selon une étude de l'Observatoire de la sécurité des moyens de paiement, plus de 400 millions d'euros ont été dérobés à la suite de l'utilisation de données bancaires en 2016, ce qui représente plus d'un million de transactions frauduleuses. La méthode du web scraping a donc élargi le champ d'action des personnes souhaitant intercepter les données des utilisateurs puisqu'elle ne les soumet à aucune demande d'identification. Dans ce contexte, pourtant préoccupant, aucune réglementation n'a été instaurée en faveur de la protection des consommateurs.
Il est donc nécessaire de mettre en place un cadre juridique destiné, d'une part, à protéger les consommateurs en sécurisant leurs données personnelles pour éviter toute utilisation frauduleuse et, d'autre part, à limiter le champ d'action de ces nouveaux services tout en assurant et en renforçant les droits des consommateurs. De nouvelles règles devront ainsi combler ces lacunes réglementaires tout en garantissant une plus grande clarté juridique et une application cohérente du cadre législatif dans l'ensemble de l'Union européenne.
La directive DSP 2 abroge la DSP 1 tout en s'inscrivant dans son prolongement puisqu'elle adapte le cadre juridique européen des services de paiement aux évolutions du secteur et poursuit l'objectif général de réalisation du marché intérieur. Elle fixe les règles régissant l'accès à l'activité de services de paiement, la supervision des prestataires de ces services et les modalités techniques applicables aux opérations de paiement, ainsi que les droits et obligations des parties. Elle a également pour but de favoriser l'utilisation de services de paiement électronique plus sûrs et plus équitables, notamment en établissant des règles entre tous les fournisseurs tiers, comme PayPal, qui, contrairement aux banques, ne conservent pas de comptes de paiement. Ces fournisseurs seront dorénavant obligés de s'enregistrer et supervisés en tant qu'institution de paiement. Ils seront donc enfin soumis aux mêmes règles de sécurité que les autres fournisseurs de services de paiement.
La sécurité des paiements est également un élément central de la directive. Cette dernière améliore la sécurité de l'ensemble des prestataires de services de paiement en généralisant l'authentification forte pour les transactions en ligne. Les consommateurs seront dorénavant mieux protégés.
Pourtant, lors de la commission mixte paritaire, un problème de garantie a été soulevé par les représentants de la majorité au Sénat : dans certaines situations, l'utilisateur, souvent sans en avoir conscience, prendrait le risque de se retrouver seul responsable en cas de fraude sur des comptes non couverts par les directives, notamment sur des comptes épargne – lesquels représentent aujourd'hui 80 % des comptes agrégés. Le consommateur ne pourrait alors obtenir un remboursement ni auprès de sa banque ni auprès du prestataire tiers.
La solution proposée à travers l'article 1er ter A, introduit par le Sénat, n'était certes pas parfaite, mais elle avait au moins le mérite de proposer une obligation assurantielle.
Madame la secrétaire d'État, je ne veux pas que nous soyons complices par omission en laissant subsister une zone de non-droit. Il y a là un véritable vide juridique faisant peser un risque sur l'épargne des Français. Le Gouvernement devra rapidement prendre ses responsabilités ; faute de quoi, nous courons le risque qu'il y ait des fraudes et que des personnes se retrouvent ruinées. On compte déjà dans notre pays huit start-up proposant des services de paiement, et il existe quelques leaders de ce secteur au niveau européen. Les utilisateurs sont de plus en plus nombreux et sont demandeurs de tels services, en particulier les jeunes générations, car grâce à ces prestations, ils peuvent gérer plus directement et plus facilement leurs finances en ayant accès à davantage d'informations sans avoir besoin de recourir systématiquement à leur banque. Le nouveau contexte normatif vise à accompagner ces évolutions et à encourager les nouvelles entreprises de la Fintech à continuer d'innover toujours davantage.
Cependant, certains points qui me semblent essentiels ne sont pas abordés dans la directive. Il est clair que la protection des données demeurera insuffisante et que son cadre juridique, bien que nécessaire, sera difficile à instaurer.
Comme souvent, le délai de transposition de la directive est long, et ce alors même que des milliers de personnes qui utilisent ces services de paiement sont exposées chaque jour à des risques de fraude. Je rappelle, après d'autres, que la directive a été adoptée par le Parlement européen le 25 novembre 2015. Plus de deux ans après, les règles qu'elle définit sont-elles toujours en adéquation avec la réalité ?
Par ailleurs, au-delà des services de paiement, de nombreux autres domaines pourraient être mieux réglementés : je pense notamment aux monnaies électroniques ou virtuelles, telles que le bitcoin, qui ne sont pourtant pas évoquées par la directive. Cela signifie-t-il que toutes ces formes de monnaie privée pourront continuer de prospérer dans l'indifférence générale ? Il est tout de même assez étonnant de transposer une directive qui vise – à juste titre – à sécuriser les transactions, sans s'intéresser à cette nouvelle donnée qu'est la monnaie virtuelle.
Le groupe UDI, Agir et indépendants est conscient, madame la secrétaire d'État, de la nécessité d'éviter l'écueil d'une surtransposition contre-productive, mais il est nécessaire, pour la sécurité de nos concitoyens, de s'intéresser à chacun des domaines qui requiert une réglementation. Or avec cette directive on ne régule qu'une partie seulement du système.
L'ordonnance instaure des exigences strictes en matière de sécurité, tend à accroître les droits des consommateurs et interdit de leur facturer des suppléments lorsqu'ils usent de ces droits, dans le cadre très spécifique du marché français des services de paiement. Aussi, au-delà de toutes les réserves que je viens d'exposer et dont le Parlement suivra, je l'espère, l'évolution car c'est une nécessité, le groupe UDI, Agir et indépendants reconnaît qu'il s'agit d'un texte marquant une indispensable avancée et, en conséquence, le votera. Cela dit, nous tenons à rappeler à la majorité et au Gouvernement que le monde évolue perpétuellement et qu'il est nécessaire de faire évoluer les textes en même temps.