Intervention de Jérôme Reboul

Commission des finances, du contrôle budgétaire et des comptes économiques de la nation — Réunion du 14 février 2018 à 9h35
Projet de loi ratifiant l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015-2366 du parlement européen et du conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur — Audition

Jérôme Reboul :

Le Gouvernement a proposé à l'Assemblée nationale deux évolutions sur le texte de l'ordonnance. Il s'agit, d'une part, du cashback, et d'autre part, d'une entrée en vigueur anticipée de l'obligation de recourir aux interfaces dédiées, aussi appelées API (pour application programming interface) pour se connecter aux comptes de paiement.

La directive DSP 2 actualise la directive dite DSP, laquelle avait pour objectif de créer une nouvelle catégorie d'entités bénéficiant d'un régime de régulation allégé par rapport aux établissements de crédits. Ce texte actualise également la directive dite « monnaie électronique », négociée en 2009, qui répondait à la même logique : permettre l'entrée de nouveaux acteurs, bénéficiant d'une réglementation allégée par rapport au régime bancaire traditionnel, afin de stimuler la concurrence ; mieux servir les consommateurs et mieux les protéger.

La directive DSP2, en mettant à jour les problématiques de supervision de la régulation des prestataires de services de paiement, s'inscrit pleinement dans cette double logique de facilitation de la concurrence et de protection des consommateurs. À titre d'exemple, elle permet de mettre en place des mesures de proportionnalité pour les acteurs réalisant de petits volumes de transaction. Elle permet également de diminuer les seuils de franchise qui s'appliquent aux consommateurs subissant un préjudice.

Je souhaite insister sur trois aspects. Tout d'abord, cette directive traduit la reconnaissance par la réglementation européenne de nouveaux acteurs - les agrégateurs et les initiateurs de paiements. Ces acteurs se sont beaucoup développés ces dernières années, et la directive met en place un cadre de régulation complet, qui comprend un régime d'agrément.

Ensuite, elle instaure un régime de responsabilité. La directive reconnaît la légitimité du business model de ces nouveaux acteurs. La France souhaite transposer très rapidement ce texte, afin de pouvoir se positionner comme un des points d'entrée sur le territoire européen pour ces derniers. Nous souhaitons ainsi devenir un pôle de développement. D'ailleurs, nous sommes le premier pays d'Europe à avoir donné un agrément à un agrégateur. Enfin, elle vise à renforcer la protection des consommateurs et à lutter contre le risque d'asymétrie règlementaire : en effet, ces acteurs pourraient choisir d'être agréés dans un pays qui serait moins-disant en termes de sécurité. La directive DSP 2 offre à cet égard la possibilité de mettre en oeuvre un certain nombre de mesures de sauvegarde. En particulier, elle permet à une autorité de supervision d'un pays, qui constaterait l'agissement d'un acteur en libre prestation de services dans des conditions non conformes aux dispositions de la directive, de se tourner vers l'autorité de supervision du pays où cet acteur a été agréé et lui demander de résoudre les difficultés qui résulteraient du comportement douteux de l'entité agréée. En outre, le superviseur peut prendre des mesures conservatoires temporaires, allant jusqu'à la suspension du service, si un acteur agréé dans un autre pays agissait dans des conditions qui ne seraient pas conformes à l'intérêt des consommateurs. On est donc bien en présence d'une logique de meilleure protection du consommateur européen contre un risque d'arbitrage réglementaire dont tireraient profit des acteurs ayant une reconnaissance européenne grâce au passeport européen.

Enfin, la directive DSP 2 élève les standards de sécurité pour les transactions. Est ainsi prévue une obligation d'une authentification forte pour les paiements en ligne. Vous avez sans doute déjà expérimenté cette technologie, utilisée par la plupart des banques et demandant d'indiquer un code reçu par SMS pour valider un paiement en ligne. Cela permet d'ajouter une sécurité supplémentaire, afin de se prémunir de la fraude. La directive DSP 2 va harmoniser ce niveau de protection et étendre le recours à cette technologie en définissant des standards techniques.

Cette directive apporte ainsi un équilibre entre une volonté de reconnaître de nouveaux acteurs, et en même temps un souhait de protéger les consommateurs contre les risques de fraudes ou de concurrence réglementaire. Aussi, les autorités françaises considèrent que cette directive constitue un pas dans la bonne direction. Nous avons d'ailleurs été le premier pays européen à avoir achevé sa transposition, illustrant le désir de la France d'être le pays d'accueil naturel de ces nouveaux acteurs.

Le Gouvernement a souhaité à l'occasion de l'examen de la loi de ratification présenter deux amendements. Le premier porte sur le cashback, soit la capacité pour un consommateur venant acheter un bien de pouvoir obtenir, au moment où il fait son achat, des espèces. C'est ainsi un nouveau mode de mise à disposition de l'argent liquide. Historiquement le cashback est interdit en France, par l'effet d'une disposition juridique assimilant ce procédé à un service de paiement, le réservant ainsi aux établissements de crédit. La directive prévoit expressément que le cashback n'est pas un service de paiement. On se retrouve dès lors dans une situation où les acteurs souhaitant développer ce type de service ont besoin d'un cadre réglementaire. Aussi, le Gouvernement a déposé à l'Assemblée nationale un amendement permettant de reconnaître la possibilité aux commerçants de pratiquer le cashback, sous des réserves qui seront précisées par voie réglementaire. Il s'agit notamment de la mise en place d'un seuil, afin d'éviter qu'il puisse permettre des échanges d'espèces totalement disproportionnés par rapport aux transactions réelles intervenant en même temps que la mise à disposition de l'argent liquide. Dans la plupart de nos pays voisins, comme en Allemagne ou en Grande-Bretagne, vous pouvez aller par exemple dans une station-service et obtenir un certain montant d'argent en liquide. Cela apporte un vrai service aux consommateurs, notamment dans un contexte d'évolution du réseau des établissements de crédits. Ainsi, à moyen terme, le nombre de distributeurs de billets, ou de points de contact avec une banque, va fortement diminuer. Nous souhaitons répondre à cette problématique dans des conditions sécurisées. La France prendra ainsi des mesures d'encadrement spécifiques.

La ratification du projet de directive est également l'occasion de proposer un amendement, visant à anticiper la mise en place de normes techniques réglementaires. La directive, en reconnaissant l'activité des agrégateurs et initiateurs de paiement, a prévu une obligation pour ces derniers d'utiliser des interfaces informatiques sécurisées. Aujourd'hui, ils fonctionnent essentiellement par le biais de la même interface que les consommateurs « classiques ». En réalité, ils doivent se faire passer pour vous vis-à-vis de votre banque, en utilisant vos identifiants et mots de passe bancaires. Afin de sécuriser la relation entre le consommateur, la banque et le tiers agrégateur, la directive prévoit une authentification obligatoire de l'agrégateur ou de l'initiateur de paiement. Elle prévoit également que l'accès au compte de paiement devra se faire à travers une interface plus sécurisée que l'interface client. Les agrégateurs et initiateurs de paiement devront ainsi avoir recours à la technologie dite de l'API. Il était initialement prévu que les dispositions de la directive relatives à l'accès au compte de paiement et celles sur la responsabilité des nouveaux acteurs entrent en vigueur en même temps que l'obligation d'accéder aux comptes dans des conditions informatiques sécurisées. Toutefois, la Commission européenne a pris beaucoup de retard dans l'élaboration de la norme technique réglementaire devant préciser le fonctionnement de ces API. Aussi, le texte de la directive prévoit une entrée en vigueur de ces dernières seulement à l'été 2019. C'est la raison pour laquelle la France a souhaité que les dispositifs relatifs à la sécurité entrent en vigueur le plus tôt possible. Il y a en effet un enjeu de sécurité majeur, rappelé par l'agence nationale de la sécurité des systèmes d'information (ANSSI) en matière de sécurité des données. Aussi, le Gouvernement a souhaité anticiper la mise en oeuvre de ces normes réglementaires, dès lors que nous aurons la certitude que les interfaces dédiées seront opérationnelles. Cette disposition est parfaitement conforme au droit européen.

Enfin, il y a aujourd'hui des débats sur une extension possible du champ de la directive, pour permettre aux agrégateurs et initiateurs de paiement d'avoir accès à d'autres types de comptes. Le Gouvernement a choisi d'adopter une position prudente sur ce sujet. Nous pensons qu'une anticipation unilatérale par la France de telles dispositions poserait de vraies questions en termes de concurrence et de sécurité.

Aucun commentaire n'a encore été formulé sur cette intervention.

Inscription
ou
Connexion