Intervention de Jean-François Rapin

Encore une ordonnance ! Les délais très brefs pour procéder à l'examen de ce texte avant la réunion de la commission des finances la semaine prochaine ne m'ont pas permis de procéder à des auditions. Je le regrette dans la mesure où elles auraient notamment permis de clarifier la question de l'extension de l'agrégation des informations financières aux comptes d'épargne.

La deuxième directive sur les services de paiement entend favoriser l'innovation, la concurrence, l'efficience et la sécurité des services de paiement fournis au sein de l'Union européenne afin d'élargir et d'améliorer les choix des consommateurs.

L'ordonnance du 9 août 2017 qui procède à sa transposition est soumise au Sénat aux fins de ratification. C'est l'occasion pour notre commission de s'assurer que les modifications et compléments qu'elle a apportés à cet effet au code monétaire et financier ne comportent pas d'éléments de sur-transposition. Ceux-ci sont en effet susceptibles de nuire au bon fonctionnement du marché intérieur et à pénaliser ce faisant les consommateurs. De nature à générer une surcharge administrative et des coûts supplémentaires pour les entreprises, ils sont en outre susceptibles de nuire à leur efficacité concurrentielle.

La directive, qui se substitue à la directive de 2007 qu'elle abroge, révise les conditions d'agrément et d'exercice des services de paiement fournis par les banques et les autres établissements de paiement, et renforce les exigences de sécurité et de protection des données ainsi que les droits des utilisateurs de ces services.

Les services dont il s'agit sont les versements ou retraits d'espèces, les prélèvements, les opérations de paiement effectuées avec une carte, les virements ou transmissions de fonds. La directive y ajoute deux services de paiement connexes innovants dits « tiers » dont les fournisseurs sont des sociétés de technologie financière (les «FinTech»). Tout d'abord, le service d'initiation de paiement (SIP), qui initie les paiements à la demande et pour le compte de clients à partir des comptes de paiement que ceux-ci détiennent auprès de prestataires de services de paiement : il donne au commerçant l'assurance que le paiement a été initié, ce qui lui permet de livrer sans délai les biens ou de fournir les services. Le second service tiers est le service d'information sur les comptes (SIC), qui fournit au client une vue agrégée d'ensemble sur ses comptes de paiement et soldes disponibles.

La directive encadre ces services de paiement tiers et prévoit des conditions d'agrément et d'enregistrement tenant compte du fait que leurs prestataires ne détiennent pas les fonds des clients. Elle leur impose en revanche de souscrire une assurance de responsabilité civile professionnelle couvrant les territoires où ils proposent des services, ou une garantie comparable. Afin que ces prestataires puissent avoir matériellement accès aux informations utiles auprès des établissements de crédit, elle impose aux gestionnaires des comptes des obligations de communication d'informations via des interfaces respectant les normes techniques figurant dans un règlement dérivé de la Commission.

La directive révise par ailleurs les conditions d'agrément et d'exercice des services de paiement, en particulier le capital initial minimum. Elle prévoit un contrôle des cessions des participations qualifiées, fixe le mode calcul des fonds propres, définit les exigences de protection des fonds reçus des utilisateurs des services de paiement ou d'autres prestataires de services de paiement, et précise les règles comptables applicables. Elle précise également les modalités de surveillance prudentielle des établissements de paiement, organise les échanges d'informations entre les autorités nationales compétentes et instaure un système de règlement des différends entre les autorités nationales de supervision.

La directive renforce en outre les exigences de sécurité des données en imposant des normes techniques rigoureuses comme l'« authentification forte » des clients, afin de mieux les protéger lorsqu'ils effectuent des paiements ou des transactions en ligne, y compris pour régler des achats de biens ou de services. Les prestataires de services de paiement devront prouver qu'ils ont mis en oeuvre, testé et vérifié ces mesures de sécurité. L'accès aux données personnelles des clients, leur utilisation et leur traitement sont subordonnés à leur autorisation expresse préalable. La protection des clients en cas d'opération de paiement frauduleuse est améliorée et les délais de remboursement réduits à un jour franc au plus. Enfin, en cas d'utilisation frauduleuse d'un instrument de paiement à la suite de sa perte ou d'un vol, le laissé à charge est abaissé à 50 euros, contre 150 euros actuellement.

J'en viens maintenant à l'ordonnance de transposition. Les dispositions figurant dans la directive précédente et d'ores et déjà transposées dans le code monétaire et financier sont modifiées à la marge. D'autres les complètent substantiellement ou sont totalement nouvelles, ce qui se traduit par l'insertion d'articles additionnels, voire, par exemple, pour les prestataires de services de paiement tiers, de dispositifs complets entièrement nouveaux mettant en place un régime prudentiel dérogatoire, des conditions allégées d'enregistrement et de radiation, et des règles de responsabilité spécifiques. Enfin, l'ordonnance a retenu quelques-unes des facultés ouvertes aux États membres.

Sous condition de notification à la Commission européenne avant le 13 janvier 2018, la directive ouvre en effet la possibilité aux États membres d'alléger les conditions d'agrément et d'exercice des petits établissements de paiement dont la moyenne mensuelle de la valeur totale des opérations de paiement est inférieure à 3 millions d'euros. Le code monétaire et financier prévoit désormais une procédure simplifiée d'agrément pour ces établissements et un niveau moins élevé d'exigences prudentielles.

L'ordonnance fait également usage de la faculté ouverte par la directive pour faciliter la supervision des activités transfrontalières en imposant la désignation d'un point de contact central à tous les établissements de paiement agréés dans un autre État membre qui ont recours en France à des agents en libre établissement ou à des succursales.

Pour terminer, je souhaiterais évoquer un point particulier : l'agrégation des comptes d'épargne. La directive concerne le marché intérieur des paiements et les services de paiement. Elle ne couvre donc pas l'information sur des comptes autres que les comptes de paiement, en particulier les comptes d'épargne. Or ces comptes constituent la part la plus importante de la situation financière des personnes physiques, les agrégateurs utilisant les données de connexion que leur transmettent les titulaires de ces comptes pour recueillir les données utiles par voie dite de « scraping », c'est-à-dire par capture d'écrans.

L'opportunité d'une extension à ces comptes a été évoquée au sein de la commission des finances de l'Assemblée nationale et lors d'une audition récente à la commission des finances du Sénat. Elle permettrait de répondre aux attentes des consommateurs et de réduire l'incertitude actuelle quant au régime de responsabilité applicable en cas d'utilisation frauduleuse des données de connexion. Sans doute s'agit-il d'une extension du champ d'application de la directive mais il paraît difficile de ne pas encadrer rapidement cette activité. La France pourrait utilement porter cette question au niveau européen, en concertation avec les prestataires de services financiers, en particulier pour déterminer les exigences de sécurité et répartir la charge du financement de l'interfaçage.