Intervention de Albéric de Montgolfier

Vous vous souvenez tous que nous avons organisé une audition commune il y a un mois, qui a réuni les représentants du Trésor, de l'Autorité de contrôle prudentiel et de résolution (ACPR) ainsi que des acteurs du marché des services de paiement.

Les banques ont longtemps bénéficié d'un monopole sur la fourniture des services de paiement ainsi que sur l'émission et la gestion de la monnaie électronique. La directive sur les services de paiement de 2007 et la directive « monnaie électronique » de 2009 y ont toutefois mis fin, dans le but de stimuler l'innovation et la concurrence et de faire émerger un véritable marché intérieur des paiements à l'échelle européenne.

Ainsi, de nouvelles catégories d'acteurs, bénéficiant de contraintes prudentielles allégées, établissements de paiement ou établissements de monnaie électronique, peuvent désormais concurrencer les banques sur ces segments de marché. Du porte-monnaie électronique Monéo au compte Nickel - peut-être Orange demain -, de nombreux exemples témoignent des vertus de cette mise en concurrence, de nouveaux produits enrichissant l'offre traditionnelle. Les banques conservent en revanche le monopole des opérations de crédit et de réception des dépôts, compte tenu des risques.

C'est dans ce nouveau paysage que s'inscrit la deuxième directive sur les services de paiement, qui vise à prendre en compte les nombreuses évolutions intervenues depuis 2007. Aujourd'hui, 40 % des 1 400 fintech interviennent dans ce secteur ! Le principal bouleversement tient à l'apparition d'acteurs proposant aux utilisateurs d'accéder aux données de l'ensemble de leurs comptes et d'initier des ordres de paiement, hors de tout cadre réglementaire. Il s'agit des agrégateurs et des initiateurs, qui nous proposent, via un ordinateur, une tablette ou un téléphone portable, d'accéder à tous nos comptes dans divers établissements bancaires et de transmettre nos ordres de paiement.

Le nombre d'utilisateurs de ces nouveaux services a connu une croissance rapide : en France, 4 millions de consommateurs ont déjà eu recours à un agrégateur et 2,5 millions à un initiateur de paiement.

Le droit est en retard sur les pratiques. Les utilisateurs communiquent aux prestataires leurs identifiants et codes d'accès : en cas de fraude, ils sont donc seuls responsables. C'est pourquoi la directive de 2015 a eu pour objectif d'actualiser le cadre juridique et améliorer le fonctionnement du marché intérieur des paiements.

Quatre séries de mesures peuvent être distinguées. La première vise à reconnaître les nouveaux acteurs et à encadrer leurs relations avec les gestionnaires de compte et les utilisateurs. Pour exercer leurs activités, les agrégateurs et les initiateurs de paiement doivent désormais obtenir un agrément ou s'enregistrer auprès de l'Autorité de contrôle prudentiel et de résolution (ACPR). Ils doivent souscrire une assurance, afin de pouvoir faire face à leurs responsabilités en cas de fraude.

Les prestataires sont également tenus de communiquer avec le gestionnaire de compte à travers un canal de communication sécurisé et standardisé : ils accèdent ainsi aux comptes de paiement en étant identifiés. La directive renvoie néanmoins aux normes techniques de réglementation le soin de préciser les modalités concrètes de fonctionnement des interfaces de communication : nous y reviendrons.

Une deuxième série de mesures vise à renforcer les exigences de sécurité pour les gestionnaires et les utilisateurs de l'ensemble des paiements électroniques. Les fraudes sur internet sont nombreuses. La directive rend donc obligatoire le recours à l'authentification forte du payeur pour toute opération. Le prestataire, avant d'autoriser le paiement, doit identifier l'utilisateur à l'aide de deux facteurs distincts parmi la possession, la connaissance et l'inhérence. Aujourd'hui déjà, les banques françaises demandent souvent à l'utilisateur, en complément de ses identifiants bancaires habituels, d'entrer un code unique, ponctuel, envoyé sur son téléphone mobile.

Une troisième série de mesures vise à lutter contre le risque d'arbitrage réglementaire. En effet, les services de paiement constituent un domaine privilégié d'utilisation du « passeport européen », système d'agrément unique indispensable à l'émergence d'un véritable marché européen des paiements, mais qui peut aussi encourager la migration des acteurs financiers vers d'autres États membres où la réglementation est plus laxiste. La directive comporte plusieurs dispositions visant à juguler ce risque. La plus spectaculaire rompt avec la logique traditionnelle en vertu de laquelle l'établissement exerçant à l'étranger dans le cadre du passeport européen reste placé sous le contrôle de son État membre d'origine. Elle permet à l'autorité de contrôle de l'État d'accueil de prendre des mesures conservatoires dans les situations d'urgence. Cela va dans le bon sens !

Enfin, une quatrième série de mesures vise à garantir un meilleur niveau de protection aux consommateurs dans leurs relations avec les prestataires de services de paiement. Ainsi la responsabilité de l'utilisateur n'est plus engagée qu'à concurrence d'un montant de 50 euros en cas d'opération non autorisée consécutive à un vol, à la perte ou au détournement d'un instrument de paiement, contre 150 euros précédemment.

La directive « DSP 2 » devait être transposée en droit national avant le 13 janvier 2018. La loi dite « Sapin 2 » du 9 décembre 2016 avait par conséquent habilité le Gouvernement à procéder aux adaptations législatives par ordonnance. La publication de l'ordonnance le 9 août 2017 a permis de respecter les délais de transposition. Le présent projet de loi, qui comportait initialement six articles, vise principalement à ratifier l'ordonnance - c'est l'objet de l'article 1er, les articles 2 à 6 opérant des coordinations et corrections complémentaires.

Sur le fond, l'ordonnance transpose de manière globalement fidèle la directive et elle fait bon usage des marges de manoeuvre laissées aux États membres - en particulier en imposant la désignation d'un point de contact central aux prestataires étrangers utilisant le « passeport » européen et en maintenant une procédure simplifiée d'agrément pour les établissements dont le volume prévisionnel d'activité est limité.

C'est, me semble-t-il, une analyse partagée par la commission des affaires européennes, qui a chargé notre collègue Jean-François Rapin d'examiner si l'ordonnance comprenait des éléments de « sur-transposition », conformément à la procédure expérimentale décidée par la conférence des présidents.

Je vous proposerai toutefois neuf amendements techniques aux articles 2 à 4, qui visent à améliorer la cohérence avec la directive des dispositions du code monétaire et financier issues de l'ordonnance et à corriger des erreurs de référence, ainsi qu'un amendement de coordination à l'article 6, qui concerne l'application outre-mer. Sous réserve de leur adoption, la ratification de l'ordonnance ne me semble pas poser de difficulté.

Je souhaite toutefois évoquer les comptes autres que les comptes de paiement, car c'est un sujet de préoccupation majeur. L'ordonnance se borne à transposer la deuxième directive sur les services de paiement : ses dispositions s'appliquent aux seuls comptes courants. Or les agrégateurs incluent l'ensemble des comptes et produits d'épargne, pour offrir aux utilisateurs une vision consolidée de leurs finances personnelles et leur permettre de passer des ordres. Ainsi, 80 % des comptes agrégés par les nouveaux acteurs ne sont pas des comptes courants, et ils ne sont donc pas couverts par la directive ; l'utilisateur demeure seul responsable s'ils sont hackés, siphonnés, ou amputés d'un prélèvement frauduleux.

Il n'apparaît pas souhaitable d'étendre les dispositions de la directive à l'ensemble des comptes et produits d'épargne comme l'ont proposé certains députés, ce chantier devant être mené au niveau européen, compte tenu notamment de ses implications en termes de concurrence. Pour autant, la question de la responsabilité en cas de fraude ne peut être laissée sans réponse. Il serait déraisonnable de faire courir aux utilisateurs un tel risque jusqu'à l'adoption d'une nouvelle directive, d'autant que les montants en jeu sont supérieurs à ceux de comptes courants.

Je vous proposerai donc un article additionnel pour garantir la possibilité pour l'utilisateur d'obtenir un remboursement auprès du prestataire tiers en cas de fraude, la plateforme étant soumise à une obligation d'assurance complémentaire.

J'en viens aux articles introduits par l'Assemblée nationale. Deux sujets nouveaux ont émergé. Le premier concerne les modalités d'entrée en vigueur des nouvelles exigences de sécurité renforcées. Ces dernières ne seront applicables qu'à partir du 1er septembre 2019 au niveau européen. À l'initiative du Gouvernement, l'Assemblée nationale a introduit un article additionnel autorisant le pouvoir réglementaire à déterminer pour la France des modalités transitoires de communication sécurisée. Je souscris pleinement à cette volonté d'accélérer la sécurisation des connexions, mais il convient de mieux inscrire les règles transitoires dans le sillage des normes techniques européennes. Je vous proposerai un amendement en ce sens.

Autre sujet nouveau, la pratique dite du « cashback ». L'article 1er bis du projet de loi, introduit à l'initiative du Gouvernement, ouvre la possibilité pour les commerçants de fournir des espèces au consommateur à l'occasion du règlement d'un achat. On paie un plein de carburant, on retire en même temps des espèces. C'est une concurrence pour les distributeurs automatiques de billets, mais ceux-ci disparaissent dans bien des territoires, notamment ruraux... Le système permet aussi au commerçant d'optimiser la gestion de son fonds de caisse. Ce service n'a pas été mis en oeuvre en France mais il est largement utilisé dans des pays voisins. Il s'agit d'une simple possibilité ouverte au commerçant. En outre, les opérations professionnelles sont exclues du dispositif et un décret fixera un plancher appliqué à l'opération d'achat et un plafond à la délivrance d'espèces, afin de limiter les risques de blanchiment et de mise en circulation de faux billets. Bref, le dispositif adopté par l'Assemblée nationale me semble suffisamment équilibré pour être adopté en l'état.

Je vous proposerai d'adopter le projet de loi modifié par ces douze amendements.