Intervention de Albéric de Montgolfier

Madame la présidente, madamela secrétaire d’État, mes chers collègues, le Sénat est amené à examiner le présent projet de loi qui, transmis par l’Assemblée nationale et faisant l’objet de la procédure accélérée – une procédure qui tend à devenir la procédure normale –, vise à ratifier l’ordonnance du 9 août 2017, laquelle porte elle-même transposition de la directive du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, communément appelée « DSP 2 ».

En effet, cette directive fait suite à une première initiative européenne qui, avec la directive « DSP 1 » du 13 novembre 2007, avait mis fin au « monopole » des banques sur la fourniture de services de paiement.

Cette première directive a ainsi permis, en ouvrant ces marchés à la concurrence, de favoriser l’émergence de nouveaux acteurs ainsi que l’innovation, comme en témoigne l’essor du porte-monnaie électronique Moneo ou encore le Compte-Nickel, qui permettent d’offrir de nouveaux services à des populations qui étaient parfois éloignées des services bancaires traditionnels.

Cette seconde directive, « DSP 2 », vise à prendre en compte les nombreuses évolutions survenues depuis 2007. Pour ne donner qu’un chiffre, 40 % des 1 400 fintech interviennent dans le secteur des moyens de paiement.

Au sein de cette catégorie, de nouveaux acteurs permettent, en particulier, aux clients des banques d’accéder de façon consolidée aux données de l’ensemble de leurs comptes et produits d’épargne, ou encore d’initier des ordres de paiement et – pourquoi pas ? – des placements.

Ces activités d’agrégateurs de comptes et d’initiateurs de paiement se sont développées hors de tout cadre réglementaire, tout en connaissant une croissance très rapide. Nous le disions hier en commission, la pratique en la matière va beaucoup plus vite que le droit : 4 millions de consommateurs ont ainsi déjà eu recours à un agrégateur en France, et 2, 5 millions, à un initiateur de paiement.

Dans ce contexte, la directive de 2015 encadre l’activité de ces nouveaux acteurs et améliore le fonctionnement du marché intérieur des paiements. À cet effet, elle poursuit quatre objectifs principaux : reconnaître ces nouveaux acteurs et réglementer leurs relations avec les gestionnaires de compte et les utilisateurs ; renforcer les exigences de sécurité pour l’ensemble des paiements électroniques ; lutter contre le risque d’arbitrage réglementaire ; garantir un meilleur niveau de protection aux consommateurs dans leurs relations avec les prestataires de services de paiement.

L’ordonnance prévoit une transposition globalement fidèle de la directive et fait bon usage des marges de manœuvre laissées aux États membres. Sa ratification ne pose donc pas de difficulté. Les corrections, coordinations et améliorations techniques figurant dans le présent projet de loi étaient nécessaires. La commission des finances les a, je crois, utilement complétées à l’occasion de l’établissement du texte qui vous est proposé aujourd’hui. Ainsi, dix amendements ont été adoptés en commission pour améliorer la cohérence de l’ordonnance avec la directive et procéder à des coordinations ou à des corrections d’erreurs matérielles. Cela ne pose de difficulté ni à la commission ni, je pense, au Gouvernement.

La commission des finances est également favorable aux deux dispositions introduites par l’Assemblée nationale, sur proposition du Gouvernement.

Il est en effet utile que le pouvoir réglementaire puisse fixer les modalités transitoires de communication sécurisée applicables en France jusqu’à l’entrée en vigueur des exigences de sécurités établies au niveau européen, afin d’accélérer la sécurisation des connexions entre prestataires et gestionnaires de comptes. La commission des finances a toutefois précisé que les mesures réglementaires devraient respecter les normes techniques déjà prévues par l’acte délégué de la Commission européenne.

Le projet de loi tel qu’issu de l’Assemblée nationale prévoit, par ailleurs, de permettre le développement en France de la pratique dite du « cashback » – on pourrait traduire ce mot par « possibilité de retrait sur place » –, qui correspond à la possibilité offerte aux commerçants qui le désirent de fournir des espèces au consommateur à l’occasion d’une opération de paiement pour l’achat de biens ou de services.

Largement développée dans d’autres pays européens et permise par la directive, cette pratique peut, à la fois, être une alternative notamment dans des territoires marqués par la réduction du nombre de distributeurs automatiques, je pense à des zones rurales, et permettre aux commerçants d’accroître la fréquentation de leur magasin et d’optimiser la gestion de leurs fonds de caisse.

Le dispositif proposé nous est apparu suffisamment équilibré pour pouvoir être adopté en l’état, notamment en excluant les opérations professionnelles et en prévoyant la fixation d’un plancher appliqué à l’opération d’achat ainsi qu’un plafond maximal pour la fourniture d’espèces, afin de limiter les risques de blanchiment et de mise en circulation de faux billets. Il s’agit de limites raisonnables, fixées par voie réglementaire. Le dispositif nous paraît donc acceptable.

J’utiliserai enfin le temps qu’il me reste dans le cadre de cette discussion générale pour aborder le dispositif que la commission des finances a décidé, à l’unanimité, d’introduire dans le projet de loi à l’article 1er ter A.

En effet, la directive « DSP 2 » fixe des règles strictes pour les agrégateurs de comptes et les initiateurs de paiement, en leur imposant à la fois l’obtention d’un agrément ou de s’enregistrer auprès de l’Autorité de contrôle prudentiel et de résolution, l’ACPR, et de communiquer avec le gestionnaire de compte par le biais d’un canal de communication sécurisé et standardisé. Par ailleurs, en cas de fraude, l’utilisateur peut être indemnisé immédiatement par sa banque, le prestataire tiers devant, à ce titre, souscrire une assurance afin de pouvoir rembourser la banque si sa responsabilité est engagée.

Toutefois, la directive, et donc l’ordonnance qui la transpose en droit français, ne concerne que les comptes de paiement, c’est-à-dire les comptes courants. Il s’agit d’une limite majeure, dans la mesure où les services actuellement offerts aux utilisateurs portent sur l’ensemble des comptes et produits d’épargne, qu’il s’agisse d’un livret A, d’un contrat d’assurance, d’un compte titres ou plan d’épargne en actions, un PEA. Ainsi, 80 % des comptes agrégés ne seraient pas des comptes de paiement.

Il existe donc un vide juridique particulièrement dommageable pour les utilisateurs qui supportent en pratique, souvent sans le savoir, tous les risques en cas de fraude ou de piratage de leurs comptes. Or ces hypothèses sont loin d’être improbables, si l’on en juge par les exemples récents de piratage et de fraude constatés sur des sites internet reconnus et pour lesquels d’importants systèmes de sécurité informatique sont pourtant mis en place. L’actualité immédiate – je pense aux affaires impliquant Facebook et Uber – fourmille de cas d’utilisation non consentie de données personnelles. Malgré les moyens considérables, des milliards de dollars, consacrés à la sécurité informatique par les GAFA – Google, Apple, Facebook, Amazon -, il n’y a pas de pare-feu imparable et le risque juridique est important.

Pour les comptes non couverts par la directive, la banque – il faut que les consommateurs en soient avertis – ne serait pas contrainte d’indemniser l’utilisateur en cas de fraude, dans la mesure où ce dernier a révélé ses identifiants à un tiers. Autrement dit, la responsabilité de la banque ne peut être engagée, puisque ce n’est pas elle qui a transmis ces codes.

La possibilité d’engager la responsabilité du prestataire tiers, qui est dans certains cas exclue par des clauses contractuelles, serait en tout état de cause dépourvue de toute portée pratique, puisqu’il n’existe pas d’obligation d’assurance et qu’une fintech serait probablement incapable de rembourser ses clients avec une exigence de fonds propres de seulement 50 000 euros ! En cas de fraude massive, si les comptes d’épargne étaient siphonnés, une telle société pourrait se retrouver rapidement en cessation de paiement et le consommateur final perdrait l’intégralité de son épargne.

Cette problématique désormais identifiée, notamment par des associations de consommateurs, il nous est apparu comme indispensable de proposer une mesure permettant de protéger ces utilisateurs, qui ignorent les risques qu’ils prennent en recourant à ces services et qui, surtout, ne font pas la différence – il est vrai qu’elle est assez subtile – entre les comptes de paiement et les autres.

Dès lors, trois possibilités s’offraient à nous : interdire l’agrégation des comptes et l’initiation de paiement pour les comptes et produits autres que les comptes de paiement ; étendre les dispositions de la directive à tous les comptes et produits d’épargne ; proposer une mesure de portée plus réduite mais permettant a minima de protéger le consommateur en cas de fraude.

Les deux premières solutions ont été exclues. L’interdiction aurait porté un coup fatal à ces nouveaux services.

Aussi, dans l’attente d’une solution européenne – j’ai échangé avec le cabinet –, la commission des finances du Sénat a adopté un dispositif permettant de garantir a minima la possibilité pour l’utilisateur d’obtenir un remboursement auprès du prestataire tiers en cas de fraude. La responsabilité des prestataires pourrait être engagée, ces derniers devant dès lors souscrire une assurance complémentaire pour les comptes non couverts par la directive. Nous ne faisons pas de la surtransposition : nous sommes « à côté » de la directive.

Cette mesure nous paraît raisonnable, de bon sens. Les fintech concernées ont, elles-mêmes, bien compris l’importance cruciale de préserver la confiance de leurs utilisateurs. Comment pourrait-on comprendre que le législateur décide de ne pas combler ce « vide juridique » et de renoncer ainsi à la protection du consommateur ? On nous reprochera, en cas de survenue d’un problème majeur – et cela arrivera ! –, de ne pas avoir prévu de dispositif assurantiel.

C’est pourtant ce que semble décidé à faire, de façon très étonnante, le Gouvernement, qui présente un amendement de suppression du dispositif introduit par la commission des finances. La commission ne comprend pas cette position : le Gouvernement propose-t-il ainsi d’attendre une éventuelle nouvelle directive, dont la négociation n’a même pas commencé ?