Je ne reviens pas sur les apports de cette directive, qui améliore le marché intérieur des paiements et prend en compte les nombreuses évolutions survenues depuis la première directive « DSP 1 » en 2007 et notamment le formidable essor des Fintech.
En première lecture le Sénat avait adopté treize amendements au texte voté par l'Assemblée nationale, douze en commission et un en séance, présenté par le Gouvernement à l'article 3. Il s'agissait pour l'essentiel de mesures de correction, de coordination et d'amélioration. Nous avions soutenu les deux articles additionnels insérés par l'Assemblée nationale, ayant notamment pour objet d'introduire en France la pratique dite du cashback. Le Sénat, dans une démarche pragmatique, avait voté trois articles conformes sur les huit articles du texte de l'Assemblée nationale.
L'ordonnance procédait à une transposition globalement fidèle de la directive et faisait bon usage des marges de manoeuvre laissées aux États membres. Sa ratification ne posait donc pas de difficulté. Pourquoi, alors, la CMP a-t-elle échoué ? La divergence a porté sur un article introduit par notre commission des finances, qui visait à apporter une réponse au problème des comptes non couverts par la directive.
Ce point de divergence se confirme en nouvelle lecture à l'Assemblée nationale, mais sur les autres points, la quasi-totalité des améliorations apportées par le Sénat a été conservée. Six articles restaient en discussion après l'échec de la CMP.
L'article 1er ter A relatif aux comptes non couverts demeure aujourd'hui la seule « pierre d'achoppement » avec nos collègues députés.
La directive « DSP 2 » encadre l'activité des agrégateurs de comptes et des initiateurs de paiement. Le consommateur télécharge une application, fournit les codes d'accès à ses comptes bancaires, et peut alors voir l'ensemble de ses comptes et effectuer des virements. Les agrégateurs doivent s'enregistrer ou obtenir un agrément auprès de l'Autorité de contrôle prudentiel et de résolution (ACPR) et sont tenus de communiquer avec le gestionnaire de compte par le biais d'un canal de communication sécurisé et standardisé. Surtout, en cas de fraude ou de fuite des données, l'utilisateur peut être indemnisé immédiatement par sa banque ; il revient ensuite à celle-ci de se retourner vers le prestataire tiers, qui doit souscrire une assurance. L'obligation d'assurance est cruciale, puisque l'exigence de capital minimum fixée par la directive pour ces nouveaux acteurs est limitée à 50 000 euros. Cela ne suffirait pas en cas de fraude massive...
Mais la directive - et donc l'ordonnance qui la transpose en droit français - ne concerne que les comptes de paiement, c'est-à-dire les comptes courants. Il s'agit d'une limite majeure, car les services actuellement offerts aux utilisateurs portent sur l'ensemble des comptes et produits d'épargne, livrets A, contrats d'assurance, comptes-titres... Ainsi, 80 % des comptes agrégés ne seraient pas des comptes de paiement.
Il existe donc un vide juridique dommageable pour les utilisateurs. Seuls les virements depuis un compte courant sont protégés. Pour les comptes non couverts par la directive, la banque ne serait pas contrainte d'indemniser l'utilisateur en cas de fraude ou de fuite des données, dans la mesure où ce dernier a révélé ses identifiants à un tiers.
Dès lors, il m'est apparu indispensable de proposer une mesure permettant de protéger les utilisateurs. Nous avons adopté une disposition contraignant les agrégateurs et les initiateurs à souscrire une assurance complémentaire pour les comptes non couverts. L'Assemblée nationale l'a supprimée.
Elle considère en particulier que l'obligation d'assurance constitue une forme de surtransposition. Je ne peux qu'être en désaccord sur ce point. Vous le savez, les États membres disposent de marges de manoeuvre pour atteindre les objectifs fixés par une directive. La surtransposition doit être entendue comme le fait d'utiliser ces marges de manoeuvre pour imposer des exigences réglementaires plus strictes, allant au-delà du minimum requis par la norme européenne. En première lecture, nous avons du reste vérifié que le Gouvernement avait correctement utilisé les latitudes laissées par la directive. Nous encadrons ici une activité qui se situe hors du champ de la directive. Considérer qu'il s'agit d'une surtransposition reviendrait à interdire au législateur national de se saisir des sujets non couverts par le droit européen ! Notre collègue Jean-François Rapin, qui s'est intéressé aux risques de surtransposition pour ce texte au nom de la commission des affaires européennes, a partagé notre point de vue.
L'Assemblée nationale et le Gouvernement considèrent en outre que le dispositif pourrait entraîner des effets pervers et se heurterait à des difficultés d'application. La ministre nous a affirmé qu'une solution serait proposée au plan européen, mais on ne peut l'espérer prochainement.
J'observe d'ailleurs qu'il existe des précédents. La loi Sapin 2 du 9 décembre 2016 a interdit la publicité pour les produits financiers toxiques, dans l'attente d'une solution européenne, qui est finalement intervenue en janvier dernier, avec l'interdiction de commercialisation décidée par l'autorité européenne des marchés financiers (AEMF). Nous avions sans attendre prononcé cette interdiction, pour protéger les épargnants français avant la solution européenne.
Le dispositif porté par le Sénat engendrerait aussi, nous dit-on, des distorsions de concurrence au détriment des acteurs français. Ce point me semble pouvoir être nuancé. L'obligation pourrait en effet être appliquée aux prestataires étrangers au titre de leur activité en France, puisqu'il existe bien un motif d'intérêt général au sens du droit européen.
Il est en revanche vrai que le contrôle de son respect ne pourrait pas s'appuyer sur la coopération renforcée entre les autorités nationales de régulation telle qu'introduite par la directive. Il existe en revanche une obligation générale de coopération entre les autorités, sur laquelle pourrait s'appuyer l'ACPR.
Cette obligation d'assurance, objectent enfin nos interlocuteurs, conduirait à donner aux utilisateurs un « faux sentiment de sécurité ». Certes, les prestataires tiers pourraient s'assurer auprès d'entreprises installées dans des pays peu regardants sur le plan prudentiel. Des défaillances d'assureurs ont pu être observées dans différents secteurs - en particulier dans la construction. Précisément, il s'agit d'une difficulté commune à toutes les obligations d'assurance, elle n'est pas spécifique à notre dispositif. C'est au régulateur européen des assurances d'intervenir sur ce point.
Quoi qu'il en soit, grâce au dispositif que nous avons adopté, nous avons conduit le Gouvernement à réfléchir à la question et à chercher des solutions pour l'examen en nouvelle lecture. Il s'est ainsi engagé sur trois points. Premièrement, Delphine Gény-Stephann, secrétaire d'État auprès du ministre de l'économie et des finances, nous avait indiqué en première lecture que le Gouvernement lancerait une « mission de réflexion pour formuler des propositions adéquates à porter auprès de nos partenaires européens et de la Commission européenne » - mais combien de temps de processus exigera-t-il ?
Deuxièmement, elle a indiqué devant l'Assemblée nationale que la Commission européenne a été saisie par le Gouvernement pour « établir un cadre juridique unifié au niveau européen sécurisant l'utilisation de l'ensemble des données financières individuelles et incluant les données issues de comptes d'épargne ».
Enfin et surtout, le Gouvernement entend saisir la Commission nationale de l'informatique et des libertés (CNIL) sur les modalités d'accès aux comptes non couverts par la directive. En effet, le règlement général sur la protection des données (RGPD) est ici applicable ; la CNIL dispose d'outils de régulation et elle pourrait édicter des « lignes directrices » concernant les modalités d'accès aux comptes non couverts par la directive. Un bémol toutefois : les lignes directrices de la CNIL n'ont pas de valeur contraignante. Il s'agit de droit souple.
Ce qui pose réellement problème, c'est le risque que les prestataires tiers se trouvent dans l'incapacité d'indemniser les utilisateurs en cas de problème. Les exemples récents de piratage et de fraude constatés sur des sites Internet reconnus, dotés d'importants systèmes de sécurité informatique, suggèrent qu'il ne s'agit pas d'un risque théorique.
Quoi qu'il en soit, nos efforts n'ont pas été vains et l'échec de la CMP a eu pour effet d'obliger le Gouvernement à revenir vers le Parlement avec des pistes de réflexion et des engagements. À ce stade de la navette, je ne vous propose ni d'opposer une question préalable, puisque sur le fond, nous sommes favorable à la directive transposée, ni de rétablir dès à présent le dispositif introduit par notre commission en première lecture, car ce serait assez vain...
Je compte interpeller le Gouvernement en séance publique, afin qu'il confirme ses engagements ; je lui rappellerai que sa solution ne peut constituer qu'une première étape, encore insuffisante. À cet effet, j'envisage de présenter un amendement de séance tendant à rétablir l'article 1er ter A ou d'intervenir sur cet article supprimé. En fonction de ce que dira le Gouvernement, nous pourrions alors adopter le texte sans modification.
Ce serait un amendement d'appel, sur un problème qui n'avait pas été perçu par les députés mais que nous avons mis lumière et qui a ému les associations de consommateurs : le Gouvernement nous dira, j'espère, où il en est...