Monsieur le président, madame la secrétaire d’État, mes chers collègues, nous abordons la nouvelle lecture du projet de loi visant à ratifier l’ordonnance du 9 août 2017, laquelle porte elle-même transposition de la directive du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, communément appelée DSP 2.
Je le dis d’emblée : nous n’avons aucun désaccord fondamental sur ce texte, madame la secrétaire d’État. Cette directive est utile, car elle améliore le marché intérieur des paiements, prend en compte les très nombreuses évolutions qui sont intervenues depuis la directive DSP 1 en 2017. En particulier, elle tient compte du formidable essor des fintech, en encadrant l’activité des agrégateurs de comptes et des initiateurs de paiement.
L’ordonnance prévoit une transposition globalement fidèle de la directive et fait bon usage des marges de manœuvre laissées aux États membres. Pour toutes ces raisons, nous souscrivons pleinement à sa ratification. L’article 1er qui y procède figurait d’ailleurs parmi les trois articles adoptés conformes dès la première lecture.
Le Sénat avait adopté treize amendements au texte voté par l’Assemblée nationale, majoritairement des mesures de correction, de coordination et d’amélioration. Nous avions par ailleurs soutenu, moyennant quelques aménagements, les deux articles additionnels 1er bis et 1er ter insérés par l’Assemblée nationale, ayant notamment pour objet d’introduire en France la pratique du cashback – pardonnez-moi tous ces anglicismes –, qui permet à un commerçant de fournir des espèces à l’occasion d’une opération d’achat. Cette disposition peut être utile, notamment en zone rurale où les distributeurs de billets sont parfois inexistants.
Cela ne peut donc nous être contesté : le Sénat s’est pleinement inscrit dans une démarche positive. Pour autant, la commission mixte paritaire a échoué le 19 avril dernier, en raison d’un article additionnel – l’article 1er ter A – introduit par notre commission des finances et visant à apporter une réponse concrète au problème des comptes non couverts par la directive. Je rappellerai brièvement l’enjeu de cet article.
Dans le cadre de la DSP 2, les agrégateurs de comptes et des initiateurs de paiement doivent s’enregistrer ou obtenir un agrément auprès de l’Autorité de contrôle prudentiel et de résolution et sont tenus de communiquer avec le gestionnaire de compte par le biais d’un canal de communication sécurisé et standardisé. Surtout, en cas de fraude ou de fuite des données, l’utilisateur peut être indemnisé immédiatement par sa banque, laquelle peut ensuite « se retourner » vers le prestataire tiers, qui doit souscrire une assurance pour garantir le remboursement. Cette obligation d’assurance est cruciale, dès lors que le capital minimum exigé n’est que de 50 000 euros. Il est aisément imaginable que, en cas de problème majeur, le capital social risque d’être insuffisant pour rembourser un grand nombre de consommateurs victimes de fraude.
La directive et, donc, l’ordonnance qui la transpose en droit français ont une limite majeure : elles ne concernent que les comptes de paiement, soit les « comptes courants », alors que les services actuellement offerts aux utilisateurs portent sur tous les comptes et produits d’épargne, sur lesquels doit porter l’essentiel de la rémunération des opérateurs. En cas de fraude ou de fuite de données sur ces comptes, l’utilisateur pourrait ainsi difficilement être indemnisé : d’une part, la banque pourrait considérer qu’elle n’y est pas tenue, puisque le consommateur a fourni ses identifiants à un tiers et, d’autre part, la fintech qui verrait sa responsabilité engagée n’aurait pas nécessairement les moyens d’y procéder, faute d’assurance obligatoire et de fonds propres suffisants.
Dans l’attente d’une solution européenne, le Sénat, vous y avez fait allusion, madame la secrétaire d’État, avait adopté un dispositif assurantiel permettant de protéger les utilisateurs : ceux-ci avaient au moins la garantie d’obtenir une indemnisation auprès du prestataire tiers, qui devait, à cette fin, souscrire une assurance complémentaire. En nouvelle lecture, l’Assemblée nationale a choisi de supprimer ce dispositif sur le fondement de trois arguments que je ne partage pas totalement.
Tout d’abord, nous ne proposons pas une surtransposition de la directive. Nous n’utilisons pas les marges de manœuvre laissées par ce texte pour imposer des exigences réglementaires plus strictes, allant au-delà du minimum requis par la norme européenne. Notre dispositif vise à encadrer une activité qui se situe hors du champ de la directive.
Par ailleurs, au-delà de la question de la surtransposition, le dispositif pourrait, selon les députés et le Gouvernement, entraîner des effets pervers et se heurterait à des difficultés d’application. Sur ce point, j’admets bien volontiers qu’une solution européenne serait préférable à une solution nationale transitoire, nécessairement imparfaite et susceptible de poser des problèmes de concurrence sur un marché aussi intégré que celui des services de paiement. Néanmoins, il me paraît difficile d’attendre une nouvelle directive sans rien faire, compte tenu des enjeux importants pour le consommateur. Il existe d’ailleurs des précédents, à l’exemple de la loi Sapin II du 9 décembre 2016, qui a protégé les épargnants en interdisant la publicité pour les produits financiers « toxiques », ces produits qui permettaient de gagner beaucoup d’argent en un jour, mais aussi de perdre tout en une minute ! Le législateur avait anticipé la directive.
Toute solution nationale transitoire étant par nature imparfaite, elle doit être évaluée pour déterminer si les inconvénients induits par son adoption excèdent les bénéfices attendus en termes de protection des consommateurs.
Ensuite, toujours selon les députés et le Gouvernement, le dispositif porté par le Sénat engendrerait des distorsions de concurrence au détriment des acteurs français.
En réalité, cette obligation d’assurance pourrait être appliquée aux prestataires étrangers au titre de leur activité en France si elle est déclarée « d’ordre public », même si la société a son siège social hors de l’Hexagone. Cela exige qu’elle réponde à des objectifs d’intérêt général au sens du droit européen, ce qui me semble manifestement être le cas.
Enfin, on nous oppose le fait que cette obligation d’assurance conduirait à donner aux utilisateurs un « faux sentiment de sécurité ».