EXAMEN EN COMMISSION
Réunie mercredi 18 juillet 2018, sous la présidence de M. Vincent Éblé président, la commission a examiné le rapport pour avis en nouvelle lecture de M. Albéric de Montgolfier sur le projet de loi n° 644 (2017-2018), adopté par l'Assemblée nationale en nouvelle lecture, ratifiant l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur
M. Vincent Éblé , président . - Nous abordons ce matin l'examen, en nouvelle lecture, du projet de loi ratifiant l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 concernant les services de paiement dans le marché intérieur, dite « DSP 2 ».
La commission mixte paritaire (CMP) réunie le 19 avril dernier s'étant conclue par un constat de désaccord, l'Assemblée nationale a statué en nouvelle lecture le 5 juillet dernier. Nous examinerons quant à nous ce texte en séance les mardi 24 juillet et mercredi 25 juillet prochains. Aucun amendement n'a été déposé sur le texte au stade de la commission.
M. Albéric de Montgolfier , rapporteur . - Je ne reviens pas sur les apports de cette directive, qui améliore le marché intérieur des paiements et prend en compte les nombreuses évolutions survenues depuis la première directive « DSP 1 » en 2007 et notamment le formidable essor des Fintech .
En première lecture le Sénat avait adopté treize amendements au texte voté par l'Assemblée nationale, douze en commission et un en séance, présenté par le Gouvernement à l'article 3. Il s'agissait pour l'essentiel de mesures de correction, de coordination et d'amélioration. Nous avions soutenu les deux articles additionnels insérés par l'Assemblée nationale, ayant notamment pour objet d'introduire en France la pratique dite du cashback . Le Sénat, dans une démarche pragmatique, avait voté trois articles conformes sur les huit articles du texte de l'Assemblée nationale.
L'ordonnance procédait à une transposition globalement fidèle de la directive et faisait bon usage des marges de manoeuvre laissées aux États membres. Sa ratification ne posait donc pas de difficulté. Pourquoi, alors, la CMP a-t-elle échoué ? La divergence a porté sur un article introduit par notre commission des finances, qui visait à apporter une réponse au problème des comptes non couverts par la directive.
Ce point de divergence se confirme en nouvelle lecture à l'Assemblée nationale, mais sur les autres points, la quasi-totalité des améliorations apportées par le Sénat a été conservée. Six articles restaient en discussion après l'échec de la CMP.
L'article 1 er ter A relatif aux comptes non couverts demeure aujourd'hui la seule « pierre d'achoppement » avec nos collègues députés.
La directive « DSP 2 » encadre l'activité des agrégateurs de comptes et des initiateurs de paiement. Le consommateur télécharge une application, fournit les codes d'accès à ses comptes bancaires, et peut alors voir l'ensemble de ses comptes et effectuer des virements. Les agrégateurs doivent s'enregistrer ou obtenir un agrément auprès de l'Autorité de contrôle prudentiel et de résolution (ACPR) et sont tenus de communiquer avec le gestionnaire de compte par le biais d'un canal de communication sécurisé et standardisé. Surtout, en cas de fraude ou de fuite des données, l'utilisateur peut être indemnisé immédiatement par sa banque ; il revient ensuite à celle-ci de se retourner vers le prestataire tiers, qui doit souscrire une assurance. L'obligation d'assurance est cruciale, puisque l'exigence de capital minimum fixée par la directive pour ces nouveaux acteurs est limitée à 50 000 euros. Cela ne suffirait pas en cas de fraude massive...
Mais la directive - et donc l'ordonnance qui la transpose en droit français - ne concerne que les comptes de paiement, c'est-à-dire les comptes courants. Il s'agit d'une limite majeure, car les services actuellement offerts aux utilisateurs portent sur l'ensemble des comptes et produits d'épargne, livrets A, contrats d'assurance, comptes-titres... Ainsi, 80 % des comptes agrégés ne seraient pas des comptes de paiement.
Il existe donc un vide juridique dommageable pour les utilisateurs. Seuls les virements depuis un compte courant sont protégés. Pour les comptes non couverts par la directive, la banque ne serait pas contrainte d'indemniser l'utilisateur en cas de fraude ou de fuite des données, dans la mesure où ce dernier a révélé ses identifiants à un tiers.
Dès lors, il m'est apparu indispensable de proposer une mesure permettant de protéger les utilisateurs. Nous avons adopté une disposition contraignant les agrégateurs et les initiateurs à souscrire une assurance complémentaire pour les comptes non couverts. L'Assemblée nationale l'a supprimée.
Elle considère en particulier que l'obligation d'assurance constitue une forme de surtransposition. Je ne peux qu'être en désaccord sur ce point. Vous le savez, les États membres disposent de marges de manoeuvre pour atteindre les objectifs fixés par une directive. La surtransposition doit être entendue comme le fait d'utiliser ces marges de manoeuvre pour imposer des exigences réglementaires plus strictes, allant au-delà du minimum requis par la norme européenne. En première lecture, nous avons du reste vérifié que le Gouvernement avait correctement utilisé les latitudes laissées par la directive. Nous encadrons ici une activité qui se situe hors du champ de la directive. Considérer qu'il s'agit d'une surtransposition reviendrait à interdire au législateur national de se saisir des sujets non couverts par le droit européen ! Notre collègue Jean-François Rapin, qui s'est intéressé aux risques de surtransposition pour ce texte au nom de la commission des affaires européennes, a partagé notre point de vue.
L'Assemblée nationale et le Gouvernement considèrent en outre que le dispositif pourrait entraîner des effets pervers et se heurterait à des difficultés d'application. La ministre nous a affirmé qu'une solution serait proposée au plan européen, mais on ne peut l'espérer prochainement.
J'observe d'ailleurs qu'il existe des précédents. La loi Sapin 2 du 9 décembre 2016 a interdit la publicité pour les produits financiers toxiques, dans l'attente d'une solution européenne, qui est finalement intervenue en janvier dernier, avec l'interdiction de commercialisation décidée par l'autorité européenne des marchés financiers (AEMF). Nous avions sans attendre prononcé cette interdiction, pour protéger les épargnants français avant la solution européenne.
Le dispositif porté par le Sénat engendrerait aussi, nous dit-on, des distorsions de concurrence au détriment des acteurs français. Ce point me semble pouvoir être nuancé. L'obligation pourrait en effet être appliquée aux prestataires étrangers au titre de leur activité en France, puisqu'il existe bien un motif d'intérêt général au sens du droit européen.
Il est en revanche vrai que le contrôle de son respect ne pourrait pas s'appuyer sur la coopération renforcée entre les autorités nationales de régulation telle qu'introduite par la directive. Il existe en revanche une obligation générale de coopération entre les autorités, sur laquelle pourrait s'appuyer l'ACPR.
Cette obligation d'assurance, objectent enfin nos interlocuteurs, conduirait à donner aux utilisateurs un « faux sentiment de sécurité ». Certes, les prestataires tiers pourraient s'assurer auprès d'entreprises installées dans des pays peu regardants sur le plan prudentiel. Des défaillances d'assureurs ont pu être observées dans différents secteurs - en particulier dans la construction. Précisément, il s'agit d'une difficulté commune à toutes les obligations d'assurance, elle n'est pas spécifique à notre dispositif. C'est au régulateur européen des assurances d'intervenir sur ce point.
Quoi qu'il en soit, grâce au dispositif que nous avons adopté, nous avons conduit le Gouvernement à réfléchir à la question et à chercher des solutions pour l'examen en nouvelle lecture. Il s'est ainsi engagé sur trois points. Premièrement, Delphine Gény-Stephann, secrétaire d'État auprès du ministre de l'économie et des finances, nous avait indiqué en première lecture que le Gouvernement lancerait une « mission de réflexion pour formuler des propositions adéquates à porter auprès de nos partenaires européens et de la Commission européenne » - mais combien de temps de processus exigera-t-il ?
Deuxièmement, elle a indiqué devant l'Assemblée nationale que la Commission européenne a été saisie par le Gouvernement pour « établir un cadre juridique unifié au niveau européen sécurisant l'utilisation de l'ensemble des données financières individuelles et incluant les données issues de comptes d'épargne » .
Enfin et surtout, le Gouvernement entend saisir la Commission nationale de l'informatique et des libertés (CNIL) sur les modalités d'accès aux comptes non couverts par la directive. En effet, le règlement général sur la protection des données (RGPD) est ici applicable ; la CNIL dispose d'outils de régulation et elle pourrait édicter des « lignes directrices » concernant les modalités d'accès aux comptes non couverts par la directive. Un bémol toutefois : les lignes directrices de la CNIL n'ont pas de valeur contraignante. Il s'agit de droit souple.
Ce qui pose réellement problème, c'est le risque que les prestataires tiers se trouvent dans l'incapacité d'indemniser les utilisateurs en cas de problème. Les exemples récents de piratage et de fraude constatés sur des sites Internet reconnus, dotés d'importants systèmes de sécurité informatique, suggèrent qu'il ne s'agit pas d'un risque théorique.
Quoi qu'il en soit, nos efforts n'ont pas été vains et l'échec de la CMP a eu pour effet d'obliger le Gouvernement à revenir vers le Parlement avec des pistes de réflexion et des engagements. À ce stade de la navette, je ne vous propose ni d'opposer une question préalable, puisque sur le fond, nous sommes favorable à la directive transposée, ni de rétablir dès à présent le dispositif introduit par notre commission en première lecture, car ce serait assez vain...
Je compte interpeller le Gouvernement en séance publique, afin qu'il confirme ses engagements ; je lui rappellerai que sa solution ne peut constituer qu'une première étape, encore insuffisante. À cet effet, j'envisage de présenter un amendement de séance tendant à rétablir l'article 1 er ter A ou d'intervenir sur cet article supprimé. En fonction de ce que dira le Gouvernement, nous pourrions alors adopter le texte sans modification.
Ce serait un amendement d'appel, sur un problème qui n'avait pas été perçu par les députés mais que nous avons mis lumière et qui a ému les associations de consommateurs : le Gouvernement nous dira, j'espère, où il en est...
M. Bernard Lalande . - Nous conservons notre position et voterons l'amendement du rapporteur général en séance, au nom de la protection des consommateurs.
M. Albéric de Montgolfier , rapporteur . - Je pourrais aussi le retirer, pour assurer un vote conforme du texte.
M. Jérôme Bascher . - Comment voter le texte du projet de loi tel que renvoyé par l'Assemblée nationale ? Cela me semblerait impossible après l'attitude de nos collègues députés lors de la CMP ! Ne pas réagir face aux risques de fraude serait insupportable.
M. Albéric de Montgolfier , rapporteur . - Notre proposition n'était pas non plus parfaite. Elle a suscité une discussion intense avec le Gouvernement et l'Assemblée nationale. Ils ont reconnu qu'il y a là un vrai sujet. Le Gouvernement a avancé d'autres pistes qui peuvent être décevantes, je vous l'accorde.
M. Jean-Claude Requier . - Mon groupe soutiendra l'éventuel amendement. C'est un sujet très technique, mais c'est la protection du consommateur qui est en jeu.
M. Rémi Féraud . - Je partage la position du rapporteur général. Le Gouvernement a dit qu'il y travaillerait, il n'a pas encore trouvé de solution. S'il faut attendre deux ou trois ans un texte européen, le délai est trop long. D'autant que la directive « DSP 2 » est déjà en retard sur les innovations financières. La solution proposée au Sénat nous rassemblait. Il est dommage qu'elle n'ait pas été retenue. Cela ne doit pas nous conduire à rejeter le texte, car nous voulons ratifier la directive. Mais il y a un vrai problème, y compris de relations entre le Sénat, l'Assemblée nationale et le Gouvernement, sur une matière qui n'est pourtant pas clivante politiquement.
M. Albéric de Montgolfier , rapporteur . - Il est dommage que le délai depuis la CMP n'ait pas été davantage mis à profit par le Gouvernement. Nous verrons en séance ce à quoi il s'engage, notamment sur le rôle de l'ACPR, et j'attends des précisions sur l'action de la CNIL. Si les obligations informatiques sont réellement renforcées, contrôlées par l'ACPR, fort bien.
M. Philippe Dallier . - Sur les solutions de sécurité informatique, je ne vois pas ce que l'on pourrait inscrire de façon efficace. Les choses évoluent tellement vite...
M. Albéric de Montgolfier , rapporteur . - Bien sûr. Le Gouvernement pourra néanmoins nous indiquer quel dispositif il compte retenir.
M. Philippe Dallier . - Mais qu'est-ce qu'un niveau de sécurité renforcé ? J'ose espérer qu'en matière de produits financiers, le top niveau est déjà assuré... Notre idée de départ était la bonne.
M. Vincent Éblé , président . - Pour l'heure, c'est le texte de l'Assemblée nationale qui est soumis au vote de la commission.
M. Albéric de Montgolfier , rapporteur . - Je vous invite à l'adopter, puis je présenterai un amendement en séance publique.
Le projet de loi est adopté sans modification.