examen des articles
Lors de sa seconde réunion du mercredi 27 juin 2018, la commission a examiné, en nouvelle lecture, le projet de loi, modifié par le Sénat, ratifiant l’ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (n° 812).
M. le président Éric Woerth. Réunie le 19 avril dernier, la commission mixte paritaire n’est pas parvenue à adopter un texte sur les dispositions restant en discussion du projet de loi ratifiant l’ordonnance du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015, dite « DSP 2 ».
Par courrier en date du 19 avril dernier, le Premier ministre a donc fait connaître que le Gouvernement demandait à ce qu’il soit procédé à une nouvelle lecture de ce projet de loi.
Mme Nadia Hai, rapporteure. Ce projet de loi de ratification de l’ordonnance du 9 août 2017 transposant la directive du 25 novembre 2015 sur les services de paiement dans le marché intérieur a été adopté par notre assemblée en première lecture le 8 février dernier et par le Sénat le 22 mars. La commission mixte paritaire, qui s’est tenue le 19 avril dernier, n’a pas abouti à un texte commun.
La directive « DSP 2 » modernise le cadre juridique de « DSP 1 », qui datait de 2007, pour poursuivre l’harmonisation des normes en matière de services de paiement et pour prendre en compte l’impact des nouvelles technologies sur le secteur. Elle s’articule autour de quatre axes principaux.
Le premier axe est la consécration juridique au niveau européen de deux nouveaux types d’acteurs : les prestataires de services d’initiation de paiement et les prestataires de services d’information sur les comptes. Les premiers, également appelés initiateurs de paiements, passent des ordres de paiement à la demande du consommateur, à partir d’un compte de paiement détenu auprès d’une banque. Ils permettent aux consommateurs de payer leurs achats en ligne par simple virement, en donnant aux commerçants l’assurance que le paiement a bien été initié. La France compte environ 2,5 millions d’utilisateurs de ces services. Les seconds, appelés agrégateurs, permettent aux consommateurs de disposer d’une vision transversale de leurs finances sur l’ensemble de leurs comptes, gérés par une ou plusieurs banques. On compte 4 millions d’utilisateurs de ces services en France. DSP 2 offre à ces acteurs un cadre d’action, formalise leurs droits et les obligations qui leur incombent. Elle améliore la qualité des services de paiement et favorise la concurrence dans le secteur, au bénéfice du consommateur.
Le deuxième axe est le renforcement des normes de sécurité d’accès aux données des comptes de paiement des utilisateurs.
Le troisième axe est l’enrichissement des droits des utilisateurs de services de paiement, notamment en matière de frais dont ils doivent s’acquitter ou de remboursements dont ils bénéficient en cas d’opérations mal exécutées.
Le quatrième axe est l’amélioration de la supervision transfrontalière des établissements de paiement et des établissements de monnaie électronique.
Le projet de loi soumis à notre examen a pour objet de ratifier l’ordonnance du 9 août 2017 de transposition de cette directive. Il procède également à des ajustements du code monétaire et financier, en rapport avec les règles de DSP 2.
Le texte déposé par le Gouvernement a été modifié par plusieurs amendements en première lecture. L’Assemblée nationale a adopté deux amendements du Gouvernement.
Le premier aura une conséquence directe sur le quotidien des Français. Il fixe des règles permettant aux commerçants de fournir des espèces à leurs clients, lors d’un paiement par carte bancaire. Par exemple, à l’occasion de l’achat d’un bien d’une valeur de 15 euros, il lui sera possible de régler un montant de 20 euros par carte ; le commerçant lui rendra 5 euros en espèces. En théorie, cette pratique est autorisée depuis l’entrée en vigueur de DSP 1, mais, faute d’un encadrement suffisant par la loi, il était risqué pour les commerçants de réaliser les investissements nécessaires à son développement. Je ne reviens pas sur les bénéfices de cette mesure, que nous avons évoqués en séance publique. Le Sénat a adopté conforme l’article en question.
L’Assemblée nationale a également adopté en première lecture un amendement du Gouvernement pour accélérer l’entrée en vigueur de certaines normes de sécurité concernant l’accès aux données des comptes de paiement. Actuellement, je vous le rappelle, l’accès aux données bancaires des consommateurs s’opère par la technique de l’accès direct non identifié, également appelée « web scraping non identifié ». Cette technique ne présentant pas les garanties de sécurité suffisantes, le législateur européen a décidé de fixer des normes de sécurité renforcées pour l’accès aux données des comptes de paiement.
DSP 2 prévoit en effet que les agrégateurs, les initiateurs de paiements et les banques communiquent entre eux les informations sur les comptes de paiement de manière sécurisé. En France, les banques développent une interface dédiée de type API (application programming interface), qui devra correspondre aux critères de sécurité édictés par le droit européen. Les principaux agrégateurs et initiateurs de paiements sont associés au développement de cette interface au sein d’un groupe de travail dont le secrétariat est assuré conjointement par la direction générale du Trésor et la Banque de France.
Ces normes techniques de réglementation doivent, en l’état du droit, entrer en vigueur au mois de septembre 2019. L’amendement du Gouvernement, adopté par l’Assemblée, permettra d’anticiper cette entrée en vigueur de quelques mois.
Au Sénat, deux amendements notables ont été adoptés.
Le premier, à l’initiative du Gouvernement, clarifie la rédaction du code monétaire et financier, afin que la loi étende explicitement le bénéfice de la garantie des dépôts aux sommes déposées par les sociétés de financement, les établissements de monnaie électronique et les établissements de paiement, lorsque ces sommes ne sont pas déposées en leur nom et pour leur compte propre. Il s’agit de garantir par transparence les sommes que les consommateurs confient à ces acteurs. Concrètement, lorsqu’un particulier ou une entreprise confie des fonds à un établissement de paiement ou à un établissement de monnaie électronique, celui-ci peut le déposer sur un compte de cantonnement dont l’objet est de protéger ces fonds. Si la banque qui tient ce compte fait faillite, les ayants droit de ces sommes seront indemnisés dans le cadre du mécanisme de garantie des dépôts.
Actuellement, un arrêté prévoit cette protection par transparence, mais la rédaction de la loi est ambiguë. L’amendement la clarifie pour sécuriser juridiquement le dispositif réglementaire.
Le second amendement adopté par le Sénat, à l’initiative de M. Albéric de Montgolfier, rapporteur du texte, a pour objet de soumettre à une obligation d’assurance les établissements de paiement, les établissements de monnaie électronique et les agrégateurs, au titre de leurs activités concernant des comptes autres que ceux de paiement. Il s’agit donc de comptes hors du champ de la directive. Je proposerai un amendement de suppression de cette disposition, compte tenu des difficultés que son adoption entraînerait.
En effet, il s’agit d’abord d’une surtransposition de la directive. Cette obligation d’assurance ne s’accompagne d’ailleurs pas du renforcement des normes de sécurité sur les comptes autres que les comptes de paiement.
Ensuite, la disposition proposée engendrerait des distorsions de concurrence. Elle ne concernerait pas les agrégateurs qui seraient spécialisés sur les comptes hors du champ de DSP 2 et le contrôle du respect de l’obligation d’assurance ne pourrait pas bénéficier des procédures spécifiques de coopération entre les autorités nationales de régulation. Il n’est pas certain que la disposition soit d’ordre public et qu’elle puisse s’appliquer aux prestataires agréés dans d’autres pays de l’Union européenne.
Il n’est pas certain non plus qu’un marché de l’assurance puisse se développer sur ce segment. Et les représentants des professionnels de l’assurance ne sont eux-mêmes pas favorables à l’introduction de cette disposition.
Enfin, rappelons que la plupart des prestataires tiers ayant des activités sur les comptes hors du champ de DSP 2 ont également des activités dans le champ de DSP 2. Leurs agréments sur les comptes de paiement permettent de garantir que, dans l’ensemble, leur système de sécurité répond aux exigences de la directive.
Cette proposition a toutefois permis de mettre davantage l’accent sur la protection du consommateur et sur la prévention des risques que les activités d’initiation de paiement et d’agrégation peuvent comporter.
Il serait utile que la Commission nationale de l’informatique et des libertés (CNIL), en lien avec l’Autorité de contrôle prudentiel et de résolution (ACPR) et l’Agence nationale de la sécurité des systèmes d’information (ANSSI), édicte des recommandations ou des lignes directrices qui favorisent les bonnes pratiques dans le secteur.
Je vous proposerai d’adopter ce projet de loi, moyennant l’adoption de cet amendement de suppression et d’amendements rédactionnels. Ainsi transposée, DSP 2 permet à la fois de favoriser la concurrence dans le secteur des services de paiement, d’améliorer la qualité de services pour les utilisateurs de services de paiement et de renforcer la protection des données des consommateurs. Ce projet de loi de ratification a été utilement modifié dans cet objectif.
La commission en vient à l’examen des articles.
Article 1er ter A (nouveau)
(article L. 522-7-2 du code monétaire et financier)
Obligation d’assurance et d’immatriculation pour les prestataires et établissements qui initient des opérations de paiement ou permettent d’accéder aux données concernant des comptes autres que les comptes de paiement
Cet article propose de soumettre les prestataires et établissements qui initient des opérations de paiement ou qui permettent d’accéder aux données concernant des comptes autres que des comptes de paiement à une double obligation :
– une obligation d’assurance de responsabilité civile professionnelle ;
– une obligation d’immatriculation auprès de l’Autorité de contrôle prudentiel et de résolution (ACPR) sur un registre unique, dont la consultation est libre.
Il ajoute que la responsabilité des prestataires tiers peut être engagée en cas de fraude, même lorsqu’une clause contractuelle contraire existe.
Introduites par un amendement de M. Albéric de Montgolfier, rapporteur général de la commission des finances du Sénat et rapporteur du présent projet de loi, ces dispositions visent à renforcer la protection du consommateur. Pour ce faire, elles fixent des règles touchant à des activités et à des acteurs qui sont pourtant hors du champ de la directive.
I. Les dispositions adoptées par le sénat
A. Les dispositions relatives à la responsabilité des initiateurs de paiement et des agrégateurs de comptes au titre de leurs activités sur des comptes autres que des comptes de paiement
Partant du constat que le régime de protection de l’utilisateur des services d’initiation de paiement ou d’agrégation des comptes est incomplet, le Sénat propose d’introduire dans le code monétaire et financier deux dispositions concernant le régime de responsabilité des prestataires tiers en cas de fraude.
1. La nullité des clauses exonératoires de responsabilité
Le I de l’article L. 522-7-2 que le Sénat propose d’introduire dans le code monétaire et financier frapperait de nullité toute clause exonérant de leur responsabilité en cas de fraude les prestataires de paiement qui initient des ordres de paiement ou agrègent des comptes, lorsque ces activités concernent des comptes autres que des comptes de paiement ou portent sur des opérations de crédit.
Les activités d’initiation de paiement et d’agrégation visées par ce nouvel article sont plus précisément celles qui ont trait aux :
– comptes sur livret ;
– comptes à terme ;
– comptes-titres ;
– comptes sur lesquels sont inscrits des titres, avoirs ou dépôts au titre des produits d’épargne conclus à distance et hors établissements entre un établissement de crédit et un consommateur ;
– crédits immobiliers ;
– crédits à la consommation ;
– bons, contrats de capitalisation ou placements de même nature souscrits auprès d’entreprises d’assurance.
Les cas de fraude concernés par la disposition sont les opérations non autorisées, les accès non autorisés ou frauduleux aux données et l’utilisation non autorisée ou frauduleuse de ces données.
Dans ces cas précis, lorsque la situation est imputable au prestataire tiers, celui-ci ne pourrait exciper d’une clause contractuelle l’exonérant de sa responsabilité, d’après le dispositif proposé par le Sénat.
2. L’obligation d’assurance de responsabilité civile
Le II de l’article obligerait les établissements de paiement, les établissements de monnaie électronique, les initiateurs de services de paiement et les agrégateurs, au titre de leur activité concernant les comptes listés supra, à disposer d’une assurance de responsabilité civile professionnelle. À noter que les établissements de crédit ne sont pas concernés par l’obligation d’assurance que souhaite créer le Sénat. Le rapporteur justifie cette exclusion « par parallélisme avec le dispositif prévu par la directive et compte tenu des règles prudentielles spécifiques qui leur sont applicables () ».
Un décret en Conseil d’État devrait alors fixer les modalités d’application de cette obligation, les critères permettant de déterminer le montant minimal de l’assurance de responsabilité civile professionnelle ainsi que les délais dans lesquels l’indemnisation doit intervenir.
B. L’obligation d’immatriculation des prestataires tiers
Le III de l’article L. 522-7-2 que le Sénat propose d’introduire dans le code monétaire et financier imposerait aux prestataires entrant dans le champ de l’obligation d’assurance de s’immatriculer sur un registre unique, tenu par l’Autorité de contrôle prudentiel et de résolution (ACPR) et pouvant être librement consulté.
Les conditions d’immatriculation, les modalités de la tenue du registre et la liste des informations qui doivent être rendues publiques seraient précisées par un décret pris après avis du Conseil d’État.
II. La position de la rapporteure
La rapporteure propose la suppression de l’ensemble des dispositions de cet article. Elle souhaite néanmoins que les bonnes pratiques que devraient respecter les intermédiaires de paiement accédant à des données autres que de paiement soient favorisées. Le droit souple semble l’outil adéquat.
A. L’obligation d’assurance et d’immatriculation pour les prestataires tiers au titre de leurs activités sur des comptes autres que les comptes de paiement : un dispositif difficilement applicable et à l’efficacité incertaine
● L’instauration d’une nullité des clauses exonérant de leur responsabilité en cas de fraude les prestataires de services de paiement, dans le cadre de leur activité concernant des comptes autres que des comptes de paiement est satisfaite par le droit existant.
Pour les contrats entre les particuliers et les prestataires de paiement, cet amendement est satisfait par les dispositions de droit commun du code civil en matière de responsabilité ().
Pour les contrats entre des prestataires de paiement et des entreprises, le droit offre également des protections qui semblent suffisantes. L’article L. 442-6 du code de commerce dispose ainsi que le préjudice causé par le fait de soumettre ou de tenter de soumettre un partenaire commercial à des obligations créant un déséquilibre significatif engage la responsabilité de son auteur.
● L’obligation d’assurance civile professionnelle pour les établissements de paiement, les établissements de monnaie électronique et les prestataires de services d’information sur les comptes pose des problèmes de principe et de fond.
Sur le principe, cette disposition encadre l’activité des prestataires de paiement sur des comptes qui sont hors du champ de la directive DSP 2, ce qui constitue une forme de surtransposition. Or, a priori, il n’est pas de bonne pratique d’étendre sans une analyse approfondie les dispositions d’une directive européenne à des champs qui en sont exclus. C’est d’ailleurs la raison pour laquelle l’Assemblée nationale a rejeté en première lecture un amendement de notre collègue Jean-Noël Barrot qui visait à étendre l’ensemble des dispositions de la directive aux comptes d’épargne.
Sur le fond, cette obligation d’assurance entraînerait des effets pervers et se heurterait à des difficultés d’application qui incitent la rapporteure à recommander que la disposition introduite par le Sénat soit supprimée.
En premier lieu, cette disposition engendrerait des distorsions de concurrence à plusieurs titres. D’abord, elle ne serait applicable qu’aux prestataires de services d’information sur les comptes agréés, c’est-à-dire qui consacrent tout ou partie de leur activité à des prestations de services d’information sur les comptes de paiement. Un agrégateur spécialisé dans l’information sur des comptes autres que les comptes de paiement ne serait pas soumis à cette obligation d’assurance. Ensuite, pour que cette obligation soit applicable aux prestataires étrangers au titre de leur activité en France, c’est-à-dire pour qu’elle soit d’ordre public, elle doit répondre à des objectifs d’intérêt général au sens du droit européen, afin de respecter le principe de libre prestation de services. Or, la satisfaction de cette condition n’est pas évidente. Enfin, cette disposition allant au-delà de ce que prévoit la directive, le contrôle de son respect ne pourrait pas s’appuyer sur le dispositif de coopération entre les autorités nationales de régulation que prévoit la directive. Les mesures conservatoires que l’autorité de régulation d’un État membre d’origine d’un prestataire tiers peut prendre lorsque ce dernier ne se conforme pas aux exigences de DSP 2 dans le cadre de l’exercice de ses activités dans un autre État membre ne seraient pas davantage applicables. En France, il reviendrait à l’ACPR de contrôler directement le prestataire tiers étranger, sans le concours des autorités compétentes de l’État d’origine du prestataire.
En second lieu, cette obligation d’assurance conduirait à donner aux utilisateurs des services d’initiation de paiement et d’agrégation une apparence de sécurité. L’obligation d’assurance ne s’accompagne pas, en effet, de dispositions renforçant la sécurité de l’accès aux données, comme c’est le cas pour les comptes de paiement, pour lesquels la communication des données se fera par des interfaces de type API. Il n’est pas satisfaisant de construire un système national dissymétrique, prévoyant une obligation d’assurance, sans étendre à ces comptes les autres dispositions de DSP 2. Cette extension globale est nécessaire, mais elle ne peut être réalisée qu’au niveau européen.
En tout état de cause, il serait souhaitable qu’une analyse approfondie soit menée préalablement à l’adoption d’une telle disposition. Il n’est par exemple pas certain qu’un marché de l’assurance se créerait aisément sur ce segment. Lors de son audition par la rapporteure, la Fédération française des assurances (FFA) a indiqué qu’elle « considère que cette obligation n’est pas appropriée en termes de protection des consommateurs » () et note la frilosité des assureurs sur ce segment.
● L’application de l’obligation d’enregistrement des prestataires de services d’information sur les comptes, des établissements de paiement et des établissements de monnaie électronique sur un registre unique, librement accessible au public et tenu par l’ACPR serait très complexe à contrôler.
L’ACPR elle-même, dans une contribution écrite adressée à la rapporteure, souligne la difficulté à appliquer un régime d’autorisation national à des acteurs européens non installés en France. La logique de double agrément pour l’accès aux comptes de paiement et pour les autres comptes est, de plus, juridiquement incertaine. La tenue de ce registre pose des questions de faisabilité et de complétude en l’absence d’un cadre spécifique. En l’état, l’ACPR ne serait pas en mesure de tenir ce registre.
B. Promouvoir les bonnes pratiques de protection des données par le droit souple
● La rapporteure a étudié la possibilité d’introduire des dispositions législatives améliorant l’information des utilisateurs de services de paiement par voie d’amendement.
Ses travaux et les auditions qu’elle a menées l’ont toutefois conduit à écarter cette idée, le droit en vigueur permettant déjà d’atteindre cet objectif de manière satisfaisante. L’introduction d’une disposition législative spécifique au secteur risquerait de créer des incohérences dans l’application des dispositions en vigueur.
Le règlement général de protection des données (RGPD) du 27 avril 2016 (), entré en vigueur le 25 mai 2018, répond à un certain nombre de difficultés concernant la sécurité de l’accès aux données et le risque financier encouru par les utilisateurs de services de paiement. Le RGPD est en effet applicable à tout traitement de données personnelles (). Il complète les exigences de DSP 2 en termes de sécurité des données, tout en s’appliquant sur les données des comptes hors du champ de DSP 2.
Lors de son audition par la rapporteure, Mme Clémence Scottez, cheffe du service des affaires économiques de la Commission nationale de l’informatique et des libertés (CNIL), a estimé que des dispositions législatives supplémentaires renforçant l’information du consommateur seraient inutiles, les règles du RGPD fixant un ensemble d’obligations suffisantes à cet égard (). Plus généralement, elle a observé que l’ajout de dispositions sectorielles en matière de protection des données favorise les incohérences juridiques et complique l’application de dispositions générales pourtant puissantes. Selon elle, les règles du RGPD permettent déjà de responsabiliser les prestataires tiers quant aux traitements des données.
Les prestataires tiers doivent ainsi se conformer aux obligations de documentation (), de pertinence des données collectées par rapport à l’objectif poursuivi () et d’information préalable quant aux caractéristiques des traitements et de respect des droits des personnes (). De même, le RGPD définit des conditions strictes de consentement du consommateur au traitement de ses données (). Les prestataires tiers ont également l’obligation de prendre des mesures de sécurité adaptées aux traitements des données qu’ils effectuent, sous le contrôle de la CNIL. Dans le cadre de cette obligation, le risque financier encouru par les utilisateurs des services de paiement est pris en compte par la CNIL pour identifier les mesures de sécurité et d’organisation adéquates.
Les sanctions prévues en cas d’infraction aux règles du RGPD sont par ailleurs suffisamment dissuasives. Les prestataires tiers qui violeraient ses dispositions en matière de traitement des données peuvent se voir infliger une sanction administrative par la CNIL pouvant aller jusqu’à 4 % de leurs chiffres d’affaires.
● La CNIL a indiqué à la rapporteure qu’elle pourrait émettre des recommandations, susceptibles de prendre la forme de lignes directrices, afin d’encourager les bonnes pratiques dans le secteur des services de paiement et de prendre en compte les risques spécifiques qui lui sont attachés. Elle estime que ces recommandations contribueraient efficacement à accompagner les professionnels du secteur dans l’application pratique des règles du RGPD qui leur sont applicables.
Il ne serait pas inutile que l’ACPR et l’Agence nationale de la sécurité des systèmes d’information (ANSSI) assistent la CNIL dans l’élaboration des recommandations qu’elle pourrait publier, compte tenu de leurs expertises dans les domaines des services de paiement et de la sécurité des données.
*
* *
La commission se saisit de l’amendement CF1 de la rapporteure.
Mme la rapporteure. Comme je vous l’ai expliqué, je vous propose de supprimer cet article nouveau par lequel le Sénat a voulu instaurer une obligation d’assurance. D’ailleurs, après discussion, le sénateur de Montgolfier a reconnu que ce n’était pas forcément la bonne manière d’appréhender la protection du consommateur.
Mme Véronique Louwagie. Il n’en demeure pas moins que la commission mixte paritaire a échoué. Il devait donc bien y avoir des divergences entre le Sénat et le groupe majoritaire La République en Marche de l’Assemblée.
Vous avez certes, madame la rapporteure, exposé vos arguments, notamment relatifs à la surtransposition et à des problèmes techniques, mais n’en demeure pas moins un problème, disons, « de garanties ». Dans certaines situations, l’utilisateur, souvent sans en avoir conscience, prend le risque de se retrouver seul responsable en cas de fraude sur des comptes non couverts par les directives, sur des comptes d’épargne. Il ne pourrait alors obtenir un remboursement ni auprès de sa banque ni auprès du prestataire tiers.
On peut déplorer l’absence de solution européenne sur cette question des comptes d’épargne mais, si nous adoptons cet amendement de suppression, il n’y aura aucune garantie pour les utilisateurs, ce qu’on peut regretter.
M. Jean-Louis Bricout. Ce texte, qui vise à moderniser les services de paiement en Europe au profit des consommateurs et des entreprises dans un marché en évolution rapide, nous convient. Nous regrettons simplement que la CMP n’ait pas retenu la disposition par laquelle le Sénat a voulu étendre le champ de la directive DSP 2 aux comptes autres que ceux de paiement et renforcer la protection des consommateurs.
Mme la rapporteure. Chère collègue Véronique Louwagie, le régime de la responsabilité en vigueur n’est pas modifié. Si cette obligation d’assurance n’a pas été retenue, c’est parce qu’elle nous paraissait une fausse bonne idée qui n’offre pas de garanties, d’un point de vue financier, au consommateur.
En ce qui concerne la protection des données, nous pensons que le règlement général sur la protection des données (RGPD) offre une protection appropriée, s’agissant notamment de l’information du consommateur. En revanche, aujourd’hui, il n’est absolument pas possible de mettre en place cette garantie financière. L’ACPR, la Banque de France et la Fédération française de l’assurance nous l’ont très clairement dit.
Quant aux comptes d’épargne, c’est très compliqué, cher collègue Bricout. La mise au point des API sur les comptes de paiement prend déjà énormément de temps. Dans une première phase, il s’agit de mettre en place ce système d’accès sécurisé pour les comptes de paiement. Nous souhaitons que le procédé soit étendu aux autres types de comptes d’épargne et qu’un dispositif harmonisé soit mis en place dans l’Union européenne.
M. Charles de Courson. Une disposition telle que celle qui est l’objet de cet article est-elle en vigueur dans un autre pays de l’Union européenne ?
Mme la rapporteure. À notre connaissance, ce n’est le cas dans aucun. En fait, peu nombreux sont ceux qui ont transposé la directive, la France étant l’un des premiers.
M. Charles de Courson. Cela veut dire qu’aucune assurance ne joue. Si nous supprimons cet article, le consommateur qui découvre que l’on a abusé de ses comptes devra attaquer l’organisme bancaire.
Mme la rapporteure. Le consommateur n’a pas directement affaire à celui-ci : il a affaire au prestataire.
Il faut savoir qu’aujourd’hui, peu de compagnies d’assurances sont prêtes à proposer une telle assurance – ou alors ce serait seulement en plafonnant les éventuels dédommagements à des montants très faibles. Par ailleurs, l’obligation instaurée pourrait ne peser que sur les prestataires agréés en France, non sur les autres entreprises qui opèrent sur le sol français.
Cette obligation d’assurance part d’un très bon sentiment, mais il est impossible de la mettre en œuvre.
M. Daniel Labaronne. Lors de la réunion de la commission mixte paritaire, à laquelle je participais, j’ai demandé au sénateur de Montgolfier s’il avait sollicité le Comité consultatif du secteur financier (CCSF), qui réunit le monde de l’assurance et des banques, les usagers et les épargnants, pour avoir un avis un peu éclairé sur cette question ; il m’a répondu que non. Pour ma part, j’en ai peu discuté, de manière très informelle, et il m’a été répondu qu’il n’y avait pas d’assurance pour ce type de risque.
La commission adopte l’amendement.
En conséquence, l’article 1er ter A est supprimé.
*
* *
Article 1er ter
(article 34 de l’ordonnance n° 2017-1252 du 9 août 2017)
Dispositions transitoires relatives à la communication entre prestataires de services d’initiation de paiement ou prestataires de services d’information sur les comptes, gestionnaires de comptes et utilisateurs de services de paiement
Inséré par l’Assemblée nationale à l’initiative du Gouvernement, cet article modifie l’article 34 de l’ordonnance du 9 août 2017 en renvoyant à un décret le soin d’encadrer les modalités de communication des prestataires de services d’initiation de paiement, d’une part, et des prestataires de services d’information sur les comptes, d’autre part, avec les utilisateurs de services de paiement et les gestionnaires de compte.
Il s’agit d’écourter la période maximale de transition prévue par le droit européen, en anticipant l’entrée en vigueur des dispositions de la directive renforçant la sécurité de ces communications. En l’état du droit, l’ensemble des dispositions de la directive entrera en vigueur en le 14 septembre 2019. Cet article vise à avancer de six mois cette échéance.
I. Le droit en vigueur
A. Les dispositions du droit européen
● Actuellement, la technique la plus utilisée par les prestataires tiers pour accéder aux données des établissements gestionnaires de compte, appelée accès direct non identifié, screen scraping non identifié ou web scraping non identifié, présente des fragilités de sécurité. Le directeur général de l’ANSSI et le gouverneur de la Banque de France ont fait part de leurs inquiétudes au Gouvernement quant aux risques de l’utilisation de cette technique, comme l’a rappelé Mme Delphine Gény‑Stephann, secrétaire d’État auprès du ministre de l’économie et des finances, lors de l’examen du projet de loi en première lecture à l’Assemblée nationale ().
Ces risques expliquent et justifient les dispositions de la directive renforçant les modalités de communication d’informations entre les prestataires tiers, les prestataires gestionnaires des comptes et les utilisateurs de services de paiement.
Le web scraping, screen scraping ou « accès direct »
Le web scraping est une méthode d’extraction de données. Elle consiste à extraire d’une page internet des informations spécifiquement recherchées. Elle est notamment utilisée par les moteurs de recherche et leur permet de détecter des mots-clefs dans les pages internet afin de proposer celles d’entre elles qui sont les plus pertinentes en fonction de la demande de l’utilisateur.
Cette méthode est également utilisée par de nombreux prestataires de services de paiement. Les PSIC et les PSIP en usent pour obtenir, avec leur consentement, les données bancaires de leurs clients détenues par les établissements gestionnaires de compte. Actuellement, ces prestataires tiers accèdent aux données en se faisant passer pour l’utilisateur du compte via l’interface que les banques mettent à la disposition de leurs clients. Pour ce faire, ils utilisent les identifiants et mots de passe de ces derniers. Le web scraping non identifié est risqué en ce qu’il favorise la circulation des identifiants et des données bancaires. Il ne permet pas non plus un partage optimal des responsabilités en cas d’opérations frauduleuses, compte tenu du défaut d’identification. Il y a toutefois lieu de distinguer la technique d’accès elle-même des modalités d’usage de cette technique, qui peuvent comporter un risque par le stockage de certaines données et l’absence d’identification des prestataires tiers lorsqu’ils accèdent aux données.
● Le délai de transposition de la directive a expiré le 13 janvier 2018, date d’entrée en vigueur des dispositions de l’ordonnance du 9 août 2017 la transposant. Néanmoins, l’entrée en vigueur des dispositions de la directive renforçant la sécurité de la communication est plus tardive, afin de laisser le temps aux acteurs de développer des systèmes d’accès et de communication présentant de solides garanties de sécurité. Il s’agit plus précisément des dispositions relatives :
– aux modalités d’identification des PSIP ou des PSIC auprès des gestionnaires de compte lors de l’exercice de leurs activités (articles 66 et 67) ;
– aux modalités de communication entre les PSIP ou les PSIC, les gestionnaires du compte et les utilisateurs des services de paiement (articles 66 et 67 de la directive) ;
– à l’authentification forte des utilisateurs de services de paiement lorsqu’ils accèdent à leurs comptes en ligne, initient une opération de paiement électronique ou exécutent une action susceptible de comporter un risque de fraude en matière de paiement (article 97).
L’article 98 de la directive renvoie en effet à un règlement délégué de la Commission le soin de fixer des normes techniques de réglementation précisant les dispositions ci-dessus, ces dernières n’entrant en vigueur qu’au terme d’une période de dix-huit mois suivant la publication du règlement délégué. La proposition de règlement de la Commission européenne devait intervenir après que l’Autorité bancaire européenne (ABE) lui a proposé un projet de normes techniques de réglementation, élaboré en coopération avec la Banque centrale européenne (BCE) et après consultation des parties prenantes.
Suivant ces dispositions, l’ABE a procédé à une consultation qui s’est achevée le 12 octobre 2016. Elle a publié son projet final le 23 février 2017 ([16]). La Commission lui a notifié le 24 mai 2017 sa lettre d’intention d’amender le projet ([17]), lettre sur laquelle l’ABE a émis son opinion, publiée le 29 juin 2017 ([18]). En définitive, le règlement délégué 2018/345 de la Commission, publié le 14 mars 2018, entrera en vigueur le 14 septembre 2019 ().
Avant cette date, aucune garantie supplémentaire de sécurité dans l’accès des prestataires tiers aux données bancaires par rapport à la situation actuelle n’est apportée par le droit européen.
● D’après ce règlement, les PSIP et les PSIC communiqueront entre eux et échangeront les informations prévues par DSP 2 selon des normes de communication ouvertes, communes et sécurisées. Les échanges d’informations s’opéreront soit via les interfaces utilisées par les clients des banques, soit via des interfaces dédiées que les banques doivent mettre à disposition des PSIP et des PSIC (articles 30 et 31 du règlement délégué précité). Ces dernières peuvent être des « interfaces de programmation applicative » (application programming interface, API).
Afin de garantir le bon fonctionnement du dispositif à la date d’entrée en vigueur du règlement délégué, ce dernier contient plusieurs dispositions préparatoires, propres à concilier la sécurité de l’accès aux données d’une part, et l’exercice efficace des activités des prestataires tiers d’autre part.
En premier lieu, les gestionnaires de comptes de paiement devront mettre gratuitement à disposition des prestataires tiers la documentation détaillant les spécifications techniques des interfaces (qu’il s’agisse d’interfaces dédiées ou non) dont les prestataires tiers ont besoin pour assurer l’interopérabilité de leurs logiciels avec les systèmes des banques, au moins six mois avant l’entrée en vigueur du règlement, c’est-à-dire avant le 14 mars 2019. Toute modification des spécifications techniques doit, de plus, faire l’objet d’une information aux prestataires tiers agréés au moins trois mois avant son application, sauf en cas d’urgence.
En second lieu, avant le 14 mars 2019, les gestionnaires sont dans l’obligation de mettre à disposition de ces mêmes prestataires un dispositif d’essai de l’interface d’accès, comprenant une assistance et permettant des tests de connexion et de fonctionnement, sans qu’aucune information sensible puisse être partagée par l’intermédiaire de ce dispositif d’essai.
Dans le cas où les gestionnaires de comptes choisissent de permettre l’accès aux données bancaires et l’authentification via une interface dédiée, ils devront veiller à ce que celle-ci présente le même niveau de disponibilité et de performance que les interfaces que les gestionnaires de compte mettent à la disposition de leurs clients (article 32 du règlement délégué). Des indicateurs de performance permettront de vérifier le respect de cette exigence. Des statistiques trimestrielles concernant la disponibilité et les performances de l’interface dédiée doivent être publiées sur le site internet du gestionnaire de compte.
En cas d’indisponibilité de l’interface ou de performances insuffisantes, un mécanisme d’urgence est prévu (article 33 du règlement délégué). Il consiste à permettre aux PSIP et aux PSIC d’utiliser les interfaces que les gestionnaires de comptes mettent à la disposition de leurs clients, de façon à garantir un accès sécurisé de ces prestataires tiers aux données détenues par les gestionnaires.
Le règlement accorde néanmoins la possibilité aux autorités nationales compétentes, après consultation de l’ABE, d’exempter les gestionnaires de comptes ayant choisi de proposer une interface dédiée de l’application de ce mécanisme d’urgence dès lors
– qu’elle répond aux exigences des normes techniques de réglementation en termes de performance ;
– qu’elle a été conçue et testée conformément à ces mêmes normes ;
– qu’elle a été largement utilisée pendant au moins trois mois par des PSIP et des PSIC ;
– que tout problème qui lui est lié est rapidement résolu.
Cette exemption ne constitue pas un blanc-seing pour les banques qui en bénéficieraient. Elle sera en effet annulée si l’API est défaillante, au regard de ces critères, pendant plus de deux semaines consécutives.
B. Le droit interne et son application
● En cohérence avec la directive, l’article 34 de l’ordonnance du 9 août 2017 prévoit que les dispositions de l’ordonnance qui transposent celles de la directive faisant l’objet d’une entrée en vigueur différée sont applicables à compter de l’expiration d’un délai de dix-huit mois après la publication des normes techniques de réglementation, soit le 14 septembre 2019.
Avant cette date, les modalités de communication et d’authentification sont inchangées, la pratique du web scraping non identifié restant applicable, avec les risques qu’elle comporte.
● En prévision de l’application des normes techniques de réglementation, les acteurs bancaires français ont commencé à développer des interfaces de type API qui devraient être opérationnelles à la fin de l’année 2018. Afin de favoriser le dialogue entre tous les acteurs directement concernés par la création des interfaces d’accès aux comptes de paiement et pour permettre la mise en œuvre opérationnelle des dispositions de DSP 2, un groupe de travail a été constitué dans le cadre du Conseil national des paiements scripturaux (CNPS). La Banque de France et la direction générale du Trésor assurent conjointement l’animation de ce groupe de travail.
II. Les dispositions adoptées par l’Assemblée nationale
En première lecture, l’Assemblée nationale a inséré l’article 1er ter qui encadre la période transitoire précédant l’entrée en vigueur des normes techniques de réglementation en adoptant un amendement déposé par le Gouvernement en séance publique.
Cet article modifie l’article 34 de l’ordonnance du 9 août 2017 en renvoyant à un décret le soin de préciser, jusqu’à l’entrée en vigueur des normes techniques de réglementation :
– les conditions d’entrée en vigueur du règlement délégué et, partant, des normes techniques de réglementation ;
– les conditions suivant lesquelles les PSIP et les PSIC communiquent de manière sécurisée avec les utilisateurs et les banques.
Il ajoute une précision qui n’est pas sans importance : ces modalités doivent permettre aux PSIP et aux PSIC de continuer à exercer leurs activités. L’Assemblée a souhaité abréger la période de transition durant laquelle les prestataires continueront à accéder aux données des gestionnaires de comptes par la méthode du web scraping non identifié. Mme Delphine Gény-Stephann, a justifié ce raccourcissement par la volonté de « réduire l’incertitude opérationnelle ouverte par la période transitoire » (). Concrètement, le décret prévoira une application anticipée des normes techniques de réglementation, a priori dès la fin de l’année 2018 (). Cette nouvelle disposition permettrait une entrée en vigueur anticipée de six mois environ des règles de DSP 2 s’agissant de l’accès aux données.
III. Les modifications apportées par le SÉnat
Partageant le souci de réduire la période de transition, le Sénat s’est montré favorable à l’application anticipée des dispositions de la directive relatives à la communication des données.
Il a modifié l’article 1er ter en y ajoutant une disposition selon laquelle les modalités de communication telles que définies par le décret devront respecter les normes techniques de réglementation. L’intention du Gouvernement est bien d’avancer l’application des normes techniques de réglementation, ainsi que l’a annoncé Mme Gény-Stephann devant chacune des deux chambres, mais le préciser dans la loi n’est pas inutile.
IV. La position de la rapporteure
La rapporteure est favorable à l’adoption de cet article, tel que modifié par le Sénat. Elle insiste sur l’impératif d’un développement de l’interface conforme aux normes techniques de réglementation, garantissant un accès effectif des PSIP et des PSIC aux données nécessaires à l’exercice de leurs activités, conformément à l’esprit et à la lettre de la directive.
Elle propose l’adoption de cet article moyennant des amendements rédactionnels.
*
* *
La commission adopte successivement les amendements rédactionnels CF2 et CF3 de la rapporteure.
Puis elle adopte l’article 1er ter modifié.
*
* *
Article 2
(articles L. 133-1, L. 133-2, L. 133-10, L. 133-17-1, L. 133-21, L. 133-22, L. 133-28, L. 133-39,
L. 133-40, L. 133-41 et L. 133-45 du code monétaire et financier)
Corrections et précisions apportées aux dispositions de l’ordonnance relatives aux instruments de paiement et à l’accès aux comptes
L’article 2 du projet de loi opère des corrections aux dispositions de l’ordonnance et des coordinations dans le code monétaire et financier
I. Les dispositions adoptées par l’Assemblée nationale
En première lecture, l’Assemblée nationale a adopté un amendement du Gouvernement clarifiant les obligations qui pèsent sur les prestataires de services de paiement concernant l’information des utilisateurs sur les procédures de règlement des litiges extrajudiciaire à leur disposition. L’article 102 de DSP 2 impose en effet la mise en place de procédures de règlement extrajudiciaire, mais son article 61 permet aux États membres de prévoir que cette obligation ne s’applique pas lorsque l’utilisateur de services de paiement n’est pas un consommateur. La France a fait usage de cette faculté, l’article L. 316-1 du code monétaire et financier réservant aux seuls particuliers le droit de recourir à un médiateur.
L’article 101 de la directive oblige les prestataires de services de paiement à fournir aux utilisateurs des informations sur l’existence d’au moins une instance de règlement extrajudiciaire, sur la façon dont de plus amples informations peuvent être obtenues sur l’instance en question et sur les conditions d’un tel recours. La rédaction de l’article 101 n’envisage toutefois pas le cas où une telle procédure n’existe pas, conformément aux dispositions de l’article 61. L’amendement adopté par l’Assemblée nationale vise à remédier à ce défaut en complétant l’article L. 133-45 du code monétaire et financier.
II. Les modifications apportées par le Sénat
Le Sénat a inséré quatre alinéas à cet article qui ont pour objectif d’améliorer la cohérence des rédactions de certaines dispositions de la directive avec celles du code monétaire et financier qui les transposent et d’ajouter au code monétaire et financier des dispositions de transposition de la directive que l’ordonnance du 9 août 2017 n’avait pas prévues.
Le 2° bis précise la rédaction de l’article L. 133-10 du code monétaire et financier, afin de le mettre en cohérence avec l’article 79 de la directive, qui encadre les frais susceptibles d’être facturés par les PSP au titre du refus de l’exécution d’un ordre de paiement.
Le 2° ter précise la rédaction de l’article L. 133-17-1 du code monétaire et financier, afin de le mettre en cohérence avec l’article 68 de la directive concernant l’obligation de motivation et de documentation qui s’impose au gestionnaire de compte refusant à un PSIP ou à un PSIC l’accès à un compte de paiement.
Le 2° quater modifie l’article L. 133-21 du code monétaire et financier. En l’état du droit, cet article dispose que le prestataire de services de paiement n’est pas responsable de la mauvaise exécution de l’opération de paiement si l’identifiant unique fourni par l’utilisateur est inexact. En cohérence avec la rédaction de l’article 88 de la directive, le Sénat a ajouté que, sous la même condition, le prestataire de services de paiement n’est pas responsable non plus de la non-exécution de l’opération. Cet ajout est purement rédactionnel, la notion de mauvaise exécution englobant celle de non-exécution.
Dans la même logique, le 2° quinquies modifie l’article L. 133-22 du code monétaire et financier pour le mettre en cohérence avec l’article 89 de la directive, qui, d’une part, prévoit, en cas d’opération de paiement mal exécutée, que les utilisateurs souhaitant être remboursés doivent respecter les dispositions de l’article L. 133-24 () du code monétaire et financier et, d’autre part, introduit le concept d’exécution tardive d’une opération de paiement.
La rapporteure est favorable à l’adoption de cet article moyennant trois amendements rédactionnels visant à clarifier la rédaction de l’article L. 133-45 du code monétaire et financier.
*
* *
La commission adopte successivement les amendements rédactionnels CF6, CF5 et CF4 de la rapporteure.
Puis elle adopte l’article 2 modifié.
*
* *
Article 3
(articles L. 312-4-1, L. 314-5 et L. 351-1 du code monétaire et financier)
Clarification sur l’inclusion dans la garantie des dépôts des sommes déposées auprès d’établissements de crédits par les sociétés de financement, les établissements de monnaie électronique et les établissements de paiement autrement qu’en leur nom et pour leur compte propre
L’article 3 du projet de loi visait à corriger une erreur de référence à l’article L. 351-1 du code monétaire et financier, pour prendre en compte les modifications apportées à ce même code par l’ordonnance du 9 août 2017.
En première lecture, l’Assemblée nationale a adopté un amendement mettant en cohérence la rédaction de cet article avec certaines dispositions de l’ordonnance du 4 octobre 2017 relative à la dématérialisation des relations contractuelles dans le secteur financier () entrées en vigueur le 1er avril 2018.
Après l’adoption par le Sénat d’un amendement du Gouvernement déposé en séance publique, l’objet essentiel de l’article a changé. Il est désormais de clarifier la rédaction de l’article L. 312-4-1 du code monétaire et financier afin d’étendre explicitement dans la loi le mécanisme de garantie des dépôts aux sommes déposées par les sociétés de financement, les établissements de monnaie électronique et les établissements de paiement, lorsque ces sommes ne sont pas déposées en leurs noms ou pour leurs comptes propres. Un arrêté du 27 octobre 2015 () prévoit déjà l’inclusion de ces sommes dans le champ de la garantie des dépôts, mais la rédaction actuelle de l’article L. 312-4-1 entretient une forme d’ambiguïté qu’il convient de lever. Cet article concerne notamment les sommes déposées par les établissements de paiement et les établissements de monnaie électronique sur des comptes de cantonnement.
I. Le droit en vigueur
Dans l’objectif d’instaurer une protection minimale des déposants, le législateur a développé un système de garantie des dépôts à leur bénéfice qui a évolué sous l’influence du droit européen. Il permet une indemnisation des déposants en cas de faillite d’un établissement de crédit. Pour ce faire, les établissements de crédit contribuent à la constitution d’un fonds qui, en cas de défaillance de l’un d’entre eux, indemnise ses déposants dans la limite d’un montant maximal désormais harmonisé au sein de l’Union européenne.
Les règles européennes en matière de garantie des dépôts sont actuellement fixées par la directive du 16 avril 2014 relative aux systèmes de garantie des dépôts (). Elle a opéré une refonte de la directive du 30 mai 1994 relative aux systèmes de garantie des dépôts () et a renforcé la protection des déposants en élargissant le champ d’application du système de garantie des dépôts.
A. La définition du champ de la garantie des dépôts par le droit européen
L’amélioration de la protection des déposants européens conférée par la directive 2014/49 relative au système de garantie des dépôts tient en partie à la clarification et à l’élargissement de son périmètre d’application.
L’article 4 de la directive conditionne en effet l’activité de réception de dépôts par les établissements de crédit agréé à leur adhésion à un système de garantie des dépôts.
Son article 5 définit le champ des personnes couvertes par la garantie des dépôts. Elle exclut expressément de son périmètre :
– les dépôts effectués par d’autres établissements de crédit en leur nom et pour leur compte propre ;
– les fonds propres ;
– les dépôts découlant d’opérations pour lesquelles une condamnation pénale a été prononcée pour un délit de blanchiment de capitaux ;
– les dépôts effectués par des établissements financiers, définis comme des entreprises, autres que des établissements, dont l’activité principale consiste à prendre des participations ou à proposer des services financiers () autres que la réception de dépôts et d’autres fonds remboursables. Elles regroupent en particulier, au sens du droit européen, les établissements de paiement, les compagnies financières holding, les compagnies financières holding mixtes et les sociétés de gestion de portefeuille ;
– les dépôts effectués par des entreprises d’investissement ;
– les dépôts dont le titulaire n’a jamais été identifié ;
– les dépôts effectués par les entreprises d’assurance ;
– les dépôts effectués par les fonds de pension ;
– les titres de créance émis par les établissements de crédit.
Ce même article laisse également aux États membres la possibilité de prévoir que les sommes déposées auprès d’un établissement de crédit, lorsqu’elles ont pour unique objet le remboursement d’un emprunt contracté pour l’achat d’un bien immobilier, doivent être exclues du champ de la garantie. En revanche, peuvent être inclus dans le périmètre de la garantie, si les États membres le décident, les dépôts détenus par des régimes de retraite personnels ou professionnels mis en place par des petites ou moyennes entreprises et les dépôts détenus par les collectivités territoriales dont le budget n’excède pas 500 000 euros.
Outre ces précisions relatives à la nature des fonds déposés, le paragraphe 3 de l’article 7 de la directive précitée étend explicitement la garantie des dépôts aux ayants droit des sommes déposées sur un compte, lorsqu’ils n’en sont pas les déposants. Cette disposition semble étendre aux établissements financiers et aux entreprises d’investissement la portée de la précision du a) du paragraphe 1 de l’article 5 selon laquelle l’exclusion des dépôts effectués par des établissements de crédit ne vaut que pour ceux qui sont effectués en leurs noms et pour leurs comptes propres.
Dans les cas où les ayants droit des sommes déposées ne sont pas les déposants, le bénéfice de la garantie est conditionné à la possibilité d’identifier l’ayant droit en question. Il est précisé qu’il est tenu compte de la part revenant à chacun des déposants pour le calcul du plafond de l’indemnisation au titre de la garantie des dépôts, fixé à 100 000 euros.
B. La transposition par la loi des dispositions de la directive relatives au champ de la garantie des dépôts
Les modifications apportées par la directive au champ de la garantie des dépôts ont eu des répercussions sur le droit national. L’ordonnance du 20 août 2015 () a modifié l’article L. 312-4 du code monétaire et financier et a créé l’article L. 312-4-1 pour transposer la directive du 16 avril 2014. L’article L. 312‑4‑1 concerne les adhésions au fonds de garantie des dépôts et de résolution (FGDR) au titre de la garantie des dépôts. Il confirme le principe selon lequel les établissements de crédit agréés en France sont adhérents au système de garantie des dépôts.
Le fonds de garantie des dépôts et de résolution (FGDR)
La loi n° 99-532 du 25 juin 1999 relative à l’épargne et à la sécurité financière a unifié le système de garantie des dépôts en France () en créant le fonds de garantie des dépôts (FGD). Son objet était d’indemniser les déposants en cas d’indisponibilité de leurs dépôts ou autres fonds remboursables.
Le mécanisme de garantie était mis en œuvre dès qu’un établissement adhérent n’était plus en mesure de restituer les fonds qu’il avait reçus du public. L’intervention du système de garantie des dépôts pouvait également intervenir à titre préventif auprès d’un établissement de crédit. Outre la garantie des dépôts, le FGD était également en charge de la gestion des mécanismes de la garantie des cautions () et de la garantie des titres ().
L’intervention du FGD au titre de la garantie des dépôts ne relève pas du cas seulement théorique ; elle a trouvé une application concrète en faveur des clients du Crédit Martiniquais en 1999.
La loi n° 2013-672 du 13 juillet 2013 relative à la séparation et à la régulation des activités bancaires, anticipant certaines dispositions de la directive du 15 mai 2014 établissant un cadre pour le redressement et la résolution des établissements de crédit et des entreprises d’investissement (), a enrichi les missions du fonds en lui confiant la mise en œuvre du mécanisme de résolution des crises bancaires, conjointement avec l’ACPR. Elle a par conséquent changé sa dénomination en « fonds de garantie des dépôts et de résolution » (FGDR).
L’ordonnance du 20 août 2015 a repris, complété et précisé le dispositif de résolution issu de la loi bancaire précité pour le mettre en conformité avec cette directive et pour l’inscrire dans le cadre du mécanisme européen de résolution. Elle a également procédé à certaines adaptations rendues nécessaires par le règlement du 15 juillet 2014 sur le mécanisme de résolution unique (MRU) ().
Les fonds couverts par la garantie des dépôts font l’objet d’une précision de ce même article. Il s’agit des fonds restituables par l’établissement de crédit, dès lors qu’ils ne constituent pas le gage ou la garantie d’un engagement en vigueur envers cet établissement. Précisant les règles européennes, il exclut certains titulaires de comptes du bénéfice de la garantie. Il s’agit :
– des établissements de crédit et des entreprises d’investissement ;
– des sociétés de financement ;
– des compagnies financières holding et des entreprises mères des sociétés de financement ;
– des établissements de monnaie électronique ;
– des établissements de paiement ;
– des entreprises d’assurance ;
– des organismes de placement collectif ;
– des organismes de retraite ;
– de l’État, des collectivités territoriales et de leurs établissements, ainsi que de leurs homologues étrangers ;
– de certaines institutions et services financiers publics déterminés à l’article L. 518-1.
Il est toutefois précisé que l’exclusion de la garantie des dépôts des établissements de crédit et des entreprises d’investissement ne vaut que pour les dépôts qu’ils ont effectués en leur nom et pour leur compte propre. En creux, cette précision permet d’inclure dans le champ de la garantie les fonds déposés par des personnes qui ne sont pas les ayants droit de ces sommes, permettant ainsi une protection par transparence de ces fonds, conformément au paragraphe 3 de l’article 7 de la directive (voir supra).
L’article L. 312-4-1 ne fait mention de cette protection par transparence qu’aux fonds déposés par les établissements de crédit et les entreprises d’investissement, sans octroyer expressément cette même protection aux ayants droit de fonds déposés par d’autres titulaires de comptes. Par a contrario, il est permis de penser que cette protection par transparence est réservée aux fonds déposés par les établissements de crédit et les entreprises d’investissement.
Il y a lieu de préciser que les adhérents à la garantie des dépôts restent, même dans le cas d’une garantie par transparence, les établissements de crédit. L’établissement « transparent » n’est pas appelé à contribuer à cette garantie, puisque cette dernière a pour objet d’indemniser les déposants dans le cas de la défaillance d’un établissement de crédit.
C. Des précisions réglementaires conformes au droit européen, mais à la légalité incertaine
L’article L. 312-16 du code monétaire et financier prévoit l’intervention d’arrêtés du ministre chargé de l’économie pour préciser les règles législatives du système de garantie des dépôts. Son 10° dispose qu’un arrêté doit préciser les modalités d’application de l’article L. 312-4-1 et, en particulier, « les conditions dans lesquelles l’ayant droit de tout ou partie des sommes figurant sur un compte, qui n’en est pas le titulaire nominal, peut bénéficier de la garantie des dépôts ».
Sur ce fondement, le pouvoir réglementaire a précisé, par l’arrêté du 27 octobre 2015, que constituent des ayants droit au sens de l’article L. 312‑4‑1 les personnes ayant des droits sur les « comptes ouverts par un autre établissement de crédit, par une entreprise d’investissement, par une société de financement ou un établissement de paiement et de monnaie électronique, en particulier les comptes de cantonnement, pour y déposer exclusivement les fonds appartenant à leurs clients » ().
La conciliation de cette précision réglementaire qui découle de l’article L. 312‑16 avec les dispositions de l’article L. 312-4-1 n’est donc pas évidente. Alors que celle-ci inclut explicitement les sommes déposées par les établissements de paiement, les établissements de monnaie électronique et les sociétés de financement dans le champ de la garantie par transparence, celles-là semblent les en exclure par a contrario.
II. Les dispositions adoptées par le Sénat
Compte tenu de ces incertitudes juridiques et dans l’objectif de protéger les consommateurs, le Sénat a adopté un amendement du Gouvernement visant à lever toute ambiguïté concernant l’inclusion dans le champ de la garantie des dépôts des fonds déposés par les établissements de paiement, les établissements de monnaie électronique et les sociétés de financement lorsque ces établissements ne sont pas les ayants droit. L’article 3 du projet de loi transmis à l’Assemblée nationale en nouvelle lecture modifie l’article L. 312‑4‑1 à cet effet.
● Les fonds reçus ou collectés par les établissements de paiement ou par les établissements de monnaie électronique font l’objet de dispositions prudentielles spécifiques. Les établissements de paiement peuvent en effet recevoir des fonds des utilisateurs de services de paiement ou d’autres prestataires de services de paiement pour l’exécution d’opérations de paiement. C’est notamment le cas des PSIP. De même, les établissements de monnaie électronique collectent des fonds en contrepartie de l’émission de monnaie électronique.
Ces établissements ont le choix entre deux méthodes de protection de ces fonds, en vertu, respectivement, des articles L. 522-17 et L. 526-32 du code monétaire et financier :
– ou bien ils doivent s’assurer que ces fonds ne sont en aucun cas confondus avec d’autres fonds ;
– ou bien ils doivent souscrire à un contrat d’assurance garantissant l’utilisateur de services de paiement ou le détenteur de monnaie électronique contre leur défaillance dans l’exécution de leurs obligations financières.
Concrètement, lorsque l’établissement de paiement ou l’établissement de monnaie électronique ne souscrit pas à une assurance spécifique, les fonds des utilisateurs sont déposés sur un compte de cantonnement, ce qui permet de les isoler et de leur faire bénéficier de la protection contre tout recours d’autres créanciers de l’établissement de paiement ou de l’établissement de monnaie électronique prévue par les articles L. 613-30-1 et L. 613-30-2.
● Les sociétés de financement sont des établissements financiers au sens du droit de l’Union européenne (). Leur statut particulier a été créé par l’ordonnance du 27 juin 2013 relative aux établissements de crédit et aux sociétés de financement (), afin que ces établissements, qui exercent une activité de crédit sans collecte de fonds remboursables du public, puissent poursuivre leur activité en France. Cette création a été rendue nécessaire par le règlement européen n° 575/2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux sociétés de financement qui a harmonisé la notion d’établissement de crédit, sans prendre en compte ces activités spécifiques. Le statut de ces sociétés, exclusivement français, s’inspire de celui des établissements de crédit tout en excluant la possibilité qu’elles puissent collecter des fonds remboursables du public.
L’article L. 511-1 du code monétaire et financier distingue donc les établissements de crédit, dont l’activité consiste à recevoir des fonds remboursables du public et les sociétés de financement, qui effectuent, à titre de profession habituelle et pour leur propre compte, des opérations de crédits, mais ne sont pas des établissements de crédit. L’article L. 511-5 confirme que ce qui différencie essentiellement les établissements de crédit des sociétés de financement est l’interdiction faite à ces dernières de recevoir à titre habituel des fonds remboursables du public ou de fournir des services bancaires de paiement. Ces sociétés exercent principalement des activités d’affacturage et de caution.
Il y a lieu de préciser que l’octroi de la garantie par transparence, pour l’ensemble de ces fonds, paraît conforme au droit de l’Union européenne tel qu’interprété par la Commission européenne. En effet, l’article 5 de la directive ne mentionne la possibilité d’octroyer la garantie par transparence qu’en ce qui concerne les dépôts effectués par les établissements de crédit. Mais la Commission adopte une interprétation extensive du paragraphe 3 de l’article 7, comme le confirment les travaux préparatoires à la transposition de la directive par l’ordonnance du 20 août 2015. Dans une série d’échanges entre les États membres et la Commission, cette dernière a indiqué que ce paragraphe pose un principe général selon lequel le titulaire nominal des comptes à ayants droit est considéré comme totalement transparent dès lors qu’il agit au nom et pour le compte d’un tiers identifié et identifiable. La Commission renvoie aux États le soin de définir dans leur droit national les conditions dans lesquelles les sommes déposées sur un compte doivent être considérées comme appartenant à un tiers qui n’est pas le titulaire nominal du compte.
Ces échanges portaient sur le cas spécifique des entreprises d’investissement, mais il ne fait pas de doute que le même raisonnement peut s’appliquer aux sociétés de financement.
L’impératif de protection des déposants commande de clarifier la loi pour sécuriser le dispositif prévu par arrêté. La rapporteure propose donc l’adoption de cet article moyennant des modifications rédactionnelles.
*
* *
La commission adopte l’amendement rédactionnel CF7 de la rapporteure.
Puis elle adopte l’article 3 modifié.
*
* *
Article 4
(articles L. 521-3, L. 521-3-2, L. 522-3, L. 522-8, L. 522-11, L. 522-13, L. 525-5, L. 525-9, L. 526‑12, L. 526-15, L. 526-19, L. 526-24, L. 526-28, L. 526-30 et L. 561-2 du code monétaire et financier)
Dispositions de coordinations et corrections de rédaction au titre II du livre V du code monétaire et financier
Cet article opère des coordinations de références aux articles L. 522‑3 et L. 526‑28, omises par l’ordonnance du 9 août 2017.
Il améliore la rédaction des articles L. 522-8, L. 522-13 et L. 526-24.
Il corrige des erreurs de référence aux articles L. 526-9, L. 526-19 et L. 561-12, résultant d’erreurs de l’ordonnance du 9 août 2017.
À l’initiative du Gouvernement, l’Assemblée nationale a adopté un amendement précisant les modalités de contrôle applicable aux instruments de paiement spécifiques, c’est-à-dire des instruments de paiement qui ne peuvent être utilisés que de manière limitée. Il vise à compléter l’article L. 521‑3‑2 du code monétaire et financier, afin de confier à la Banque de France la mission de contrôler ces instruments de paiement. Les dispositions introduites sont inspirées de celles qui existent pour les titres spéciaux de paiement dématérialisé, à l’article L. 525‑4 du code monétaire et financier.
Le mode de fonctionnement des titres spéciaux de paiement dématérialisé est proche de celui des instruments de paiement spécifique. Ils recouvrent les mêmes usages (chèques-vacances, titres-restaurant), mais diffèrent en ce que les titres spéciaux de paiement dématérialisés sont prépayés, alors que les instruments de paiement spécifiques ne le sont pas.
Selon le Gouvernement, l’alignement du régime de contrôle des instruments de paiement spécifiques sur celui des titres spéciaux de paiement dématérialisé, permettrait de prévenir un risque d’éviction des titres spéciaux de paiement dématérialisé.
À l’initiative du rapporteur, le Sénat a adopté quatre amendements, dont un amendement de correction d’une erreur matérielle. Les trois autres amendements visent à mettre en cohérence plusieurs articles du code monétaire et financier avec la rédaction de l’article 3 de la directive.
Le 1° AA et le 3° bis modifient le 2° du I de l’article L. 521‑3 et l’article L. 525-5 du code monétaire et financier, afin de prendre en compte la restriction du champ de l’exclusion des dispositions de la directive pour les réseaux limités. Jusqu’à présent, la fourniture de moyens de paiement utilisés au sein d’un réseau limité d’accepteurs ou pour l’acquisition d’un « éventail limité » de biens ou de services – comme les cartes d’enseigne ou les titres‑repas – pouvait être exemptée des obligations applicables aux services de paiement. Face au constat d’une application abusive de ce régime dans certains États membres, l’article 3 de la directive a restreint ce régime dérogatoire, les instruments en bénéficiant ne pouvant désormais être utilisés que pour acquérir un éventail « très limité » de biens et de services. L’ordonnance du 9 août 2017 n’avait pas transposé cette restriction, sans doute parce qu’il n’est pas d’usage d’introduire l’adverbe « très » dans la loi. La précision du Sénat modifiant les articles L. 521‑3 et L. 525‑5 rend par conséquent leurs rédactions plus proches des dispositions de la directive. L’effet utile de cette disposition est toutefois nul et cette dernière n’est pas satisfaisante du point de vue de la qualité rédactionnelle de la loi. La rapporteure proposera un amendement de suppression de ces nouvelles dispositions.
Le 2° bis complète les articles L. 522-11 et L. 526-15 pour les mettre en cohérence avec l’article 13 de la directive, qui prévoit la possibilité pour les autorités nationales de procéder au retrait de l’agrément d’un établissement qui représenterait une menace pour la stabilité du système de paiement ou la confiance en celui-ci.
Le 4° bis modifie l’article L. 525‑9 pour le mettre en cohérence avec l’article 16 de la directive, qui impose à l’établissement de paiement de notifier aux autorités nationales tout changement relatif à l’ensemble des conditions de son agrément.
La rapporteure est favorable à l’adoption de cet article, moyennant la suppression du 1° AA et du 3° bis de l’article et un amendement de précision.
*
* *
La commission adopte successivement les amendements rédactionnel CF9 et de précision CF8 de la rapporteure.
Puis elle adopte l’article 4 modifié.
*
* *
Article 6
(articles L. 741-2-1 A, L. 743-3, L. 743-7-1, L. 745-8, L. 745-8-1, L. 745-13, L. 746-2, L. 751-2-1 A, L. 753-3, L. 753-7-1, L. 755-8-1, L. 755-13, L. 756-2, L. 761-1-2, L. 763-3, L. 763-7-1, L. 765-8-1, L. 765-13 et L. 766-2 du code monétaire et financier)
Dispositions de coordinations et corrections d’erreurs de rédaction relatives à l’application de l’ordonnance n° 2017-1252 du 9 août 2015 en Nouvelle‑Calédonie, en Polynésie française et à Wallis-et-Futuna
Les dispositions du présent projet de loi rendent nécessaires des coordinations dans les articles prévoyant les règles d’application et les adaptations requises en Nouvelle-Calédonie, en Polynésie-française et à Wallis-et-Futuna. C’est l’objet de l’article 6.
L’Assemblée nationale a adopté cet article, après avoir procédé à des corrections d’erreurs matérielles, à l’initiative de la rapporteure.
Le Sénat a supprimé les dispositions du 5° concernant l’article L. 753-2 du code monétaire et financier, rendues caduques par l’ordonnance du 14 février 2018 relative à l’extension en Nouvelle-Calédonie, en Polynésie française et à Wallis-et-Futuna, de diverses dispositions en matière bancaire et financière ().
La rapporteure propose des modifications afin d’effectuer les coordinations rendues nécessaires par les différentes dispositions introduites par le Sénat visant à mettre en cohérence le code monétaire et financier avec la rédaction de la directive.
*
* *
La commission adopte successivement les amendements rédactionnels CF10 et CF11 de la rapporteure.
Puis elle adopte l’article 6 modifié.
Elle adopte ensuite l’ensemble du projet de loi modifié.
*
* *
