RAPPANR5L17B1153

Lors de sa réunion du mercredi 19 mars 2025, la commission a examiné la proposition de loi.

M. Daniel Labaronne, rapporteur. Ce texte est le fruit d’un travail collaboratif mené avec l’ensemble des organisations concernées – la Banque de France, la direction générale du Trésor, la Fédération bancaire française ainsi que l’association UFC-Que choisir. Toutes partagent un même constat : une nouvelle offensive législative est nécessaire pour intensifier la lutte contre la fraude bancaire et assurer une meilleure protection de nos concitoyens.

Selon l’Observatoire de la sécurité des moyens de paiement (OSMP), la fraude aux moyens de paiement a représenté un préjudice de 1,2 milliard en 2023.

Elle peut prendre deux formes. D’une part, l’utilisation de comptes rebonds permettant aux fraudeurs de transférer rapidement des fonds obtenus de manière illicite vers des comptes situés dans d’autres juridictions. D’autre part, la fraude à la substitution d’Iban (International Bank Account Number). Dans ce cas, les escrocs interceptent des échanges de factures, modifient les coordonnées bancaires et détournent ainsi les paiements destinés aux bénéficiaires légitimes.

Une affaire récente jugée par la Cour de cassation illustre parfaitement ce problème. Un couple ayant acheté un véhicule en ligne a effectué deux virements bancaires en utilisant l’Iban transmis par courriel. Après avoir constaté que les virements n’avaient pas été reçus, les victimes ont découvert qu’un escroc avait substitué son propre Iban à celui du vendeur, détournant ainsi l’argent de la vente.

Or une banque qui exécute un virement en se fondant sur un Iban fourni par son client ne peut être tenue responsable de l’opération de paiement lorsque l’identifiant n’oriente pas le transfert de fonds vers le bénéficiaire souhaité, sauf dans certains cas très particuliers prévus par l’article L. 133-21 du code monétaire et financier. Par conséquent, la Cour de cassation a jugé que ces dispositions excluent de partager la responsabilité entre la banque et son client, ce qui empêche tout remboursement des fonds, même partiel, aux clients escroqués. La victime en est donc entièrement de sa poche.

Ainsi, le cadre actuel ne permet pas de protéger suffisamment nos concitoyens face à ce type de fraude.

L’article 1er de la proposition vise donc à créer un nouvel outil de suivi des Iban frauduleux. Géré par la Banque de France, il permettra d’améliorer la détection des fraudes. Un tel instrument existe déjà pour les chèques : le fichier national des chèques irréguliers (FNCI), créé en 1992, permet de recenser et de détecter l’utilisation des chèques irréguliers.

La fraude évolue et il faut adapter le cadre législatif. Au regard des sommes en jeu, la création de ce nouveau fichier – qui a déjà fait l’objet d’une expérimentation concluante – apparaît nécessaire et est réclamée par les différents acteurs.

J’ai déposé un amendement de rédaction globale de l’article 1er. Il prévoit d’élargir le champ d’application du mécanisme de partage des comptes bancaires identifiés comme frauduleux à l’ensemble des prestataires de services de paiement (PSP), y compris la Banque de France, la Caisse des dépôts et le Trésor public. En outre, cet amendement prévoit des dispositions complémentaires relatives à la protection des données échangées, tout en interdisant de clôturer un compte au seul motif qu’il a été signalé.

La proposition de loi s’intéresse aussi à la lutte contre la fraude au chèque. Le FNCI est un instrument qui existe depuis plus de trente ans, mais il présente certaines lacunes. Aussi l’article 2 propose-t-il de renforcer le cadre juridique en indiquant que le fichier concerne les chèques falsifiés ou contrefaits, alors que le texte actuel vise seulement les « faux chèques ».

L’article 3 permet aux banquiers présentateurs de chèques de consulter les données du FNCI lors de la remise d’un chèque au paiement, ce qui permet de simplifier et de sécuriser la procédure de rejet. Ces banquiers bénéficieront ainsi de la même information que les personnes qui consultent le FNCI lors de la remise d’un chèque pour le paiement d’un bien ou d’un service. En cas de doute, ils pourront différer l’encaissement du chèque dans l’attente de son rejet définitif par la banque du payeur.

Cette mesure découle d’une recommandation de l’OSMP dans son rapport de 2020. Elle répond à un problème majeur, car de nombreux faux chèques sont utilisés pour régler des amendes ou des impôts, des sommes dues à l’État, aux collectivités locales ou encore à la sécurité sociale.

La fraude bancaire sous toutes ses formes constitue une menace croissante pour la sécurité financière du pays et a un impact sur les recettes des administrations publiques. Cette proposition de loi, soutenue par l’ensemble des acteurs du secteur, ne coûte rien aux finances publiques et peut même améliorer le recouvrement de créances – et donc les recettes publiques. Elle met en place des dispositifs précis qui renforcent la protection des consommateurs tout en limitant les risques de fraude. Ses trois articles prévoient des mesures bien calibrées qui pourront entrer rapidement en vigueur. Par ailleurs, en se limitant à ces seules dispositions, la proposition est cohérente avec la révision de la directive sur les services de paiement, qui ne devrait aboutir que dans trois ou quatre ans.

M. le président Éric Coquerel. Tout cela va dans le bon sens. Je regrette simplement que le titre de la proposition ne reflète pas fidèlement son contenu : il vise en effet les « moyens de paiement scripturaux » alors que certains d’entre eux, dont les paiements par carte bancaire, ne sont pas concernés.

M. Charles de Courson, rapporteur général. Nous souhaitons tous lutter contre la fraude aux moyens de paiement scripturaux, fléau qui affecte des milliers de nos concitoyens, des entreprises et même les administrations. Les pertes sont considérables – de l’ordre de 500 millions d’euros par an au minimum – et les méthodes employées par les fraudeurs sont toujours plus sophistiquées.

Cette proposition de loi vise à renforcer la lutte contre ces fraudes en instaurant un fichier national des Iban douteux, en élargissant le FNCI aux chèques falsifiés et contrefaits et en permettant aux banques de consulter ce dernier dès le dépôt d’un chèque. Ces mesures vont dans le bon sens, mais elles doivent être assorties de garanties solides afin d’éviter toute dérive.

Certaines questions restent en suspens. Quels sont les mécanismes prévus pour informer les clients en cas de signalement ? Quels recours leur sont garantis en cas d’erreur et quel sera le délai maximum toléré pour rectifier ces dernières ? Enfin, traiter de la même manière les fraudes et les suspicions de fraude au sein du fichier consacré aux Iban nous amène à nous interroger.

Le texte renvoie ces questions souvent délicates à des arrêtés ministériels. Il est important qu’elles fassent aussi l’objet d’un travail au Parlement, afin de ne pas aboutir à des décisions ayant des conséquences dommageables pour certains usagers.

Enfin, nous devons veiller à ce que les nouvelles obligations imposées aux banques ne se traduisent en aucun cas par une hausse des frais facturés aux clients. Si le texte établit ce principe de gratuité, nous ne savons que trop bien combien il est difficile d’encadrer ces frais. Il ne serait pas acceptable que les usagers supportent le coût de ces mesures alors même qu’ils sont souvent les premières victimes de la fraude. Renforcer la sécurité est nécessaire mais cela ne doit ni restreindre l’accès aux services bancaires, ni porter atteinte à la fluidité des paiements.

Nous réservons donc notre position en attendant les éclaircissements qui seront apportés au sujet des possibilités de recours et de l’impact financier.

M. Daniel Labaronne, rapporteur. Votre réflexion sur le titre est assez pertinente, monsieur le président, car le texte porte seulement sur les Iban et les chèques. Il faut toujours tenir ses promesses et je reconnais que la rédaction du titre aurait dû être moins générale. Cette proposition de loi a fait l’objet de beaucoup d’échanges et je suis preneur de tout ce qui permet de l’améliorer.

Ce sont les prestataires de services de paiement qui assumeront la charge financière de la mise en place du nouveau fichier. Je ne sais pas s’ils la répercuteront ensuite sur leurs clients mais en définitive, du point de vue tant éthique qu’économique, tout le monde a intérêt à ce que le dispositif fonctionne. Lorsqu’une banque indique à son client qu’il a fait une erreur et que le compte bénéficiaire n’est pas le bon, cela crée une situation compliquée. Certes, la Cour de cassation a jugé que la responsabilité de la banque n’était pas engagée mais bien souvent, dans le cadre de sa relation avec son client, elle peut proposer de prendre en charge une partie de la somme perdue. Ce texte est de nature à faire faire des économies à tout le monde, y compris aux prestataires de services de paiement. En tout cas, il est nécessaire pour protéger davantage les consommateurs.

Enfin, le fait d’inscrire un Iban suspect dans le fichier n’entraînera pas la fermeture du compte concerné. La personne qui en est titulaire pourra continuer à effectuer des opérations bancaires. Mon amendement de réécriture de l’article 1er garantit qu’il n’y aura pas de répercussions négatives pour le détenteur d’un compte suspecté à tort d’être frauduleux.

M. le président Éric Coquerel. Nous en venons aux interventions des orateurs des groupes.

Mme Sophie-Laurence Roy (RN). Le fléau de la fraude aux moyens de paiement coûte 1,2 milliard d’euros chaque année à nos concitoyens et à nos entreprises. Chèques falsifiés, arnaques au faux Iban, cartes bancaires piratées : les escrocs s’adaptent toujours plus vite et, trop souvent, les victimes restent sans recours. Toutes les mesures permettant de mieux détecter les mouvements frauduleux et de les bloquer sont donc bonnes à prendre.

Cette proposition prévoit un meilleur partage des informations bancaires et un renforcement des contrôles sur les chèques et les virements. Notre groupe y est favorable et salue le travail de M. Labaronne, qui cherche à obtenir un consensus parlementaire plutôt qu’à diviser.

Son texte peut être complété et nous avons déposé des amendements à cet effet.

Ainsi, rien n’est prévu en matière de fraudes aux cartes bancaires, alors même qu’elles représentent 43 % du montant des fraudes aux moyens de paiement scripturaux.

De même, il faut dénoncer la perte de souveraineté de la France en ce qui concerne les paiements scripturaux, ce qui augmente fortement les risques de fraude et d’ingérence étrangère. Depuis juin 2016, à cause encore une fois d’une réglementation européenne, les banques françaises ne sont plus tenues de proposer à leurs clients une carte bancaire dont l’opérateur du système de paiement est installé dans un pays membre de l’Union européenne – comme le très performant groupement des cartes bancaires français.

Nous déplorons que des amendements proposés par notre groupe sur ces points aient été injustement déclarés irrecevables, au motif qu’ils constitueraient des cavaliers législatifs. Leur lien avec le thème de la fraude aux moyens de paiement scripturaux est pourtant évident.

Cela étant, comme protéger un peu plus les Français contre les escrocs est un pas dans la bonne direction, nous voterons en faveur de cette proposition de loi.

M. David Amiel (EPR). La fraude aux moyens de paiement scripturaux représente un préjudice évalué à 1,2 milliard d’euros et touche aussi bien les particuliers que les entreprises.

Cette proposition de loi extrêmement légitime s’inscrit dans la continuité des actions menées ces dernières années pour lutter contre toutes les fraudes. En mai 2023, Gabriel Attal avait présenté un plan de lutte contre les fraudes fiscales, sociales et douanières. Notre collègue Thomas Cazenave a poursuivi ce travail en présentant un texte visant à lutter contre toutes les fraudes aux aides publiques. Ces dispositifs fonctionnent puisque près de 20 milliards d’euros de fraudes ont été détectés en 2024, pour un recouvrement de 13 milliards – soit un doublement en cinq ans.

Cette proposition de loi complétera utilement ces actions, notamment en sécurisant davantage les transactions, en améliorant la traçabilité des paiements, en facilitant la détection des transactions suspectes et en renforçant la coopération entre les acteurs du secteur bancaire et les autorités de contrôle. Le texte apporte une réponse particulièrement adaptée aux défis actuels et c’est pourquoi notre groupe le soutiendra pleinement.

M. Carlos Martens Bilongo (LFI-NFP). Je remercie le rapporteur pour cette proposition car, dans nos circonscriptions, on ne compte plus les victimes de fraudes aux moyens de paiement scripturaux.

Les transactions effectuées grâce à ces derniers progressent : elles représentaient en tout 17 231 milliards d’euros au premier semestre de 2024. La fraude, elle, s’élève à 1,2 milliard d’euros, dont 500 millions d’euros pour les cartes bancaires, 360 millions d’euros pour les chèques et 310 millions d’euros pour les virements. Parmi ces derniers, 150 millions sont dus à des arnaques au faux Iban ou à des fraudes au faux RIB (relevé d’identité bancaire), qui consistent à usurper l’identité d’un créancier afin que la victime réalise un virement vers un compte bancaire détenu par un escroc.

Dans un arrêt du 15 janvier 2025, la Cour de cassation a attribué une plus grande responsabilité aux victimes de fraudes bancaire. Auparavant, la responsabilité était partagée avec la banque qui, en raison de sa négligence, s’acquittait d’un remboursement partiel. Cette nouvelle jurisprudence tend à sécuriser les banques et à imposer une vigilance accrue aux utilisateurs de services bancaires.

Le texte prévoit de créer un fichier des Iban frauduleux et de faciliter l’accès au FNCI pour les banquiers et les prestataires de services de paiement. Ces mesures vont dans le bon sens, mais restent un pas très modeste dans la lutte contre la fraude bancaire.

Elles pourraient être mieux encadrées, notamment pour ne pas faire peser des risques sur les libertés individuelles. Dans sa forme actuelle, la proposition pourrait pénaliser les personnes dont l’Iban serait injustement jugé suspect, tout en n’assurant pas suffisamment la confidentialité des données privées. Ce désagrément étant toutefois relatif à un Iban et non à l’identité d’une personne, la menace sur les libertés s’en trouve tempérée.

Notre groupe proposera des amendements pour améliorer ce texte.

M. Jean-Didier Berger (DR). Nous nous félicitons des avancées que pourrait apporter ce texte. Nous nous posons toutefois deux questions, qui ont été en partie abordées par le rapporteur général et n’ont pas complètement reçu de réponse.

Sait-on d’abord dans quels délais les opérateurs concernés seront vraiment en mesure de mettre en œuvre les mesures proposées ?

Surtout, n’est-on pas en train de confier aux banquiers un pouvoir supplémentaire, celui de suspendre un versement dans l’attente de la confirmation de son caractère non frauduleux ?

Lorsqu’une opération est manifestement frauduleuse, c’est facile : on constate, on refuse le paiement, on avertit le client. Mais dans quel délai la suspension doit-elle être levée s’il s’agit d’une simple suspicion ? Différer un versement important peut avoir des conséquences aussi bien pour un particulier que pour la trésorerie d’une entreprise. Quelles sont les voies de recours ou de médiation ? Une indemnisation est-elle prévue le cas échéant ?

M. Laurent Baumel (SOC). L’introduction de la monnaie scripturale a été un progrès dans l’histoire de nos sociétés, mais elle repose sur la confiance des gens quant au fait que l’on n’utilisera pas leur compte bancaire de manière frauduleuse. Tous ceux qui ont vécu ce type d’expérience ont été traumatisés, même si les effets sont moindres qu’à la suite d’un cambriolage.

Nous remercions Daniel Labaronne d’avoir transcrit un certain nombre de propositions dans le texte qu’il présente afin d’apporter des progrès dans ce domaine. Nous le voterons évidemment. Cependant, j’aimerais quelques détails concrets sur ce qui se passe pour la victime du piratage de son Iban régulier : ce dernier est-il annulé ou bien placé sur une liste d’Iban frauduleux ? La banque le remplace-t-elle par un nouvel Iban ?

Mme Christine Arrighi (EcoS). Notre groupe soutient une régulation plus forte des banques et des prestataires de services de paiement. Plutôt que de procéder par petites touches, il serait nécessaire d’adopter un texte d’ampleur permettant d’agir de manière structurelle.

On constate une asymétrie criante entre les grandes institutions financières et les usagers des banques, souvent vulnérables à des pratiques excessives. Ils sont trop souvent ponctionnés sans pouvoir réellement se défendre.

Nous relayons les préoccupations de l’association UFC-Que choisir et les actions qu’elle a entreprises dès 2022. Il est inacceptable que les victimes de fraudes bancaires se retrouvent dans une impasse juridique simplement parce qu’elles ont transféré des fonds sous la contrainte ou sous l’effet d’une tromperie. L’inaction des établissements de crédit et des PSP dans ces cas-là est une faille majeure qu’il faut combler.

Concernant la lutte contre la fraude, nous soutenons toutes les mesures protectrices qui renforcent la sécurité des usagers. Il est impératif de garantir aux consommateurs une meilleure transparence sur les dispositifs de prévention et d’assurer une réponse rapide et efficace en cas de litige. À cet égard, nous sommes donc favorables à cette proposition de loi, aussi parcellaire soit-elle – on ne vous en veut pas, vous ne remplacez pas le gouvernement ! Dans cet esprit, nous saluons plusieurs amendements de la France insoumise qui formulent des propositions constructives pour améliorer l’accès aux informations et aux mécanismes de prévention. Une meilleure transparence est essentielle pour responsabiliser les banques et renforcer la confiance des consommateurs dans le système financier.

Par ailleurs, nous devons nous interroger sur l’eurocompatibilité de cette proposition de loi, notamment vis-à-vis de la prochaine directive sur les services de paiement, actuellement en préparation. Nos collègues du groupe Renaissance aiment brandir le spectre d’une sur-réglementation, mais il s’agira avant tout d’assurer un suivi précis et nécessaire des mesures envisagées. Anticiper ces évolutions est crucial pour ne pas créer d’instabilité réglementaire.

Enfin, nous ne devons pas oublier les besoins de nos compatriotes établis à l’étranger en matière de transfert d’argent. Il est de notre responsabilité de nous assurer que le nouveau système proposé ne « sur-discrimine » pas les transactions hors Union européenne, afin de ne pas pénaliser nos concitoyens qui réalisent des échanges financiers transfrontaliers.

Notre groupe déterminera sa position à l’issue des débats, en fonction de l’évolution du texte sur ces points.

M. Jean-Paul Mattei (Dem). À l’évidence, cette proposition de loi est utile. Néanmoins, j’aimerais davantage de précisions sur le fonctionnement du dispositif.

À l’instar du FNCI, le fichier que vous proposez de créer sera-t-il accessible seulement aux prestataires de services de paiement qui paieront un abonnement, comme la rédaction de l’article 1er le laisse entendre ?

Par ailleurs, tous les prestataires de services de paiement seront-ils tenus de transmettre à la Banque de France les coordonnées des comptes bancaires qu’ils jugent frauduleux ?

Enfin, comment la consultation du fichier sera-t-elle concrètement organisée ? Le prestataire de services de paiement faisant partie du dispositif pourra-t-il vérifier instantanément si l’Iban est frauduleux, ou susceptible de l’être ? Les professions réglementées amenées à réaliser des virements pourront-elles également avoir accès au fichier ?

En dehors de ces demandes de clarification, nous soutenons la démarche de l’article 1er qui nous semble aller dans le bon sens. Nous sommes également favorables aux articles 2 et 3, qui permettent de renforcer efficacement la lutte contre les fraudes aux faux chèques.

Le groupe Les Démocrates votera en faveur de ce texte, synonyme d’une meilleure protection des entreprises et des ménages face aux techniques de plus en plus inventives des fraudeurs.

M. Pierre Henriet (HOR). Ce texte est une réponse concrète à un problème du quotidien qui touche directement nos concitoyens, souvent les plus vulnérables. La fraude aux moyens de paiement scripturaux représente une part significative des fraudes financières en France : selon la Banque de France, elle a dépassé le milliard d’euros en 2023. Cette situation est inacceptable et nécessite une réponse législative adaptée.

Afin de mieux détecter les schémas frauduleux, le texte prévoit ainsi de favoriser la mutualisation des données entre les établissements de paiement, en élargissant l’accès aux fichiers existants et en instaurant des dispositifs collaboratifs. Une telle coopération est indispensable pour réagir rapidement et efficacement aux tentatives de fraude.

Dans un contexte de convergence des normes au niveau européen, avec notamment l’usage renforcé de l’authentification forte, ce texte fait de la France un précurseur en matière de sécurité des paiements : non seulement elle répond aux exigences de la deuxième directive sur les services de paiement (DSP2), mais en plus elle anticipe les évolutions futures.

Enfin, en prévenant les fraudes, le texte contribue également à la diminution des pertes subies par les établissements financiers et, par ricochet, à la réduction du coût de la fraude pour les finances publiques. Dans le contexte budgétaire actuel, cet aspect ne doit pas être négligé. Nous regrettons seulement l’absence de date d’entrée en vigueur de l’arrêté, qui aurait rendu le dispositif plus contraignant.

Le groupe Horizons & indépendants soutiendra cette proposition de loi et remercie le rapporteur d’avoir permis l’inscription de ce sujet à l’ordre du jour.

M. le président Éric Coquerel. Je voudrais répondre à Mme Roy sur l’application de l’article 45 de la Constitution – un sujet sur lequel M. Jean-Philippe Tanguy m’avait également interrogé.

Que l’article 45 soit trop restrictif, j’en conviens aisément, et j’en ai moi-même été victime il y a encore quelques jours dans le cadre de la proposition de loi sur le narcotrafic. Mais ma décision n’était pas injuste.

Tout en m’appuyant sur les décisions du Conseil constitutionnel, je retiens toujours l’interprétation la plus favorable à l’initiative parlementaire. Seulement, votre amendement portait sur la délivrance des cartes bleues et n’avait donc aucun lien avec le texte – ni son thème, ni son titre, ni son exposé des motifs, ni ses articles.

M. Daniel Labaronne, rapporteur. S’il n’est pas question dans ce texte des cartes bancaires, qui sont le moyen de paiement principal, c’est parce que le taux de fraude, pour ce qui les concerne, s’est stabilisé selon l’Observatoire de la sécurité des moyens de paiement à 0,053 %, soit le niveau le plus bas jamais enregistré. En outre, le droit européen assure déjà la sécurité des cartes bancaires, notamment à travers l’authentification forte prévue dans la DSP2. Cette directive impose d’ailleurs aux banques de rembourser un client en cas d’erreur ou de fraude lors d’un paiement qui n’a pas été validé à l’aide de l’authentification forte, comme c’est le cas pour certaines transactions – d’un faible montant par exemple. Enfin, il se trouve que c’est précisément le mécanisme de protection des paiements par carte bancaire qui a inspiré ce texte.

Deux autres amendements, qui portaient sur la souveraineté des moyens de paiement, ont été déclarés irrecevables au titre de l’article 45 : je comprends, mais c’est dommage, car le sujet aurait mérité qu’on en débatte. Alors que nous disposons en France d’un dispositif très solide, Cartes bancaires, certaines banques comme Boursorama recommandent à leurs clients d’opter plutôt pour des cartes de type Visa ou Mastercard, qui sont d’origine américaine. Je ne comprends pas cette absence de réflexe de souveraineté, française ou européenne, en matière de moyens de paiement. Nous devrons ouvrir ce débat.

Pour répondre aux inquiétudes de certains, le texte ne prévoit absolument pas la suspension des moyens de paiement et des opérations bancaires d’une personne suspectée à tort d’avoir créé un Iban frauduleux. Dans sa rédaction initiale, l’alinéa 6 de l’article 1er disposait déjà que « l’inscription des coordonnées d’un compte de paiement au sein du fichier n’emporte pas d’interdiction systématique de réaliser des opérations de paiement impliquant ce compte. » L’amendement de réécriture que j’ai déposé à l’issue de nombreuses réunions de concertation avec l’écosystème bancaire français prévoit lui aussi, dans son III, que « l’inscription des informations relatives à un compte dans le fichier n’emporte pas d’interdiction systématique de réaliser des opérations de paiement impliquant ce compte. » Le texte vise simplement à inciter les banques à faire preuve de vigilance dans l’utilisation des Iban ; mais tant que l’Iban n’est que douteux, le titulaire du compte peut continuer à réaliser des opérations bancaires.

Deuxième sujet : les délais. Un amendement vise à en introduire un avant la confirmation du fichage. Il est moins-disant que mon propre amendement de rédaction, qui prévoit un retrait « sans délai ». C’est la reprise de la formule juridique utilisée pour la déclaration à Tracfin d’un mouvement de fonds soupçonné d’être illicite. Et je répète que, pendant l’instruction, les opérations bancaires de la personne dont l’Iban a été piraté ne seront pas bloquées.

Monsieur Bilongo, les banques seront évidemment tenues d’informer la Banque de France des Iban frauduleux : c’est tout l’objet du texte. Aujourd’hui, on constate une certaine nonchalance sur le sujet. Je serai donc défavorable aux amendements remettant en cause le caractère vertueux et incitatif du dispositif.

Une fois le fichier créé, il sera possible de l’ouvrir aux commerçants, afin qu’ils puissent savoir très rapidement si un chèque a été falsifié ou volé.

Monsieur Mattei, peut-être faut-il effectivement réfléchir à un élargissement du dispositif aux professions réglementées. Je vous propose d’expertiser le sujet avec la direction générale du Trésor, la Banque de France et la Fédération bancaire française d’ici à l’examen en séance publique.

Examen des articles

Article 1er
(article L. 521-6-1 du code monétaire et financier)
Création d’un fichier d’IBAN frauduleux auprès de la Banque de France

Résumé du dispositif

L’article 1er prévoit la création d’un fichier recensant les IBAN frauduleux. Alimenté par les prestataires de services de paiement, ce fichier sera centralisé auprès de la Banque de France qui jouera le rôle de tiers de confiance.

Le partage des IBAN douteux doit permettre d’identifier et de bloquer rapidement les tentatives de fraude.

Principaux amendements adoptés par la commission des finances

Un amendement de rédaction globale, sous-amendé par deux amendements rédactionnels, prévoit l’élargissement du mécanisme de partage à la Caisse des dépôts et des consignations, au Trésor public et à la Banque de France, dans leurs fonctions de prestataires de services de paiement.

Cet amendement précise également les obligations qui incombent aux prestataires de services de paiement pour alimenter le fichier, supprime la possibilité pour le titulaire d’un compte recensé d’être informé de la présence de son IBAN au sein du fichier et réaffirme explicitement la compétence de la commission nationale de l’informatique et des libertés (CNIL) pour connaître des mesures réglementaires relatives à la gestion du fichier créé.

L’article ainsi modifié a été adopté par la commission des finances.

Le droit en vigueur est pour l’essentiel dÉfini au niveau europÉen mais ne traite pas spÉcifiquement de la dÉtection de la fraude À l’iban
1. la fraude À l’iban est un phÉnomène massif et protÉiforme

Plusieurs schémas de fraudes bancaires font intervenir l’IBAN d’un compte frauduleux, qui se verra ainsi crédité indûment d’une somme en cas de succès de l’escroquerie.

L’IBAN (International Bank Account Number)

L’IBAN est l’identifiant international d’un compte bancaire auprès d’une institution financière dans un pays donné, qui est notamment utilisé dans le cadre de la réalisation de virements et de prélèvements SEPA. Il est constitué au maximum de 34 caractères alphanumériques, qui comprennent le code du pays où est tenu le compte, l’identification nationale du compte et une clé de contrôle.

La fraude au virement, qui représentait 313 millions d’euros en 2023, peut prendre deux formes principales :

– la saisine du virement par le fraudeur, qui aura réussi à usurper les accès nécessaires au service de banque à distance de la victime. Le virement est régulièrement émis vers le compte du fraudeur ou vers celui d’une « mule », soit un individu rémunéré par le fraudeur pour le laisser utiliser ses coordonnées bancaires.

Source : Rapport annuel 2023 de l’observatoire de la sécurité des moyens de paiement

– la saisine du virement par le client lui-même à la suite d’une manipulation du fraudeur. Le schéma le plus classique est celui dans lequel le fraudeur utilise des techniques d’ingénierie sociale afin d’inciter la victime à réaliser un virement en utilisant les coordonnées bancaires qu’il lui a transmises. Le cas topique est celui de l’usurpation de l’identité d’un artisan ou d’un fournisseur en relation avec la victime, pour lui transmettre un IBAN frauduleux et se faire payer à sa place.

Source : Rapport annuel 2023 de l’observatoire de la sécurité des moyens de paiement

La fraude au prélèvement, qui représentait 22,3 millions d’euros en 2023, peut également prendre deux formes, dont une seule fait toutefois intervenir un IBAN frauduleux :

– l’émission d’un prélèvement par un créancier fraudeur, qui obtient les coordonnées bancaires de la victime pour saisir un ordre de prélèvement, par exemple en achetant une liste d’IBAN volés ou en prenant le contrôle d’une société ayant une base de données recensant les clients débiteurs. Le mécanisme est alors le même que pour le virement et le fraudeur renseigne son IBAN comme bénéficiaire du prélèvement ;

Source : Rapport annuel 2023 de l’observatoire de la sécurité des moyens de paiement

– la souscription d’un mandat de prélèvement avec le compte d’un tiers : le fraudeur souscrit un service auprès d’un créancier légitime, mais renseigne les coordonnées bancaires du compte de la victime à la place des siennes. Dans cette hypothèse toutefois, l’IBAN du fraudeur n’est pas utilisé comme moyen pour récupérer les sommes escroquées.

Les chiffres de la fraude au prélèvement faisant intervenir un IBAN frauduleux sont toutefois en nette amélioration et ne s’élevaient plus qu’à 223 000 euros en 2023.

Virement et prélèvement

Le virement est une opération de paiement par laquelle le débiteur ordonne, à travers le système bancaire, le transfert direct d’une somme depuis son compte vers le compte d’un créancier.

Le prélèvement est une opération de paiement par laquelle un créancier ordonne, à travers le système bancaire, le transfert direct d’une somme depuis le compte bancaire d’un débiteur, qui lui aura préalablement donné son consentement par la signature d’un mandat.

Les IBAN frauduleux servent ainsi principalement à récupérer les sommes escroquées, principalement dans le cadre de la fraude au virement et, à titre marginal, dans le cadre de la fraude au prélèvement.

le droit de l’union europÉenne impose aux banques le dÉploiement de solutions techniques pour la sÉcurisation des opÉrations de paiement

La lutte contre la fraude aux virements ou aux prélèvements vers des IBAN frauduleux fait l’objet d’un encadrement strict par le droit de l’Union européenne.

L’authentification forte

L’article 97 de la deuxième directive concernant les services de paiement dans le marché intérieur (DSP 2) ([5]) prévoit que les prestataires de services de paiement doivent appliquer l’authentification forte du client lorsqu’il accède à son compte de paiement ou initie une opération de paiement, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse. Cette obligation est transposée en droit français à l’article L. 133-44 du code monétaire et financier.

Définition de l’authentification forte d’un paiement

Aux termes de l’article 2 de la directive sur les services de paiement 2, « L’authentification forte du client est une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et inhérence (quelque chose qui a trait à la personne même de l’utilisateur, comme son empreinte digitale) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ».

En pratique, lorsqu’il passe un ordre de virement à sa banque à partir d’un ordinateur, le client reçoit une demande de confirmation par son application mobile bancaire, permettant d’authentifier l’opération en cours par la saisie d’un code secret défini au préalable (critère de connaissance), ou par une reconnaissance faciale (critère d’inhérence). Le critère de possession est satisfait par le fait que l’appareil mobile par lequel la confirmation est envoyée est un appareil vérifié.

La deuxième directive sur les services de paiements permet des dérogations limitées à l’obligation d’authentification forte, par exemple en cas de virements entre comptes détenus par la même personne physique ou morale ([6]), ou vers un bénéficiaire de confiance identifié comme tel par le payeur sur son interface bancaire ([7]).

La vérification du destinataire du virement

L’article 2 du règlement européen sur le virement instantané de 2024 ([8]) prévoit la mise en place obligatoire par les prestataires de services de paiement d’un service assurant la vérification du bénéficiaire auquel le payeur a l’intention d’envoyer un virement. Ainsi, lorsque l’IBAN et le nom du bénéficiaire du virement ont été insérés dans l’ordre de paiement par le payeur, le prestataire de services de paiement doit fournir un service permettant de faire concorder l’identifiant de ce compte de paiement avec le nom du bénéficiaire. Si ces informations ne concordent pas, le prestataire de services de paiement devra en informer le payeur et l’alerter sur le risque de virer les fonds sur un compte détenu par un autre titulaire que celui initialement renseigné.

Ce règlement doit entrer en vigueur le 9 octobre 2025 pour les prestataires de services de paiement établis dans un État membre dont la monnaie est l’euro.

Ce nouveau service VoP (Verification of Payee), qui devra être mis en place par les banques, permettra ainsi de mieux lutter contre les IBAN frauduleux. Les cas de fraude par l’usurpation de l’identité d’un artisan ou d’un fournisseur en relation avec la victime pour lui transmettre un IBAN frauduleux devraient ainsi sensiblement diminuer avec l’entrée en vigueur de ces dispositions.

Le droit proposÉ doit favoriser la dÉtection de la fraude À l’iban, notamment dans les cas de manipulation sociale de la victime

L’article 1er de la proposition de loi est un dispositif supplémentaire dans la lutte contre les faux IBAN. Cet article prévoit en effet la mise en place d’un dispositif de prévention, de recherche et de détection des IBAN frauduleux. Les systèmes de l’authentification forte et de la vérification de l’identité du créancier sont en effet des remparts techniques efficaces contre la fraude au virement ou au prélèvement, mais ne permettent pas de régler l’ensemble des situations à venir, ni même des situations présentes. Ainsi, dans le cadre d’une escroquerie faisant appel à des techniques de manipulation sociale comme l’escroquerie sentimentale, la victime peut valider le paiement par une authentification forte et renseigner une identité du titulaire du compte conforme à celle de l’IBAN.

L’article 1er de la proposition de loi propose ainsi de créer un fichier auprès de la Banque de France pour recenser les IBAN frauduleux. Ce fichier recenserait les coordonnées bancaires que les établissements de paiement, les établissements de monnaie électronique, les établissements de crédit et les prestataires de services d’information sur les comptes estiment frauduleux ou susceptibles d’être frauduleux. Les IBAN seraient inscrits au fichier par ces prestataires de services de paiements, avec les éléments caractérisant la fraude ou la suspicion de fraude.

Un arrêté du ministre chargé de l’économie devra préciser le contenu des déclarations au fichier des prestataires de services de paiement, les modalités de collecte, d’enregistrement, de conservation et de consultation des informations. La version initiale de la proposition de loi prévoit également que l’arrêté détermine les modalités d’information des titulaires des comptes de paiements (alinéa 11).

Lors d’une déclaration sur le fichier d’un compte de paiement, la banque responsable de son hébergement doit effectuer l’ensemble des diligences visant à évaluer effectivement le caractère frauduleux dudit compte. Cette exigence, inscrite à l’alinéa 6 de l’article 1er, donne ainsi un caractère profondément évolutif au contenu du fichier créé :

– si la banque hébergeant le compte de paiement conclut à l’absence de caractère frauduleux de l’IBAN, elle actualise le fichier en retirant le dit compte du recensement ;

– si la banque hébergeant le compte de paiement conclut au caractère frauduleux du compte de paiement, elle peut alors décider de clôturer le compte selon les modalités du droit en vigueur.

Aux termes de l’alinéa 5 de la rédaction initiale de la proposition de loi, ce fichier serait consultable par les prestataires de services de paiement pour récupérer les informations relatives aux IBAN frauduleux. Seules la Banque de France et les banques commerciales auraient accès à ce fichier. La version initiale de la proposition de loi prévoyait que les titulaires d’un IBAN figurant sur le fichier pourraient en être informés, mais cette solution n’a pas été retenue par la commission.

La création du fichier se ferait à coût nul pour les finances publiques. Ainsi, les tarifs liés à la mise en place et au fonctionnement du fichier seront acquittés par les prestataires de services de paiement, selon des modalités prévues par arrêté du ministre chargé de l’économie, après avis de la Banque de France (alinéa 12 de l’article 1er de la proposition de loi). Le tarif pourrait être fixé en fonction du nombre de consultations et de la taille des prestataires de services de paiement. La formule de tarification ne devra en effet pas décourager les signalements des prestataires et ne pourra donc pas reposer sur l’alimentation du fichier et le nombre de signalements effectués.

Le partage de comptes susceptibles d’être frauduleux permettrait de capitaliser sur l’expérience collective et la réactivité des prestataires de services de paiement, afin de bloquer le plus rapidement possible les tentatives de fraude de criminels qui s’attaquent à plusieurs établissements bancaires pour maximiser leurs gains potentiels.

La création de ce fichier national permettrait également de devancer la création d’un mécanisme de partage en matière de fraude prévu par le futur règlement sur les services de paiement (RSP), en cours de négociations au niveau européen.

La révision de la deuxième directive sur les services de paiement (DSP 2)

Le 29 juin 2023, la Commission a publié deux textes visant à actualiser et remplacer la deuxième directive sur les services de paiement : un règlement ([9]) et une directive (DSP 3) ([10]).

Le règlement vise à renforcer les instruments à la disposition des prestataires de services de paiement pour lutter contre la fraude : l’article 83 prévoit ainsi la mise en place de dispositif de partage d’informations entre prestataires de services de paiement. La participation à ce dispositif n’est qu’optionnelle dans le projet de règlement de la Commission.

Dans son mandat de négociation du 23 avril 2024, le Parlement européen a notamment prévu :

– de transformer en une véritable obligation la possibilité pour les prestataires de services de paiement d’échanger des informations en matière de fraude ;

– l’établissement d’une liste non exhaustive des informations pouvant être échangées entre prestataires de services de paiement (identifiant unique du bénéficiaire, nom, numéro d’identification personnel, numéro d’organisation, mode opératoire et autres informations liées à l’opération) ;

– la possibilité de partager ces informations avec les agents des services répressifs et les autorités publiques des États membres.

L’adoption de l’orientation générale du Conseil est une priorité de la présidence polonaise de l’Union européenne et devrait intervenir d’ici la fin du mois de juin 2025.

Le dispositif de l’article 1er respecte par ailleurs le cadre posé par le règlement général sur la protection des données (RGPD) ([11]). L’article 6 du règlement prévoit en effet l’obligation de la licéité du traitement de données : le traitement est licite s’il « est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ». Le considérant 47 du texte précise que « le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable de traitement concerné ». La création d’un fichier recensant les IBAN frauduleux auprès de la Banque de France respecte ainsi la licéité du traitement imposée par le RGPD.

Les modifications apportÉes par la commission des finances

La commission des finances a adopté un amendement de rédaction globale du rapporteur (CF27), modifié par deux sous-amendements rédactionnels (CF32 et CF31). Cet amendement apporte trois modifications principales par rapport à la rédaction initiale de la proposition de loi :

– l’élargissement du champ d’application du mécanisme de partage des IBAN frauduleux : le fichier doit être alimenté par l’ensemble des prestataires de services de paiement. Ainsi, en sus des établissements de paiement, des établissements de monnaie électronique et des établissements de crédit, l’amendement intègre dans le dispositif la Banque de France, l’Institut d’émission des départements d’outre-mer, l’Institut d’émission d’outre-mer, le Trésor public et la Caisse des dépôts et consignations lorsqu’ils agissent en tant que prestataires de services de paiement. Par rapport à la version initiale de l’article 1er, l’amendement exclut toutefois les prestataires de services d’information sur les comptes, qui ne tiennent pas de comptes bancaires ;

– la déclaration au fichier par les prestataires de services de paiement de l’ouverture d’un compte dont le titulaire fait l’objet de suspicions d’usurpation d’identité. L’usurpation de l’identité d’un tiers est en effet constitutive d’une infraction, définie à l’article 226-4-1 du code pénal ;

– la suppression de la possibilité pour le titulaire d’un compte recensé d’être informé de la présence de son IBAN au fichier. Le fonctionnement du fichier est tel que la première déclaration entraînera en effet une vérification par la banque hébergeant le compte. Si l’enquête conclut à l’absence de fraude, l’IBAN sera alors sorti du fichier. Si, au contraire, la banque hébergeant le compte confirme la suspicion d’IBAN frauduleux, il n’est alors pas nécessaire d’informer le fraudeur. La banque pourra ainsi clôturer le compte ou, sur demande de l’administration, le laisser ouvert afin de recueillir davantage d’éléments pour caractériser la fraude. Informer le fraudeur du fichage de l’IBAN entraînerait donc une moindre efficacité du dispositif global de lutte contre la fraude ;

– la mention expresse de la compétence de la commission nationale de l’informatique et des libertés (CNIL) pour connaître des mesures réglementaires relatives à la gestion du fichier créé, en vertu des compétences qui lui sont reconnues par la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ([12]).

Compte tenu de la nécessité d’adopter des mesures réglementaires d’application, tant pour les modalités de collecte, d’enregistrement, de conservation et de consultation des données du fichier, que pour les tarifs applicables à la mise en place et au fonctionnement du dispositif, le choix est également fait de prévoir une entrée en vigueur des dispositions de l’article six mois après la promulgation de la loi.

* *

Amendement CF27 de M. Daniel Labaronne et sous-amendements CF32 et CF31 de Mme Françoise Buffet

M. Daniel Labaronne, rapporteur. Après de nombreux échanges avec l’écosystème bancaire et l’UFC-Que Choisir, il s’est révélé nécessaire d’introduire deux modifications significatives dans le texte initial. La première consiste à élargir le champ d’application du mécanisme de partage à l’ensemble des prestataires de services de paiement, y compris la Banque de France, le Trésor public et la Caisse des dépôts, qui gère les opérations des professions réglementées. La seconde est d’obliger les prestataires de services de paiement déclarants à effectuer une déclaration corrective si un compte a été ouvert après une usurpation d’identité. Il est également interdit de clôturer un compte au seul motif qu’il a été signalé.

Ce sont autant de garanties de nature à rassurer chacun.

Mme Françoise Buffet (EPR). Mes sous-amendements sont rédactionnels. Le premier vise à substituer aux mots « l’alimentation du fichier prévu » les mots : « la fourniture des données prévues ». Le second remplace « mise à disposition » par « divulgation ».

M. Daniel Labaronne, rapporteur. Je suis favorable à ces deux sous-amendements et je remercie Mme Buffet, qui a beaucoup travaillé sur ce texte, pour ses observations tout à fait pertinentes qui ont permis d’en améliorer la rédaction.

Mme Christine Pirès Beaune (SOC). Monsieur le rapporteur, pouvez-vous préciser ce qui a motivé cet amendement de réécriture de votre propre texte ?

M. Daniel Labaronne, rapporteur. Initialement, je n’avais travaillé qu’avec la Banque de France. Petit à petit, il est devenu évident qu’il fallait aussi l’avis de la direction générale du Trésor, de la Fédération bancaire française et l’UFC-Que Choisir. Ces trois dernières semaines, nous avons fait des va-et-vient avec ces trois structures pour améliorer le texte, qui pourrait d’ailleurs peut-être l’être encore, sur le sujet des professions réglementées par exemple.

M. Carlos Martens Bilongo (LFI-NFP). Cette nouvelle rédaction ne permet plus au prestataire de services de paiement d’actualiser le fichier s’il s’avère qu’un Iban n’est finalement pas frauduleux. Quand et comment sera-t-il possible, pour nos concitoyens, de faire retirer leur Iban de cette liste ? C’est un point très important.

M. Daniel Labaronne, rapporteur. Mon amendement dispose que « lorsqu’un compte figure dans le fichier, le prestataire de services de paiement chargé de la tenue de ce compte effectue sans délai l’ensemble des diligences visant à évaluer son caractère frauduleux. » Une fois les diligences faites, l’Iban qui se révélerait authentique serait donc retiré du fichier.

En revanche, il n’est pas prévu que les citoyens puissent consulter le fichier. Quel serait l’intérêt ? Tant qu’il ne s’agit que d’une suspicion de fraude, les opérations bancaires ne sont pas bloquées : il n’y a donc aucune incidence pour le titulaire du compte et il est inutile de l’informer que des vérifications ont été effectuées. Si l’Iban se révèle frauduleux, la banque l’inscrira dans le fichier et fermera le compte. Son détenteur sera alors informé des raisons ayant conduit à cette fermeture – c’est du moins ce que prévoit la proposition de loi de M. Philippe Folliot visant à lutter contre les fermetures abusives de comptes bancaires. Mais n’oublions pas que les fraudeurs utilisent différents Iban et testent la solidité et la vigilance des banques : s’ils se rendent compte que plusieurs banques bloquent l’un de leurs Iban, ils changeront de mode opératoire. C’est une des limites de la proposition de loi Folliot.

M. Carlos Martens Bilongo (LFI-NFP). Dans quel délai la banque ferme-t-elle le compte frauduleux ?

M. Daniel Labaronne, rapporteur. Sans délai ! Immédiatement.

La commission adopte successivement les sous-amendements.

Elle adopte l’amendement sous-amendé et l’article 1er est ainsi rédigé.

En conséquence, les amendements CF20, CF21, CF22, CF23 et CF24 de M. Carlos Martens Bilongo tombent.

Après l’article 1er

Amendement CF16 de M. Jean-Philippe Tanguy

M. Matthias Renault (RN). Lorsqu’elles suspectent une fraude relative à un virement, à un paiement par carte bancaire ou à un retrait d’espèces, les banques informent leurs clients à travers l’envoi de SMS, de mails ou d’alertes sur les applications mobiles. C’est une bonne pratique qui devrait être étendue aux chèques. C’est l’objet de cet amendement.

M. Daniel Labaronne, rapporteur. Vous reprenez là une des recommandations de l’OSMP. J’y suis favorable sur le principe, mais elle présente une difficulté technique. Le code monétaire et financier impose aux banques d’encaisser un chèque le lendemain de son dépôt : que se passerait-il si la banque ne parvenait pas à joindre dans les vingt-quatre heures le titulaire du compte pour s’assurer qu’il a bien émis le chèque en question ? Elle serait face à des injonctions contradictoires.

Cette proposition intéressante présente donc des difficultés opérationnelles. Il faudrait modifier le délai prévu par le code monétaire et financier. Je vous invite donc à retirer votre amendement et à le retravailler d’ici à la séance. À défaut, j’y serais défavorable.

M. Matthias Renault (RN). Nous pouvons retravailler l’amendement, mais on ne risque rien à l’adopter dès maintenant. Il n’y a pas d’obligation de moyens ni d’obligation de résultat dans la rédaction proposée : si la banque ne parvient pas à joindre le client, tant pis – admettons cela comme une limite du dispositif ; et si elle y parvient, c’est toujours mieux que la situation actuelle.

Pour le reste, nous pourrons toujours, en séance, revenir sur le délai de vingt-quatre heures.

M. Daniel Labaronne, rapporteur. Aux termes de votre amendement, les banques seraient tenues d’informer le titulaire du compte d’une suspicion de fraude de chèque : il s’agit bien d’une obligation. Or, elle se heurte aux dispositions du code monétaire et financier concernant le délai d’encaissement des chèques. Je vous invite à nouveau à retirer l’amendement, le temps que l’on cherche un moyen de concilier ces injonctions contradictoires. Vous pourrez alors redéposer l’amendement en séance.

La commission rejette l’amendement.

Amendement CF25 de M. Carlos Martens Bilongo

M. Carlos Martens Bilongo (LFI-NFP). Afin de rendre le dispositif plus efficace, cet amendement vise à renforcer la responsabilité des banques et prestataires de services de paiement qui effectueraient un virement vers un compte frauduleux inscrit dans le fichier.

Dans une décision du 15 janvier 2025, la Cour de cassation a indiqué que la responsabilité de la fraude incombait intégralement aux victimes d’escrocs bancaires, les privant de fait d’indemnisation. Auparavant, la banque prenait sa part de responsabilité dans la négligence ayant conduit au virement frauduleux, ce qui pouvait déclencher un remboursement partiel des sommes soustraites à la victime.

Nous déplorons cette décision et appelons à une modification de la loi afin que les banques soient pleinement responsabilisées dans les virements qu’elles opèrent. Les victimes – la plupart du temps des particuliers vulnérables à des méthodes comme le phishing, l’arnaque au faux conseiller, ou le piratage d’Iban – perdent leur argent et se retrouvent en danger économique et social. Ce n’est pas le cas des banques, qui peuvent se tourner vers les assurances.

Plus que cela, il faut encourager l’usage des dispositions prévues à l’article 1er. Le coût de la création et de l’entretien du fichier est censé être supporté par les prestataires de services de paiement privés. Nous y sommes favorables, mais on ne peut écarter le risque que ces prestataires refusent purement et simplement de participer. Ils auraient alors une responsabilité morale dans la fraude, sans en supporter le coût. Il s’agit donc de reconnaître que réaliser un virement à destination d’un compte frauduleux constitue une négligence grave de la part d’une banque ou d’un prestataire de services de paiement, de nature à engager sa responsabilité : à ce titre, l’opérateur serait alors tenu d’indemniser intégralement la victime.

M. Daniel Labaronne, rapporteur. La DSP2 est d’harmonisation maximale, c’est-à-dire qu’il n’est pas possible d’introduire d’autres dispositions relatives aux services de paiement dans les législations nationales. Or votre amendement va au-delà de la DSP2 : l’adopter pourrait conduire à la condamnation de la France par la Cour de justice de l’Union européenne.

En outre, le dispositif que je propose vise à protéger les consommateurs en invitant les banques à être très vigilantes sur les Iban et à envoyer le maximum d’informations aux autres acteurs de l’écosystème bancaire. Tout le monde a intérêt à jouer le jeu et à faire le job : au-delà de l’aspect juridique, prévoir des sanctions serait contreproductif. Avis défavorable.

M. Carlos Martens Bilongo (LFI-NFP). Tout le monde a intérêt à faire le job, mais mettez-vous à la place du particulier victime d’une fraude : la banque ayant accès au fichier, elle doit se montrer responsable et ne pas valider un virement vers un Iban qu’elle sait frauduleux.

M. Daniel Labaronne, rapporteur. Mais à partir du moment où l’Iban est inscrit dans le fichier, toutes les opérations sont bloquées ! Il y a un effet cliquet : les banques n’ont aucune marge de manœuvre.

La commission rejette l’amendement.

Amendement CF18 de M. Franck Allisio

M. Alexandre Sabatou (RN). La fraude aux paiements par carte bancaire, notamment en ligne, est la première fraude aux moyens de paiement scripturaux en termes de montants – 43 % en 2024 selon la Banque de France, soit +1,5 point en un an. Pourtant, la proposition de loi ne propose aucune mesure concernant ce moyen de paiement.

Les mesures rendues obligatoires par la directive européenne DSP2 ont montré leur efficacité en la matière. L’amendement propose donc d’élargir le champ de la double authentification afin de la rendre systématique, quel que soit le montant du paiement effectué en ligne. En effet, certaines transactions, notamment pour les montants inférieurs à 30 euros, peuvent encore être effectuées sans double authentification, ce qui laisse aux fraudeurs une marge de manœuvre. Même au-dessus de 30 euros, il arrive que certaines transactions soient autorisées sans recours à cette méthode.

M. Daniel Labaronne, rapporteur. Comme le précédent, cet amendement est contraire au droit européen car il irait au-delà de la DSP2, laquelle prévoit l’obligation d’une authentification forte pour les paiements en ligne. Elle permet des dérogations en cas de paiement sans contact d’un montant inférieur à 50 euros, mais ne systématise pas l’authentification forte. Votre proposition rendrait ainsi obligatoire la double authentification pour payer en carte bleue, y compris à la boulangerie ou au péage. Voilà qui ne simplifierait pas la vie de nos concitoyens ! J’imagine que votre but est de protéger les consommateurs, mais je rappelle qu’en cas de fraude sans authentification forte, la banque est tenue de rembourser le client.

M. Alexandre Sabatou (RN). Vous parlez de boulangeries et de péages, mais l’exposé sommaire de l’amendement n’évoque que les paiements effectués en ligne. Y a-t-il une erreur dans le dispositif de l’amendement ?

M. Daniel Labaronne, rapporteur. La protection du consommateur est assurée par le système actuel. On peut payer en ligne jusqu’à 50 euros sans authentification forte. En revanche, si vous utilisez un moyen de paiement à Paris à 15 heures 15 et qu’un prélèvement est effectué à Lyon à 16 heures, la banque détectera une anomalie et demandera une authentification forte même pour retirer 10 euros au distributeur automatique.

La commission rejette l’amendement.

Amendement CF17 de M. Matthias Renault

M. Matthias Renault (RN). L’article 1er crée un fichier national des Iban frauduleux. En lien avec la proposition de loi visant à sortir la France du piège du narcotrafic actuellement en discussion, l’amendement vise à permettre à Tracfin d’accéder à ce fichier et de croiser ses données avec celles qui lui sont fournies par ailleurs. Les transferts de fonds par Western Union ou MoneyGram sont l’un des principaux moyens de blanchir l’argent du narcotrafic.

M. Daniel Labaronne, rapporteur. Tracfin dispose déjà d’un droit d’information de la part de toute personne chargée d’une mission de service public, ce qui lui permet de demander des renseignements à la Banque de France et de les recouper avec d’autres informations. L’amendement propose de remplacer cette démarche volontaire par un accès systématique au fichier. Cette mesure n’est pas inintéressante. Néanmoins, le fait d’accorder à Tracfin un accès au fichier des comptes frauduleux pourrait poser problème au regard du principe de nécessité prévu par l’article 6 (1) du RGPD (règlement général sur la protection des données).

Je vous propose de retirer l’amendement pour le retravailler en vue de la séance publique. Si nous recevons de la part de Tracfin l’assurance qu’il ne pose pas de problème particulier, je donnerai un avis de sagesse dans l’hémicycle.

M. Matthias Renault (RN). Nous avons eu la même discussion hier soir en séance publique. Tracfin, avec la direction générale de la sécurité extérieure, la direction générale de la sécurité intérieure et le service d’information des douanes, fait partie du premier cercle du renseignement. Nous avons voté hier l’assouplissement de la transmission d’informations de ces services, entre eux et avec l’autorité judiciaire. Cela a provoqué une levée de boucliers à gauche, très à gauche, sur le thème du respect du RGPD, des libertés et du principe de séparation entre les services de renseignement. L’amendement pose effectivement une difficulté au regard de la législation actuelle, mais notre but est précisément de modifier la législation !

La commission rejette l’amendement.

* *

Article 2
(article L. 131-84 du code monétaire et financier)
Déclaration des chèques falsifiés ou contrefaits au FNCI
par les prestataires de services de paiement

Résumé du dispositif

L’article 2 prévoit l’inscription dans la loi de l’obligation pour les prestataires de services de paiement d’informer la Banque de France lors de la remise d’un chèque falsifié ou contrefait. La banque devra également informer la Banque de France si elle a connaissance de la falsification ou de la contrefaçon de chèques.

Principaux amendements adoptés par la commission des finances

La commission a adopté un amendement rédactionnel du rapporteur.

L’article ainsi modifié a été adopté par la commission des finances.

Le droit existant prÉvoit plusieurs cas d’alimentation du fichier national des chÈques irrÉguliers par les prestataires de services de paiement

Le fichier national des chèques irréguliers (FNCI) permet de détecter l’utilisation de chèques irréguliers. Créé par un arrêté du ministre de l’économie et des finances du 24 juillet 1992, ce fichier recense :

– les coordonnées bancaires des titulaires frappés d’une interdiction bancaire ou judiciaire d’émettre des chèques ;

– les coordonnées bancaires des comptes clôturés sur lesquels des formules de chèques ont été délivrées ;

– les comptes pour lesquels une déclaration de perte ou de vol a été enregistrée auprès des services de police et de gendarmerie ou de l’établissement tiré ;

– les éléments d’identification sur les faux chèques. L’arrêté ne précise toutefois pas ce que sont les « faux chèques ».

Afin de garantir l’alimentation du fichier, l’article L. 131-84 du code monétaire et financier ([13]) prévoit une obligation d’information de la Banque de France par le prestataire de services de paiement dans trois hypothèses, qui recoupent celles de l’arrêté du 24 juillet 1992 :

– le refus de paiement d’un chèque pour défaut de provision suffisante ;

– la clôture d’un compte sur lequel des formules de chèques ont été délivrées ;

– l’opposition pour perte ou vol de chèques ou formule de chèques.

Le FNCI alimente un fichier distinct de consultation contenant uniquement les informations indispensables à l’identification des chèques déclarés volés, des faux chèques ou des chèques tirés sur des comptes clos. Les conditions de consultation de ce fichier sont définies par les articles L. 131-86 et R. 131-5 à R. 131-9 du code monétaire et financier, qui prévoient une rémunération de la Banque de France pour le service rendu. Ainsi, les commerçants abonnés au service FNCI/VERIFIANCE peuvent utiliser ce fichier pour vérifier la régularité des chèques qui leur sont remis en paiement d’un bien ou d’un service.

Le fichier central des chèques (FNCI)

Le FNCI se différencie du fichier central des chèques (FCC), qui recense les individus dont la banque ou une décision judiciaire a interdit l’émission de chèques ou l’utilisation d’une carte bancaire en raison d’un usage abusif.

Contrairement au FCC, le FNCI n’est accessible qu’aux établissements de crédit, aux sociétés de financement, aux établissements de paiement et de monnaie électronique, à la commission de surendettement et aux autorités judiciaires.

Le droit proposÉ inscrit explicitement dans la loi l’obligation pour les banques de dÉclarer les faux chÈques et prÉcise leur dÉfinition

L’article 2 de la proposition de loi apporte deux précisions, afin de consolider juridiquement le fonctionnement du FNCI.

En premier lieu, l’article 2 de la proposition de loi prévoit l’inscription à l’article L. 131-84 du code monétaire et financier de deux nouvelles hypothèses d’obligation d’information de la Banque de France par le prestataire de services de paiement :

– le rejet d’un chèque pour falsification ou contrefaçon ;

– la connaissance d’un chèque ou d’une formule de chèques falsifié ou contrefait.

Il n’y a aujourd’hui pas d’obligation réglementaire de déclaration des faux chèques pour les établissements, même si en pratique cette déclaration est systématique. L’article permet donc de formaliser cette pratique des banques dans la loi.

En second lieu, l’article 2 de la proposition de loi permet de préciser que les « faux chèques » visés dans l’arrêté du 24 juillet 1992 sont les chèques falsifiés ou contrefaits. La contrefaçon de chèque correspond à la création d’un faux chèque de toutes pièces, parfois émis sur une fausse banque, mais le plus souvent sur une banque existante. La falsification consiste en l’interception frauduleuse d’un chèque régulièrement émis puis falsifié par grattage, gommage ou effacement (du bénéficiaire ou du montant) ou directement encaissé sans modification sur un compte n’appartenant pas au bénéficiaire légitime.

En 2023, la contrefaçon des chèques représente 29,8 millions d’euros en valeur, soit 5 % du total de la fraude au chèque. La falsification représente 100,5 millions d’euros en valeur, soit 17,2 % de la fraude au chèque.

Les modifications apportÉes par la commission des finances

La commission des finances a adopté l’amendement rédactionnel du rapporteur (CF28) puis l’article ainsi modifié.

* *

La commission adopte l’amendement rédactionnel CF28 de M. Daniel Labaronne, rapporteur.

Elle adopte l’article 2 modifié.

* *

Article 3
(article L. 131-86 du code monétaire et financier)
Consultation par les prestataires de services de paiement du FNCI
lors de la remise d’un chèque

Résumé du dispositif

L’article 3 de la proposition de loi prévoit la possibilité pour les prestataires de services de paiement de s’informer auprès de la Banque de France de la régularité de l’émission d’un chèque, au moment de sa présentation par le client.

Principaux amendements adoptés par la commission des finances

La commission a adopté un amendement rédactionnel du rapporteur.

L’article ainsi modifié a été adopté par la commission des finances.

Le droit existant permet aux commerçants de consulter le fnci pour vÉrifier la rÉgularitÉ des chÈques qui leur sont remis

En l’état du droit, l’article L. 131-86 du code monétaire et financier prévoit que seuls les bénéficiaires professionnels d’un chèque peuvent consulter le FNCI grâce au service payant VERIFIANCE, afin de déterminer si un chèque remis en paiement d’un bien ou d’un service a fait l’objet d’une opposition pour perte ou vol.

L’article L. 131-86 prévoit que l’origine des demandes d’information donne lieu à enregistrement, de façon à pouvoir tracer les consultations du fichier.

Le droit proposÉ Étend cette possibilitÉ aux banquiers lors de la remise d’un chÈque

L’article 3 de la proposition de loi prévoit que la Banque de France assure l’information du banquier qui, lors de la présentation du chèque au paiement, souhaite vérifier la régularité de son émission.

Cet article prévoit ainsi d’ouvrir un service similaire à celui de FNCI/VERIFIANCE pour les banquiers. Ce service n’est en effet accessible qu’aux commerçants abonnés. L’objectif est ainsi d’éviter de créditer des clients remettants de chèques déjà mis en opposition ou de faux chèques déclarés par la banque du tireur. Cela permet de détecter au plus tôt la fraude, et de ne pas mettre dans le circuit bancaire un chèque volé ou perdu. En d’autres termes, la banque sera en mesure de détecter que le chèque remis à l’encaissement figure dans le FNCI et refusera de présenter le chèque à la banque du tiré, ce qui empêchera le fraudeur d’encaisser les fonds avant que le chèque ne soit finalement rejeté pour fraude.

La mesure est préconisée par l’OSMP dans son plan d’action sur les chèques présenté en juillet 2021 ([14]), afin de lutter contre les avances de provision faites aux clients, qui sont courantes en matière d’encaissement de chèques.

Comme pour les commerçants et professionnels, les demandes d’information des prestataires de services de paiement donneront lieu à enregistrement.

L’observatoire de sécurité des moyens de paiements (OSMP)

Créé en 2016 ([15]) pour succéder à l’Observatoire de la sécurité des cartes de paiement mis en place en 2001, l’OSMP constitue la clé de voûte de la lutte contre la fraude aux moyens de paiement.

Cette instance regroupe des parlementaires, des représentants de plusieurs administrations, des émetteurs de moyens de paiement, des opérateurs de systèmes de paiement, des associations de commerçants, d’entreprises et de consommateurs ([16]).

Cet observatoire, dont le secrétariat est assuré par la Banque de France, assure en particulier le suivi des mesures de sécurisations entreprises par les différents acteurs, établit les statistiques de la fraude et assure la veille technologique en matière de moyens de paiement. L’observatoire propose également des moyens de lutter contre les atteintes à la sécurité des moyens de paiement.

Les modifications apportÉes par la commission des finances

La commission a adopté l’amendement rédactionnel du rapporteur (CF 29) et l’article 3 ainsi modifié.

* *

La commission adopte l’amendement rédactionnel CF29 de M. Daniel Labaronne, rapporteur.

Amendement CF26 de M. Carlos Martens Bilongo

M. Carlos Martens Bilongo (LFI-NFP). Par cet amendement, nous voulons donner à la Commission nationale de l’informatique et des libertés (Cnil) la capacité d’observer et de mesurer le nombre de requêtes réalisées par un banquier et de lui retirer la possibilité de consulter le fichier national des chèques irréguliers dans le cas où des abus manifestes seraient constatés.

La mise à disposition des informations contenues dans le FNCI pour les banques est une bonne chose, ces dernières étant les plus à même de constater l’irrégularité d’un chèque. Mais cela demeure insuffisant : au moment où la banque constate l’irrégularité d’un chèque, la victime, la plupart du temps un particulier ou une TPE qui s’était vu remettre ce chèque, se retrouve dans l’incapacité de retrouver son débiteur pour obtenir paiement.

En autorisant les banquiers, c’est-à-dire des sociétés privées, à réaliser des requêtes au FNCI, l’article a des conséquences sur le respect des libertés individuelles. La loi actuelle comme cet article prévoient à juste titre que ces requêtes sont enregistrées. Mais l’enregistrement seul n’est pas suffisant. Nous proposons donc de garantir la protection des libertés individuelles en permettant à la Cnil d’observer les requêtes, de les quantifier et d’agir dans le cas où un banquier représenterait, par son action, une menace pour la confidentialité de données personnelles.

L’observation et la quantification ont déjà cours dans de nombreux espaces. Les requêtes des agents de police ou de gendarmerie au tableau des antécédents judiciaires sont enregistrées et quantifiées et, si le nombre de requêtes est manifestement trop important, une alerte est automatiquement envoyée.

M. Daniel Labaronne, rapporteur. Il est impossible de déterminer à quoi correspondent, du point de vue juridique, des « demandes d’informations manifestement surnuméraire » de la part d’un banquier. Par ailleurs, je ne vois pas quel intérêt les banquiers auraient à abuser de la consultation du FNCI hors des cas où celle-ci est nécessaire pour la protection de leurs clients. Au contraire, s’ils encourent une sanction de la Cnil en cas de consultations trop nombreuses, ils risquent d’être moins proactifs dans la consultation des fichiers recensant les Iban frauduleux et les chèques irréguliers. Avis défavorable.

M. Carlos Martens Bilongo (LFI-NFP). Cette disposition existe pour la gendarmerie et la police. Nous ne sommes pas à l’abri qu’une banque consulte le FNCI pour des motifs qui lui sont propres. La Cnil est reconnue pour son efficacité et son contrôle servirait à éviter les abus et à limiter les menaces aux libertés individuelles.

M. Daniel Labaronne, rapporteur. Vous proposez que ce soit la Cnil qui suspende l’accès de la banque au FNCI. Cela ne relève pas de sa compétence.

La commission rejette l’amendement.

Elle adopte l’article 3 modifié.

* *

Article 4 (nouveau)
(articles L. 732-2, L. 733-2, L. 734-2, L. 773-21, L. 774-21 et L. 775-15
du code monétaire et financier)
Application des dispositions de la proposition de loi aux collectivités
d’outre-mer du Pacifique

La commission des finances a adopté un amendement de coordination pour garantir l’application des trois articles de la proposition de loi dans les collectivités ultramarines du Pacifique ayant pour monnaie le franc Pacifique : la Nouvelle-Calédonie, la Polynésie française et les îles Wallis et Futuna.

Les modifications des articles L. 131-84, L. 131-86 et la création de l’article L. 521-6-1 du code monétaire et financier doivent être rendues applicables par mention expresse, dans ces territoires régis par le principe de spécialité législative.

Quatre adaptations de l’article L. 521-6-1 sont également nécessaires pour introduire l’Institut d’émission d’outre-mer dans le dispositif de gestion du fichier d’IBAN frauduleux créé à l’article 1er de la proposition de loi. Cet établissement public est en effet la banque centrale des collectivités dont la monnaie est le franc pacifique

* *

Amendement CF30 de M. Daniel Labaronne.

M. Daniel Labaronne, rapporteur. C’est un amendement de coordination pour les outre-mer.

La commission adopte l’amendement portant article additionnel.

Elle adopte l’ensemble de la proposition de loi modifiée.

([1]) Les prestataires de services de paiement sont définis à l’article L. 521-1 du code monétaire et financier et correspondent aux banques, aux établissements de paiement et aux établissements de monnaie électronique.

([2]) Cour de cassation, chambre commerciale, 15 janvier 2025, 23-15.437, publié au bulletin.

([3]) Article L. 133-21 du code monétaire et financier.

([4]) Interview dans le journal Les Échos, 22 mai 2023.

([5]) Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/10/CE et 2013/36/UE et le règlement (UE) n° 1093/2010 et abrogeant la directive 2007/64/CE.

([6]) Article 15 du règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/366 du Parlement européen et du Conseil par des normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication.

([7]) Article 13 du règlement délégué (UE) 2018/389.

([8]) Règlement (UE) 2024/886 du Parlement européen et du Conseil du 13 mars 2024 modifiant les règlements (UE) n° 260/2012 et (UE) 2021/1230 et les directives 98/26/CE et (UE) 2015/2366 en ce qui concerne les virements instantanés en euros.

([9]) Proposition de règlement du Parlement européen et du Conseil concernant les services de paiement dans le marché intérieur et modifiant le règlement (UE) n° 1093/2010, COM(2023) 367 final.

([10]) Proposition de directive du Parlement européen et du Conseil concernant les services de paiement et les services de monnaie électronique dans le marché intérieur, modifiant la directive 98/26/CE et abrogeant les directives (UE) 2015/2366 et 2009/110/CE.

([11]) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

([12]) Loi n° 78-17 du 6 janvier 1978.

([13]) Cet article est issu de l’article premier de la loi n° 91-1382 du 30 décembre 1992, modifiant l’article 73-3 du décret-loi du 30 octobre 1935 unifiant le droit en matière de chèques et relatif aux cartes de paiement. Les dispositions ont ensuite été codifiées dans le code monétaire et financier par l’article 4 de l’ordonnance 2000‑1223 du 14 décembre 2000.

([14]) Rapport de l’observatoire de la sécurité des moyens de paiement 2023, du 10 septembre 2024.

([15]) Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique.

([16]) Article L. 141-4 du code monétaire et financier.