II. DES ADAPTATIONS SONT NÉCESSAIRES POUR RÉPONDRE AUX « ANGLES MORTS » DE LA DIRECTIVE

Dans le cadre de la ratification de l'ordonnance de transposition de la directive « DSP 2 », il apparaît que des dispositions sont nécessaires pour compléter les mesures désormais applicables dans le droit français .

Outre les deux dispositifs présentés ci-dessous, il convient de mentionner le fait qu'à l'initiative du Gouvernement, l'Assemblée nationale a également complété le projet de loi initial afin de permettre la fourniture d'espèces à l'occasion d'une opération d'achat de biens ou de services - « cashback » - ( article 1 er bis ), service expressément exclu du champ de la directive. Cette mesure fait l'objet d'une présentation détaillée dans le cadre du commentaire d'article.

A. ASSURER RAPIDEMENT UN HAUT NIVEAU DE SÉCURITÉ DES COMMUNICATIONS ENTRE PRESTATAIRES DE SERVICES DE PAIEMENT

Dans un courrier adressé au ministre de l'économie et des finances le 30 novembre 2017, le Gouverneur de la Banque de France et le directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi) ont entendu alerter sur les risques liés à la prolongation du web scraping durant la période transitoire .

Surtout, les lacunes en termes d'identification rendent caduques, en pratique, les modalités de partage de responsabilité en cas de fraude prévues par la directive.

Il s'ensuit des difficultés pour l'utilisateur et surtout un manque de protection patent pendant cette période transitoire.

C'est pourquoi, à l'initiative du Gouvernement, l'Assemblée nationale a complété le projet de loi initial en adoptant un amendement renvoyant au pouvoir réglementaire le soin de préciser, pour la période de transition qui s'ouvre, « les conditions d'entrée en vigueur et celles suivant lesquelles les [PSIP et PSIC] communiquent de manière sécurisée avec les utilisateurs de services de paiement et les prestataires de services de paiement gestionnaires de compte, selon des modalités permettant [aux PSIP et PSIC] de continuer à exercer leurs activités » (article 1 ter ).

Selon les indications de Delphine Gény-Stephann, secrétaire d'État auprès du ministre de l'économie et des finances, devant l'Assemblée nationale en séance publique le 8 février dernier, il s'agit d'anticiper l'entrée en vigueur du dispositif sécurisé de communication , afin que les banques prêtes à l'avance puissent tester et rendre obligatoire le recours à l'interface spécifique.

Deux conditions devraient toutefois être remplies :

- l'interface devrait satisfaire aux exigences de performance et de qualité définies par la norme technique de réglementation ;

- les gestionnaires de compte devraient assurer que les nouveaux acteurs tiers pourront continuer d'exercer leurs activités .

De surcroît, ce dispositif devrait faire l'objet de tests ouverts en amont.

Ces exigences s'inscrivent dans le sillage des dispositions prévues par l'acte délégué de la Commission européenne , prévoyant les normes techniques de réglementation. Il est en effet prévu que toutes les interfaces de communication, qu'elles soient spécifiques ou non, fassent l'objet d'un essai de prototype de trois mois puis d'un essai dans les conditions réelles de marché de trois mois également.

Dans ce cadre, la Commission européenne a formé un groupe de marché, composé de représentants des établissements bancaires, des nouveaux prestataires de services de paiement reconnus par la directive de 2015 et d'utilisateurs de services de paiement, chargé d'examiner la qualité des interfaces de communication spécifique.

S'il traduit la volonté de garantir la protection de l'utilisateur, le dispositif adopté par l'Assemblée nationale présente toutefois plusieurs difficultés .

La première difficulté tient aux contraintes de développement des interfaces de communication spécifiques . Comme l'a précisé Mme Marie-Anne Barbat-Layani, directrice générale de la Fédération bancaire française (FBF), devant la commission des finances du Sénat le 14 février 2018, « le secteur bancaire a demandé à une société, qui est gestionnaire d'infrastructures de paiement, de développer des spécifications techniques, pour que les banques puissent, sur ces bases, développer les interfaces sécurisées » 35 ( * ) . Or les premières mises en oeuvre effectives sont espérées pour la fin de l'année 2018, sous réserve de tests concluants. De fait, le web scraping non authentifié devrait encore s'appliquer jusqu'à la fin de l'année 2018.

La seconde difficulté tient à la définition de l'objet du décret prévu par l'article 1 er ter . En particulier, il convient de mieux relier les dispositions transitoires établies au niveau national, au cadre européen défini par les normes techniques de réglementation.

Tel est d'ailleurs l'objectif du Gouvernement , ainsi que l'a souligné Jérôme Reboul, sous-directeur des banques et des financements d'intérêt général à la direction générale du Trésor, devant la commission des finances du Sénat, indiquant que « la France a souhaité que les dispositifs relatifs à la sécurité entrent en vigueur le plus tôt possible. [...] Le Gouvernement a souhaité anticiper la mise en oeuvre de ces normes réglementaires, dès lors que nous aurons la certitude que les interfaces dédiées seront opérationnelles. Cette disposition est parfaitement conforme au droit européen » 36 ( * ) .

Votre commission a adopté un amendement en ce sens, en prévoyant que les dispositions du décret soient conformes à celles relatives aux normes sécurisées de communication prévues par l'acte délégué .


* 35 Voir le compte-rendu de l'audition du 14 février 2018.

* 36 Voir le compte-rendu de l'audition du 14 février 2018.

Les thèmes associés à ce dossier

Page mise à jour le

Partager cette page