Quelles sont les conséquences aujourd’hui de la perte par les banques de leur monopole sur les moyens de paiement ?
La donne a changé à partir de 2007 avec le vote de la directive Services de paiement (DSP), qui avait notamment pour objectif de permettre l’entrée de nouveaux acteurs, concurrents des banques, sur le marché des services de paiement. À partir du moment où ces derniers peuvent venir proposer des services soit identiques, soit complémentaires de ceux des banques, il n’y a en effet plus de monopole sur cette activité, en droit français comme en droit européen.
Cette tendance a été renforcée par un faisceau d’événements : la création de l’espace unique de paiements SEPA, la crise financière de 2008, l’apparition de nouvelles technologies et de nouveaux usages, et bien sûr une demande des principaux intéressés que sont les consommateurs et les commerçants pour des systèmes de transaction plus sûrs, plus efficaces, ne connaissant pas les frontières.
Ces nouveaux usages de la part des consommateurs semblent s’être développés plus vite que prévu…
Dans son discours prononcé à l’occasion de la publication de la réforme de la DSP le 24 juillet 2013, Michel Barnier a expliqué que sur le territoire de l’Union européenne, dès 2014, plus de 200 millions de consommateurs feraient régulièrement des achats sur Internet. Lors de la présentation initiale de la directive de 2007, la prévision la plus optimiste ne dépassait pas 150 millions de consommateurs. Cela ne peut qu’inciter les banques et les nouveaux acteurs à proposer des services.
Qui sont les nouveaux acteurs dans l’industrie des paiements ?
En Europe, on trouve deux types de nouveaux acteurs. Il y a tout d’abord ceux qui font de l’intermédiation entre acheteurs et vendeurs à la place des banques, soit de façon strictement identique, soit en faisant un peu mieux en proposant des services nouveaux… ils restent des intermédiaires : cela signifie que le consommateur peut s’attendre à une baisse des prix et des commissions, mais ceux-ci existeront toujours. La deuxième catégorie d’acteurs propose plutôt une désintermédiation dans la vente de services de paiement, c'est-à-dire permettre à un commerçant ou à un consommateur de faire des transactions directement, l’un en face de l’autre, comme pour les transactions réglées en espèces, sans passer par un service tiers qui forcément prend une marge répercutée dans le prix de la marchandise acquise.
Mais au-delà même de ces deux catégories, les initiatives foisonnent ! Par exemple, des collectivités locales ou publiques proposent de payer des services municipaux par téléphone mobile. À Caen, par exemple, un stade qui sert de laboratoire pour tester de nouvelles applications sur les téléphones mobiles propose notamment de faire des paris en ligne sur les résultats des matchs. Ce sont des transactions dont les banques sont absentes, alors que ce sont tout de même des valeurs qui sont échangées. Apple, de son côté, propose Linxo, un service d’assistance et de conseil à la gestion de ses comptes en banque sur Iphone : le service prévient de l’arrivée des virements, du dépassement d’autorisation de découvert, du problème sur un achat par e-commerce… C’est un bon exemple d’intermédiaire allant plus loin que la banque.
Pour les acteurs traditionnels que sont les banques, certains de ces nouveaux entrants sont-ils plus dangereux que d’autres ?
La proposition de réforme de la DSP du 24 juillet 2013 propose que tous les établissements qui offrent des services de paiement utilisent les normes techniques les plus efficaces en vigueur, et qu’il n’y ait pas que les banques ou les établissements visés par le Code monétaire et financier qui soient dans l’obligation d’offrir à leurs clients les normes les plus sécuritaires. L’objectif, et c’est plutôt une bonne nouvelle pour les banques, est que chacun joue à armes égales, notamment en ce qui concerne la question de la sécurité des transactions de paiement.
Mais le plus grand danger vient probablement de l’utilisation potentielle de données personnelles par des établissements qui ne sont pas domiciliés sur le territoire européen, ou qui rapatrient les données dans des serveurs qui physiquement sont à l’étranger, par exemple aux États-Unis. Ainsi localisés, ces serveurs peuvent conserver ces informations ad vitam aeternam alors que la réglementation en vigueur dans la plupart des pays européens oblige à détruire les données au-delà d’un certain délai ; surtout, beaucoup de serveurs non européens se considèrent comme propriétaires des données, et n’excluent donc pas, comme l’avait fait Twitter, de les commercialiser. C’est notamment la grande différence entre les États-Unis et l’Europe, et un danger d’autant plus réel qu’il est aujourd’hui très difficile de rapprocher les conceptions européenne et américaine sur ces questions, alors que l’essentiel de l’innovation dans ce domaine vient des États-Unis.
La réforme de la réglementation européenne sur la protection des données personnelles ne peut-elle cadrer ces dérives ?
Lorsque des sociétés comme Google, Facebook ou Twitter ont un projet, elles le réalisent même si les autorités de la concurrence ou les autres agences d’État, les ministères chargés de l’ordre public, menacent de réagir. Je ne sais pas combien d’avertissements Google ou Facebook ont pu recevoir de la Cnil… mais elles continuent à travailler de la même façon. Or entre le moment où une société non européenne va proposer un nouveau service qui ne sera peut-être pas conforme au droit français ou au droit européen, et le moment où une décision de justice interviendra, le service sera déjà installé. En réalité, ces sociétés pratiquent la politique du fait accompli.
Par ailleurs, outre l’obstacle réglementaire, la culture européenne en la matière est très différente de la culture américaine : aux États-Unis, les consommateurs ne se méfient pas autant des fichiers et de leur utilisation ; le grand public n’a aucune appréhension vis-à-vis des cookies et y voit au contraire un moyen d’être informé de façon plus ciblée en fonction de ses goûts et de ses centres d’intérêt. Il peut aussi être possible de faire évoluer l’attitude des consommateurs européens avec de la pédagogie et des explications sur le type d’exploitation commerciale qui peut être fait de leurs données. D’autant que les nouvelles générations, nées avec Internet, n’ont pas la même sensibilité que leurs aînés au risque de voir leur vie privée étalée sous d’autres yeux : ils réagissent sur facebook, postent des documents sans se préoccuper de savoir que ces derniers sont accessibles à tous et le seront encore dans 10 ou 15 ans.
Face à l’évolution rapide tant dans les moyens de paiement, que dans l’utilisation des données personnelles, les banques ont-elles réagi ?
Il serait faux de dire que les banques n’ont pas réagi : certaines ont demandé à être auditionnées par la Commission européenne, et ont, d’après Michel Barnier, coopéré à l’écriture de nouvelles règles ; ce qui montre qu’elles sont conscientes de cette évolution profonde et inévitable de l’activité. Tandis que d’autres, comme Mastercard par exemple, ont fait tout leur possible pour maintenir un statu quo.
Par ailleurs, les banques sont aussi présentes pour aider à la recherche et à la réflexion sur les nouvelles technologies, aussi bien pour les aspects informatiques et électroniques que juridiques, sociologiques et économiques. Elles financent des projets de recherche de technologie sur les paiements en ligne et jouent le jeu, mais restent trop souvent au stade de l’expérimentation : très peu de projets aboutis sont proposés à la clientèle. Peut-être ont-elles estimé que la situation n’évoluerait pas si vite.
Je m’étonne ainsi que les banques françaises, qui sont puissantes et gardent une meilleure réputation – même depuis la crise – en termes de sécurité des transactions qu’une société domiciliée en Californie, ne proposent pas des offres telles que celle de Linxo ! Elles en sont techniquement tout à fait capables et peuvent vendre ce service à leurs clients qui manifestement n’arrivent pas à gérer leur compte en banque. Elles pourraient ainsi prélever les mêmes sommes au titre de ce service qu’au titre de la gestion d’un découvert, en évitant au client un incident de paiement, ou pire, de se retrouver un jour interdit bancaire, tout en lui donnant le conseil dont il avait certainement besoin. Les banques travaillent beaucoup sur l’obligation de conseil et de mise en garde pour leurs chargés de clientèle, mais beaucoup moins pour la relation en ligne. L’obligation de conseil ne pèse pas uniquement à l’égard des clients physiquement présents dans l’agence. C’est le statut de banquier qui fait que pour chaque opération, le client doit être conseillé, mis en garde, etc.
Les banques risquent-elles de perdre la partie face aux nouveaux acteurs dans les services de paiement ?
Je crois tout de même dans l’avenir des banques dans ce domaine, d’abord en raison de leur présence sur le territoire, grâce à leur réseau. C’est un atout que les entreprises comme Google ne parviendront pas à challenger. De plus, en dépit de la crise, les banques françaises ont su garder une image de fiabilité : une carte émise par une banque est jugée fiable, car le consommateur lui fait malgré tout confiance. C’est sur cette bonne image que les banques peuvent capitaliser.
Leur capacité à réagir n’est-elle pas freinée par la difficulté à faire évoluer leur modèle économique des moyens de paiement ?
Le modèle économique reste en effet à trouver. Mais là encore, l’expérience montre qu’il faut faire preuve d’imagination. Par exemple, l’opérateur Free, avec son offre de téléphone à un euro, gagne de l’argent. Google, dans les services de paiement déjà proposés aux abonnés de sa messagerie Gmail aux États-Unis, offre des transactions financières gratuites, cela veut dire qu’il se rémunère autrement, via les publicités au moment de la transaction, ou l’exploitation commerciale des données personnelles… Mais il est vrai que le législateur européen, comme nous l’avons déjà évoqué, n’aime ni la publicité, ni l’exploitation des données personnelles nominatives… En l’état actuel des choses, les banques européennes ne peuvent pas faire évoluer leur modèle économique de la même façon que les géants du net aux États-Unis.
L’industrie des paiements est-elle aujourd’hui devenue plus risquée ?
Les outils de paiement que proposent en priorité les banques françaises, à savoir la carte et le carnet de chèques, sont beaucoup moins sécurisants que le paiement en ligne avec une carte numérique à numéro unique ou un échange avec un mobile et des codes secrets régulièrement changés. Il reste bien sûr un risque lié à la technologie, comme le montrent certaines affaires récentes de hacking, mais les hackers ne sont pas plus nombreux que les voleurs ou ceux qui font des abus de confiance. De plus, il existe un arsenal répressif dans le Code pénal, concernant l’accès frauduleux dans un système de traitement automatisé de données. Beaucoup d’outils juridiques existent pour protéger les banques et sécuriser les consommateurs. Enfin, cela peut aussi être l’occasion de créer un nouveau service : la vente d’un système d’assurance adapté.
Mais, sur le plan des risques, l’exploitation des données personnelles me paraît un point beaucoup plus important que celle du hacking et des pirates qui pénètrent sur les réseaux.
Quelles évolutions entrevoyez-vous à terme dans les paiements ?
Je crois beaucoup à la concurrence et pas du tout à la disparition des banques. Les banques européennes et françaises ont une carte à jouer ; les consommateurs vont tester les nouveaux acteurs, se rendre compte qu’ils sont peut-être moins chers, mais avec moins de garantie, plus de spam, des données nominatives exploitées… Et cela les incitera peut-être à revenir vers des prestataires de paiement plus connus, comme BNP ou SG. Il y a de la place pour tout le monde, mais la carte à jouer pour les banques est celle de leur réseau et de leur fiabilité.
