Sur la loi de ratification de l’ordonnance de transposition de la DSP 2

1. Ce qu’il y a dans la loi

L’information a été fortement médiatisée ; les premières enseignes de grande distribution n’ont pas tardé à annoncer l’ouverture du service : le cash back arrive en France ! Qu’est-ce à dire ? D’abord que, par suite de la transposition de l’article 3, e) de la DSP 2, n’est pas considérée comme un service de paiement « la fourniture de services pour lesquels des espèces sont fournies par le bénéficiaire au bénéfice du payeur dans le cadre d'une opération de paiement, à la demande expresse de l'utilisateur de services de paiement formulée juste avant l'exécution de l'opération de paiement via un paiement pour l'achat de biens ou de services » (CMF, art. L. 314-1, III, 6°). Partant, choix a été fait – choix qui ne l’avait pas été lors de la transposition de la DSP 1, qui comportait la même exclusion – d’encadrer la « fourniture d’espèces dans le cadre d’une opération de paiement » (ou cash back) par un nouvel article L. 112-14 du Code monétaire et financier (CMF). Ainsi, dans le cadre (et juste avant son exécution) d’une opération de paiement pour l’achat de biens ou de services, dont l’instrument n’est ni un chèque, ni un titre-papier, ni un instrument spécial de paiement (CMF, art. L. 521-3-2), ni un titre spécial de paiement dématérialisé (CMF, art. L. 525-4), l’utilisateur de services de paiement agissant à des fins non professionnelles pourra demander à tout commerçant, au sens de l’article L. 121-1 du Code de commerce, qu’il lui fournisse des espèces, dans les conditions de l’article L. 112-1 du Code de la consommation [1] . Il reste à fixer, par décret, le montant minimal de l’opération de paiement à l’origine du cash back, ainsi que le montant maximal pouvant être décaissé (peut-être entre 80 et 150 € [2] ).

On passera rapidement sur l’autre disposition « pleine » (ou presque) de la loi de ratification, sinon pour observer que le législateur a l’esprit d’escalier : on se souvient que l’ordonnance de transposition avait créé l’article 521-3-2 du CMF relatif aux « instruments de paiement spécifiques » et pendant de l’article L. 525-4 portant sur les titres spéciaux dématérialisés (de monnaie électronique. Il avait toutefois été omis d’inscrire la compétence de la Banque de France quant à la sécurité de tels instruments, de même que l’obligation pour les entreprises exemptées d’adresser à celle-ci un rapport annuel. L’oubli est donc comblé par la loi du 3 août 2018.

2. Ce qui est dit à demi-mot

Une lecture trop rapide de la loi de ratification nous aurait fait passer outre ces quelques mots en apparence anodins : « Le II de l'article L. 312-4-1 est ainsi modifié : […] b) Les 4° et 5° sont complétés par les mots : “pour les dépôts qu'ils ont effectués en leur nom et pour leur compte propre” » (art. 5).

Or, loin d’être anodine, la nouvelle rédaction de l’article L. 312-4-1 du CMF entend signifier, certes a contrario – car ne peuvent bénéficier de la garantie des dépôts les établissements de monnaie électronique ou de paiement « pour les dépôts qu’ils ont effectués en leur nom et pour leur compte propre » –, que les sommes inscrites dans les comptes de cantonnement ouverts par les établissements de paiement ou par les établissements de monnaie électronique dans les livres d’un établissement de crédit sont bien protégées par le mécanisme de la garantie des dépôts [3] .

3. Ce dont on aurait pu se passer

On aurait en effet pu se passer de l’article 3 de la loi de ratification qui, au prétexte de couvrir un « angle mort » de la DSP 2 [4] , insère ceci dans le texte de l’ordonnance de transposition elle-même : « Jusqu'à dix-huit mois après l'entrée en vigueur de l'acte délégué adopté en vertu du 1 de l'article 98 de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 susvisée, un décret précise les conditions de cette entrée en vigueur et celles suivant lesquelles les prestataires de services de paiement fournissant le service d'initiation de paiement, d'une part, et les prestataires de services de paiement fournissant le service d'information sur les comptes, d'autre part, communiquent de manière sécurisée avec les utilisateurs de services de paiement et les prestataires de services de paiement gestionnaires de comptes, selon des modalités conformes aux dispositions relatives aux normes sécurisées de communication prévues par l'acte délégué susmentionné et permettant aux prestataires de services de paiement fournissant le service d'initiation de paiement et aux prestataires de services de paiement fournissant le service d'information sur les comptes de continuer à exercer leurs activités. »

La prise d’un tel décret permettrait « une application anticipée des normes techniques de réglementation, a priori dès la fin de l’année 2018 », a-t-il été justifié [5] . Mais cela devient byzantin : les RTS sur l’authentification forte et la communication commune sécurisée [6] n’entreront en application que le 14 septembre 2019 (c’est regrettable, mais c’est ainsi) ; qu’à cela ne tienne, un décret (que l’on attend toujours au demeurant) sera pris, qui nous dira ce que dit le règlement européen qui ne peut mais…

4. Ce qui, finalement, n’a pas été retenu

L’une et l’autre avaient leurs bonnes raisons [7] , mais c’est finalement l’Assemblée nationale qui l’a emportée sur le Sénat ; non pas parce qu’elle en avait de meilleures, mais parce que la Constitution la place au-dessus. De quoi s’agit-il ? On se souvient de cet aveu d’échec de la Commission mixte paritaire qui, le 19 avril dernier, constatait « ne pouvoir parvenir à élaborer un texte commun sur les dispositions restant en discussion du projet de loi ratifiant l'ordonnance du 9 août 2017 portant transposition de la directive du 25 novembre 2015 concernant les services de paiement dans le marché intérieur ». Car, en effet, le Sénat avait pris l’initiative de créer un article L. 522-7-2, dont le I était ainsi rédigé : « Nonobstant toute clause contraire, les prestataires de services de paiement qui fournissent le service mentionné au 7° ou au 8° du II de l'article L. 314-1 et qui, à la demande de l'utilisateur, initient un ordre ou lui permettent d'accéder aux données concernant ses comptes sur livret, ses comptes à terme, ses comptes titres, ses comptes sur lesquels sont inscrits des titres, avoirs ou dépôts au titre des produits d'épargne mentionnés au chapitre Ier du titre II du livre II, ses crédits mentionnés au titre Ier du livre III du code de la consommation ou ses bons, contrats de capitalisation ou placements de même nature souscrits auprès d'entreprises d'assurance peuvent voir leur responsabilité engagée à l'égard de l'utilisateur en cas d'opération non autorisée, d'accès non autorisé ou frauduleux à ces données ou d'utilisation non autorisée ou frauduleuse de ces données qui leur est imputable. »

L’objectif de protection du consommateur en cas de fraude était louable mais, à l’évidence, la DSP 2 ne permet pas une telle extension de l’accès à d’autres comptes que les comptes de paiement. « Fausse bonne idée », selon les termes mêmes du rapporteur pour l’Assemblée nationale [8] , la proposition de la Haute assemblée fut donc « ravalée », à contrecœur pour beaucoup, mais il ne pouvait guère en être autrement, « vide juridique » ou pas. Au fait, « 80 % des comptes agrégés ne seraient pas des comptes de paiement », à croire le rapporteur pour le Sénat [9] ; 80 %, donc, en accès presque libre…

Achevé de rédiger le 13 septembre 2018.