Intervention de Delphine Gény-Stephann

La DSP2 a prévu une entrée en vigueur au 13 janvier dernier pour la plus grande partie de ses dispositions et une entrée en vigueur différée pour celles relatives aux modalités de sécurisation de l'accès aux données de paiement entre un acteur tiers – agrégateur ou initiateur de paiements – et la banque du client, spécifiées dans la norme technique réglementaire. L'adoption de cette norme technique a pris, je l'ai indiqué tout à l'heure, du retard puisqu'elle n'entrera en application qu'en septembre 2019, soit dix-huit mois après son adoption. Cela crée une période transitoire porteuse d'incertitudes opérationnelles avant que les modalités de communication entre un acteur tiers et la banque du client soient sécurisées via le recours à des interfaces programmatives qui répondront à un cahier des charges prévu dans la norme technique réglementaire. En attendant, c'est la pratique dite du web scrapping qui prévaut : les intermédiaires se font passer pour le client en utilisant son identifiant et son mot passe, avec d'importants risques à propos desquels le gouverneur de la Banque de France et le directeur de l'ANSSI – Agence nationale de la sécurité des systèmes d'information – ont alerté le ministère.

C'est pourquoi le Gouvernement souhaite prendre les devants en réduisant l'incertitude opérationnelle ouverte par la période transitoire. Cet amendement prévoit ainsi une application anticipée de l'acte délégué. Cela permettra de généraliser plus rapidement le recours aux interfaces programmatives dès qu'elles seront prêtes et testées comme conformes au cahier des charges européen, a priori dès la fin de cette année. Elles devront en tout état de cause permettre aux acteurs de continuer à fournir leurs services. Les autorités nationales pourront prévoir que ces interfaces s'imposent comme le seul mode d'accès aux données de paiement par les intermédiaires.

En termes de cybersécurité, cet amendement permettra de réduire au plus vite les risques informatiques liés à l'accès par plusieurs intermédiaires distincts aux centres de données des banques, accès qui constituent autant de points de faiblesse. Chaque accès serait alors géré par une interface unique, dite API, qui ne nécessiterait plus le stockage des mots de passe et des identifiants des clients par les intermédiaires dans leur propre serveur, réduisant ainsi très considérablement le risque de hacking.