Contre les fraudes aux moyens de paiement scripturaux

Cet amendement du groupe LFI-NFP prévoit de permettre aux citoyennes et aux citoyennes de savoir si les IBAN qu’ils détiennent se trouvent, ou non, dans le fichier, et une voie de recours pour en sortir.

Cet article fait peser un certain risque sur les libertés individuelles : dans la rédaction actuelle, une personne dont le compte aurait été intégré à tort dans le fichier n’est pas notifié, elle verrait donc simplement les virements à sa destination échouer, sans aucune explication.

Dans un pays où près de 10 millions de personnes vivent sous le seuil de pauvreté, où près du tiers des Français vivent avec moins de 100 euros dès le 10 du mois, et où le salaire suivant est absolument nécessaire pour couvrir les biens indispensables à la vie, cette possibilité fait courir un risque sur les plus précaires d’entre nous.

Une personne ainsi lésée par l’inscription de son compte au fichier doit disposer des moyens pour constater la source de ses difficultés, et pouvoir les contester. Nous proposons donc de renforcer la possibilité pour les citoyens d'accéder aux informations les concernant en leur donnant la possibilité d'interroger la Banque de France à ce sujet. Les conseillers bancaires pourront alors proposer cette démarche à leurs clients lors de difficultés rencontrées avec leur compte.

Dans le cas où une personne honnête constaterait la présence de son compte bancaire ou de celui de son entreprise au sein du fichier, ce qui viendrait alors expliquer des difficultés à percevoir un virement, elle pourrait alors demander un examen spécifique de son cas, afin de démontrer qu’il ne s’agit pas d’un compte frauduleux, et obtenir le retrait de son compte du fichier.

Afin de protéger les libertés individuelles, nous proposons donc de protéger les citoyens de l’arbitraire de l’alimentation de ce fichier, en introduisant un droit à l’information et un droit de recours.

Après l’alinéa 10, insérer l’alinéa suivant :

« Cette interdiction ne s’applique pas aux intéressés, lesquels exercent leur droit d’accès aux informations les concernant contenues dans le fichier conformément à l’article 49 de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Toute personne, morale ou physique, est en droit de contester le caractère frauduleux d’un compte qu’elle détient. Après enquête, la Banque de France retire du fichier tout compte contesté dont le caractère frauduleux n’a pas pu être établi. Un décret pris en Conseil d’État fixe les modalités de ces dispositions. »

Cet amendement des députés du groupe LFI-NFP proposent de renforcer le principe de mise en place de ce fichier, en renforçant la responsabilité des banques et prestataires de paiement dans le cas où elles effectueraient un virement vers un compte frauduleux présent dans le fichier.

Le 15 janvier dernier, la Cour de cassation a émis une décision de pleine responsabilisation des victimes d’escrocs bancaires. De fait, ces dernières n’ont droit à aucune forme d’indemnisation face à l’arnaque subie. Auparavant, la banque prenait sa part de responsabilité dans la négligence ayant conduit au virement frauduleux, ce qui pouvait conduire à un remboursement partiel des sommes soustraites à la victime.

Nous déplorons ce traitement, et appelons à une modification de la loi afin que les banques soient pleinement responsabilisées dans les virements qu’elles opèrent. Les victimes, la plupart du temps des particuliers vulnérables à des méthodes comme le phishing, l’arnaque au faux conseiller, ou l’IBAN piraté se retrouvent en danger économique et social par la perte de leur argent. Ce n’est pas le cas des banques, qui peuvent largement encaisser ces pertes sans que cela n’affecte significativement leur résultat.

Plus que cela, il s’agit de se munir d’un dispositif incitatif aux dispositions prévues à l’article premier. Le coût de la création, constitution et entretien du fichier est supposément supporté par les prestataires de services privés. Ces dispositions, auxquelles nous sommes favorables, comportent un risque : que les prestataires de services de paiement refusent simplement de participer, afin de se soustraire au coût de la participation. Elles auront alors une responsabilité morale dans l’extension de la fraude bancaire, mais n’en supporterait pas le coût.

Il s’agit alors de reconnaître que réaliser un virement à destination d’un compte frauduleux constitue une négligence grave de la part d’une banque ou d’un prestataire de services de paiement, de nature à engager sa responsabilité et à indemniser en totalité la victime de l’escroquerie. De la sorte, les banques et les prestataires de services de paiement auront tout intérêt à participer au dispositif, à exploiter les potentialités informatives du fichier, et à s’impliquer plus largement dans la nécessaire lutte contre la fraude.

Plus important, de cette manière, nous garantirons aux victimes des possibilités d’indemnisation, ne les laissant pas seules face à des drames sociaux qui auraient pu être évités.

Le deuxième alinéa de l’article L. 133‑21 du code monétaire et financier est complété par une phrase ainsi rédigée : « Toutefois, si l’identifiant unique fourni par l’utilisateur du service de paiement figure dans le registre défini à l’article L. 521‑6‑1, le prestataire de services de paiement est tenu responsable de la mauvaise exécution du paiement, et procède à l’indemnisation du payeur dans les mêmes conditions qu’à l’article L. 133‑18. »

Par cet amendement, les députés du groupe LFI-NFP proposent d'adopter une échelle de sanctions afin de dissuader des prestataires de services de paiement peu scrupuleux de renseigner à dessein des IBAN non-frauduleux dans le référentiel, ce qui nuirait directement aux personnes détentrices de ces IBAN. Si de manière volontariste cet article affirme que les prestataires de services de paiement sont responsables de la fourniture des données, il est essentiel de mettre en place un garde-fou pour éviter toute dérive.

La création de ce fichier a pour suite logique la mise en place par les opérateurs de paiement de rejets des virements à destination des IBAN qui se trouvent dans ce fichier. Ceci pose une implication directe : les prestataires de services de paiement, en étant responsables de l’alimentation du fichier se voient confier un fort pouvoir de nuisance. Il leur suffit en effet de placer l’IBAN d’une personne ou d’une société dans ce fichier pour que cette personne ou cette société se retrouve en difficulté pour recevoir des paiements par virement.

Nous proposons donc de prévoir une responsabilisation des acteurs chargés de l’alimentation du fichier, qui servira de garde-fou face à des prestataires (ou leurs salariés) qui se retrouverait tenté d’utiliser ce fichier à mauvais escient, par la mise en place d’amendes dissuasives. Si un prestataire de paiement devait entrer à dessein un compte qu’il sait non-frauduleux, il s’exposerait alors à une amende de dix-mille euros, et de cinquante mille euros en cas de récidive.

Sanctionner, en soi, n’a toutefois aucun intérêt. Il s’agit avant tout de prévenir le risque de détournement de ce fichier à des fins personnelles, puis si la dissuasion devait s’avérer insuffisante, de protéger les citoyennes et citoyens de dérives engendrées par la création de ce fichier. Ainsi, si un acteur devait persévérer dans l’ajout de compte non-frauduleux, nous souhaitons permettre à l'ACPR, après consultation de la CNIL, de retirer la possibilité de participer au fichier, ce qui éliminera de fait la menace qui pèse sur les libertés individuelles.

Après l’alinéa 5, insérer les deux alinéas suivants :

« Tout ajout à dessein de coordonnées bancaires d’un compte manifestement non frauduleux est sanctionné d’une amende administrative de 10 000 euros par compte, puis de 50 000 euros par compte en cas de récidive. Les amendes prévues au présent alinéa sont prononcées par l’Autorité de contrôle prudentiel et de résolution, après consultation de la Commission nationale de l’informatique et des libertés.

« En cas d’ajouts de comptes non frauduleux répétés de la part d’un prestataire de services de paiement, l’Autorité de contrôle prudentiel et de résolution, après consultation de la Banque de France, définit une période pendant laquelle le prestataire de services de paiement n’est plus autorisé à participer au dispositif prévu au présent article. »

Par cet amendement, le groupe LFI-NFP proposent d'adopter une échelle de sanctions afin de dissuader les agents de la Banque de France et des prestataires de paiement d’opérer une fuite de données personnelles.

La création de ce fichier, qui devrait permettre le rejet de virements à destination de comptes frauduleux, confie aux prestataires de service de paiement, et donc à des acteurs privés, la possibilité de renseigner et surtout d’obtenir des données privées.

Ces données ont une valeur : elles pourraient parfaitement être revendues à des acteurs peu scrupuleux. A titre d’exemple, un malfaiteur sera tenté d’acheter les informations contenues dans le fichier afin d’observer les éléments ayant permis la qualification de ses comptes comme frauduleux, afin de ne pas répéter les mêmes erreurs. Plus largement, le risque de fuites de données fait peser un fort risque sur les libertés individuelles.

Si cet article prévoit bien l’interdiction pour les prestataires de services de paiement et pour la Banque de France de transmettre des extraits du fichier, cette interdiction n’est assortie d’aucune sanction.

En l’absence de sanction, les acteurs privés, surtout en situation de position dominante, ne respectent la loi que lorsque cela les arrange. Nous en avons eu l’exemple le plus flagrant à l’automne dernier : le gouvernement Barnier a déposé le Projet de loi de finances pour 2025 une dizaine de jours après le premier mardi d’octobre, la date butoir prévue par la Loi organique n° 2001-692 du 1 août 2001 relative aux lois de finances. En l’absence de sanctions ou d’implications en cas de non-respect de cette obligation, cette violation de la loi n’a entraîné aucune conséquence. Dans un pays où l’exécutif peut ne pas respecter lui-même une loi organique, il est très hypothétique de s’imaginer que les prestataires de services de paiement se plieront à des obligations, si se soustraire à ces obligations n’est suivi d’aucune sanction.

Afin de sécuriser l’effectivité des dispositions de cet article, nous proposons donc de mettre en place un barème simple d’amendes administratives de 3 000 € pour un premier manquement, puis de 15 000 € en cas de récidive. Dans le cas où un prestataire de paiement diffuserait à plusieurs reprises des informations privées, signe d’une volonté manifeste de créer des fuites de données privées, l'ACPR pourra mettre un terme à sa participation au dispositif, mettant de fait un terme à cette pratique.

Après l’alinéa 10, insérer les deux alinéas suivants :

« Tout manquement à l’interdiction mentionnée au précédent alinéa est sanctionné d’une amende administrative de 3 000 euros par compte, puis de 15 000 euros par compte en cas de récidive. Les amendes prévues au présent alinéa sont prononcées par l’Autorité de contrôle prudentiel et de résolution, après consultation de la Commission nationale de l’informatique et des libertés.

« En cas de manquements répétés de la part d’un prestataire de services de paiement, l’Autorité de contrôle prudentiel et de résolution définit une période pendant laquelle le prestataire de services de paiement n’est plus autorisé à participer au dispositif. »

Par cet amendement, les députés du groupe LFI-NFP proposent de doubler l’entrée d’une déclaration dans le fichier d’une confirmation ultérieure de la pertinence de cette information, afin de limiter le risque d’IBAN non-frauduleux dans le fichier qui seraient maintenus par simple manque de rigueur ou négligence de la part d’un prestataire de services de paiement.

Tel que rédigé, l’article renvoie l’entière responsabilité de la qualité des informations renseignées aux prestataires de services de paiement, sans véritablement cadrer leur responsabilité. Du point de vue de l’ajout d’IBAN non-frauduleux dans la base, ce sont ces prestataires qui se retrouvent tenus de réaliser une déclaration corrective afin de les retrancher. Cette possibilité pour un prestataire de revenir sur ses déclarations précédentes est nécessaire, mais elle est loin d’être suffisante.

En effet, l’effacement d’un IBAN non-frauduleux, tenant à l’action d’un prestataire, reste hypothétique. Pour peu que le prestataire ne prenne pas l’initiative de revenir sur sa déclaration, ce qui peut facilement arriver par négligence, le prestataire n’étant pas incité à mettre à jour les informations, ou tout simplement en cas de changement d’emploi du travailleur ou de la travailleuse ayant réalisé la déclaration pour le compte du prestataire.

En cas d’oubli, l’IBAN non-frauduleux se retrouverait alors indéfiniment dans le fichier, ce qui implique des conséquences fâcheuses pour la personne qui le détient, en particulier une probable impossibilité d’obtenir un virement. Cette personne se retrouvera alors contrainte d’ouvrir un nouveau compte bancaire.

À l’inverse, nous proposons donc que les prestataires confirment, au plus tôt un mois après l’inscription d’un IBAN au fichier, la pertinence de cette inscription. De cette manière, il sera possible de correspondre au critère d’urgence face à la fraude en ajoutant rapidement un IBAN, et à la sortie automatique de cet IBAN dans le cas où le prestataire, ayant eu le temps suffisant pour procéder à des vérifications, ne constatait pas de fraude de la part du compte.

Après l’alinéa 5, insérer l’alinéa suivant :

« Au plus tôt un mois après avoir enregistré une déclaration comportant les coordonnées bancaires d’un compte, les prestataires de services de paiement confirment la pertinence de la présence de ce compte dans le fichier. En l’absence de confirmation dans un délai de trois mois suivant l’enregistrement, la déclaration numérique relative au compte est automatiquement retirée du fichier. »