Contre les fraudes aux moyens de paiement scripturaux

Amendement rédactionnel.

I. – À la première phrase de l’alinéa 6, substituer aux mots : 

« l’alimentation du fichier prévue », 

les mots :

« la fourniture des données prévues ».

II. – En conséquence, à la deuxième phrase de l’alinéa 6, après le mot : 

« Ils »,

insérer le mot : 

« les ».

III. – En conséquence, à la même deuxième phrase de l’alinéa 6, supprimer les mots :

« les informations mentionnées au présent article ».

Amendement rédactionnel.

I. – Au début de l’alinéa 4, substituer aux mots : 

« La Banque de France »

le mot :

« Elle ».

II. – À la fin du même alinéa, substituer aux mots :

« celui-ci »,

les mots : 

« ce chèque ».

Amendement rédactionnel.

À l’alinéa 12, substituer aux  mots :

« mise à disposition », 

le mot :

« divulgation ».

L’État est compétent en matière bancaire et financière dans les collectivités ultramarines du Pacifique que sont la Nouvelle-Calédonie, la Polynésie française et les îles Wallis et Futuna. Les modifications des articles métropolitains L. 131‑84, L. 131‑86 et L. 521‑6‑1 du code monétaire et financier doivent être rendues par mention expresse, dans ces territoires régis par le principe de spécialité législative. Quatre adaptations de l’article L. 521‑6‑1 sont, également, nécessaires pour introduire l’Institut d’émission d’outre-mer, compétent dans les collectivités du Pacifique, dans le dispositif de création et de gestion du nouveau fichier national.

Le livre VII du code monétaire et financier est ainsi modifié :

1° Le tableau du second alinéa du I des articles L. 732‑2, L. 733‑2 et L. 734‑2 est ainsi modifié :

a) La dix-huitième ligne est remplacée par deux lignes ainsi rédigées :

« 

 » ;

b) La vingtième ligne de la seconde colonne est ainsi rédigée : « la loi n°        du           » ;

2° La neuvième ligne du tableau du second alinéa du I des articles L. 773‑21, L. 774‑21 et L. 775‑15 est remplacée par deux lignes ainsi rédigées :

« 

 » ;

3° Après le 3° du II des articles L. 773‑21 et L. 774-21, il est inséré un 3° bis ainsi rédigé :

« 3° bis L’article L. 521‑6‑1 est ainsi modifié :

« a) Le dernier alinéa du I est complété par les mots : " pour l'Institut d'émission d'outre mer. " ; 

« b) Au deuxième alinéa du II, après le mot : " France ", sont insérés les mots : " pour l'Institut d'émission d'outre-mer " ;

« c) Le IV est ainsi modifié :

« – au premier alinéa, après le mot : " France ", sont insérés les mots : ", à l'Institut d'émission d'outre-mer " ;

« – au second alinéa, les mots : " est déliée " sont remplacés par les mots : " et l'Institut d'émission d'outre-mer sont déliés " ;

« d) La première phrase du VI est complétée par les mots : " et de l'Institut d'émission d'outre-mer " ; » 

4° Après le 2° de l’article L. 775‑15, il est inséré un 3° ainsi rédigé :

« 3° L’article L. 521‑6‑1 est ainsi modifié :

« a) Le dernier alinéa du I est complété par les mots : " pour l'Institut d'émission d'outre mer. " ; 

« b) Au deuxième alinéa du II, après le mot : " France ", sont insérés les mots : " pour l'Institut d'émission d'outre-mer " ;

« c) Le IV est ainsi modifié :

« – au premier alinéa, après le mot : " France ", sont insérés les mots : ", à l'Institut d'émission d'outre-mer " ;

« – au second alinéa, les mots : " est déliée " sont remplacés par les mots : " et l'Institut d'émission d'outre-mer sont déliés " ;

« d) La première phrase du VI est complétée par les mots : " et de l'Institut d'émission d'outre-mer " ; ».

Amendement rédactionnel.

À l’alinéa 4, substituer aux mots : 

« procédé au rejet d’ »

le mot : 

« rejeté ».

Cet amendement vise à créer un mécanisme de partage de comptes bancaires identifiés comme frauduleux afin de renforcer la lutte contre la fraude aux aides publiques.

Ce mécanisme permettra à la Caisse des dépôts et des consignations (CDC) et au Trésor public, en tant que prestataires de services de paiement participant à ce fichier, de disposer d’un outil supplémentaire de fiabilisation de leurs paiements, au bénéfice de la lutte contre la fraude.

Les mécanismes de fraude aux aides publiques reposent souvent sur l’utilisation de comptes-rebond à partir desquels les fraudeurs chercheront rapidement à sortir l’argent obtenu de manière illicite vers des comptes situés dans d’autres juridictions, souvent en-dehors de l’Union européenne, ou de fraude à la substitution d’IBAN, dans laquelle des fraudeurs cherchent à se faire payer en lieu et place du bénéficiaire légitime.

Afin de lutter efficacement contre cette typologie de fraude, les prestataires de services de paiement doivent être en mesure d’identifier rapidement ce type de comptes. A cette fin, il est nécessaire de prévoir une centralisation et une dissémination rapide des comptes identifiés comme suspects.

Dans ce mécanisme, la Banque de France jouerait le rôle de tiers centralisateur recevant les fichiers déclaratifs comprenant les données liées à des comptes identifiés comme frauduleux par des prestataires de services de paiement (banques, établissements de paiement, établissements de monnaie électronique). Il reviendrait à la Banque de France de mettre à disposition ces données à l’ensemble des prestataires de services de paiement, afin qu’ils puissent identifier les comptes de paiement utilisés à des fins frauduleuses (escroquerie, usurpation d’identité) et, le cas échéant, prendre les mesures appropriées d’atténuation des risques. 

Cette proposition aménage également les droits des utilisateurs en prévoyant que les informations reçues par les prestataires de services de paiement doivent être tenues confidentielles. Par ailleurs, s’ils soupçonnent qu’un compte a été ouvert à la suite d’une usurpation d’identité, les prestataires de services de paiement devront immédiatement le signaler à la Banque de France. Enfin, l’inscription d’un compte dans le fichier ne pourra pas justifier à elle seule la résiliation du contrat liant l’utilisateur au prestataire de services de paiement à l’initiative de ce dernier.

La mise en place de ce dispositif fait suite à une expérimentation conduite fin 2023 entre la Banque de France et plusieurs grandes banques qui a mis en évidence des résultats prometteurs en matière de partage d’informations à des fins de lutte contre la fraude.

Rédiger ainsi cet article :

« I. – Après l’article L. 521‑6 du code monétaire et financier, il est inséré un article L. 521‑6‑1 ainsi rédigé :

« Art. L. 521‑6‑1. – I. – Afin d’améliorer la prévention, la recherche et la détection en matière de paiements, un fichier national recense les informations permettant d’identifier les comptes de paiement et les comptes de dépôt que les prestataires de services de paiement définis à l’article L. 521‑1 établis ou exerçant en France, à l’exception des prestataires de services d’information sur les comptes et des établissements de paiement fournissant exclusivement un service d’initiation de paiement, estiment susceptibles d’être frauduleux en se fondant notamment sur les analyses réalisées dans le cadre de leurs dispositifs internes de lutte contre la fraude.

« Ce fichier centralise en outre les éléments caractérisant la fraude ou la suspicion de fraude.

« Il est géré par la Banque de France.

« II. – Les prestataires de services de paiement sont responsables de l'alimentation du fichier prévue au I. Ils déclarent sous leur seule responsabilité les informations mentionnées au présent article et procèdent sans délai aux déclarations correctives dès lors que les raisons de soupçonner la fraude disparaissent. Les frais afférents à ces déclarations ne peuvent être facturés aux clients concernés.

« Les instances locales du fichier utilisées, le cas échéant, par les prestataires de services de paiement pour récupérer les informations contenues dans le fichier géré par la Banque de France sont de la responsabilité pleine et entière de ces établissements.

« Lorsqu’il dispose d’un faisceau d’indices suggérant qu’un compte ayant fait l’objet d’une déclaration a été ouvert dans les conditions mentionnées à l’article 226‑4‑1 du code pénal, le prestataire de service de paiement actualise immédiatement le fichier.

« III. – L’inscription des informations relatives à un compte dans le fichier n’emporte pas d’interdiction systématique de réaliser des opérations de paiement impliquant ce compte. Elle ne peut justifier à elle seule la résiliation du contrat-cadre de services de paiement ou de la convention de compte de dépôt à l’initiative du prestataire de services de paiement teneur du compte déclaré.

« Lorsqu’un compte figure dans le fichier, le prestataire de services de paiement chargé de la tenue de ce compte effectue sans délai l’ensemble des diligences visant à évaluer son caractère frauduleux. 

« IV.  –  Il est interdit à la Banque de France et aux prestataires de services de paiement de remettre à quiconque copie des informations contenues dans le fichier.

« La Banque de France est déliée du secret professionnel pour la mise à disposition des informations contenues dans le fichier dans les cas prévus par le présent article.

« V.  –  Un arrêté du ministre chargé de l’économie, pris après avis de la Commission nationale de l’informatique et des libertés définit les modalités de collecte, d’enregistrement, de conservation et de consultation des données, ainsi que la liste d’informations mentionnées au présent article.

« VI. –  Les tarifs liés à la mise en place et au fonctionnement du dispositif sont fixés par un arrêté du ministre chargé de l’économie pris après avis de la Banque de France. Ces tarifs, acquittés par les prestataires de services de paiement, sont fixés de manière à couvrir l’intégralité des coûts du dispositif. » »

« II. – À la première phrase de l’article L. 521‑7 du code monétaire et financier, les mots : « et L. 521‑6 » sont remplacés par les mots : « à L. 521‑6‑1 » .

« III. –  Le présent article entre en vigueur six mois après la promulgation de la présente loi. » »

Par cet amendement, les députés du groupe LFI-NFP proposent d’adopter une échelle de sanctions afin de dissuader des prestataires de services de paiement peu scrupuleux de renseigner à dessein des IBAN non-frauduleux dans le référentiel, ce qui nuirait directement aux personnes détentrices de ces IBAN.

La création de ce fichier a pour suite logique la mise en place par les opérateurs de paiement de rejets des virements à destination des IBAN qui se trouvent dans ce fichier. Ceci pose une implication directe : les prestataires de services de paiement, en étant responsables de l’alimentation du fichier se voient confier un fort pouvoir de nuisance. Il leur suffit en effet de placer l’IBAN d’une personne ou d’une société dans ce fichier pour que cette personne ou cette société se retrouve en difficulté pour recevoir des paiements par virement.

Nous proposons donc de prévoir une responsabilisation des acteurs chargés de l’alimentation du fichier, qui servira de garde-fou face à des prestataires (ou leurs salariés) qui se retrouverait tenté d’utiliser ce fichier à mauvais escient, par la mise en place d’amendes dissuasives. Si un prestataire de paiement devait entrer à dessein un compte qu’il sait non-frauduleux, il s’exposerait alors à une amende de dix-mille euros, et de cinquante mille euros en cas de récidive.

Sanctionner, en soi, n’a toutefois aucun intérêt. Il s’agit avant tout de prévenir le risque de détournement de ce fichier à des fins personnelles, puis si la dissuasion devait s’avérer insuffisante, de protéger les citoyennes et citoyens de dérives engendrées par la création de ce fichier. Ainsi, si un acteur devait persévérer dans l’ajout de compte non-frauduleux, nous souhaitons permettre à la CNIL de retirer la possibilité de participer au fichier, ce qui éliminera de fait la menace qui pèse sur les libertés individuelles.

Après l’alinéa 3, insérer les deux alinéas suivants :

« Tout ajout à dessein de coordonnées bancaires d’un compte manifestement non frauduleux est sanctionné d’une amende administrative de 10 000 € par compte, puis de 50 000 € par compte en cas de récidive. Les amendes prévues au présent alinéa sont prononcées par la Commission nationale de l’informatique et des libertés.

« En cas d’ajouts de comptes non frauduleux répétés de la part d’un prestataire de services de paiement, la Commission nationale de l’informatique et des libertés, après consultation de la Banque de France, définit une période pendant laquelle le prestataire de services de paiement n’est plus autorisé à participer au dispositif. »

Les établissements bancaires français ont dans leur large majorité adopté un système de prévention ou de notification par différents moyens de communications (SMS, mails, alertes sur l’application mobile de la banque) des titulaires des comptes des opérations de virement bancaire, de paiement en cartes, ou de retrait d’espèces qu’elles estiment suspectes. Ce système est sain et s’est développé en dehors d’une obligation légale. Il nous semble bon que ce système de prévention de la fraude dont peuvent être victimes nos concitoyens soit étendu aux chèques.

Pourtant, la proposition de loi se concentre sur la fraude aux faux-chèques, cherchant de façon louable à protéger les intérêts de l’État à recouvrer sa dette, mais en ignorant la protection de nos concitoyens contre le vol de leurs formules de chèque ou la falsification en réécriture des mêmes formules. 

Cet article additionnel proposé par le groupe Rassemblement National obligerait les banquiers à adopter un système général d’information des titulaires du compte, afin d’améliorer l’accès à la procédure d’opposition de compte. La proposition reste large pour que le système d’information soit organisé par le banquier en tenant compte des réalités de ses interactions usuelles avec le titulaire du compte, et du comportement financier du titulaire, ce qui explique l’absence de seuil minimal et plus généralement l’exhaustivité du critère.

Au début du troisième alinéa de l’article L. 131‑35 du code monétaire et financier, après le mot : « informer », sont insérés les mots : « le titulaire du compte par tout moyen usuel de communication entre le titulaire du compte et lui de la présentation d’un chèque sur ledit compte si cette présentation est de caractère inhabituel au regard de la somme, de l’identité du tireur ou de tout autre élément dûment identifié par le banquier tiré  ainsi que de la possibilité pour le titulaire du compte de faire opposition et exclusivement »

Si les services de transferts de fonds du type de Western Union, MoneyGram ou encore WorldRemit ne sont pas à proprement parler des moyens de paiement scripturaux, ils sont largement utilisés dans le blanchiment du produit d’une fraude ou l’envoi du produit d’une fraude à l’étranger. Dans la législation actuelle, ce sont essentiellement les cas de blanchiment d’argent dans le cadre du narcotrafic et le financement du terrorisme qui sont ciblés, ce qui apparaît insuffisant.

En conséquence, le présent amendement vise à accroître la surveillance des profils à risque en permettant à la cellule du renseignement financier national en charge de ces questions l’accès au nouveau fichier recensant les IBAN frauduleux porté par ce texte et d’en croiser les données avec les informations qui lui sont obligatoirement remontées dans le cadre des transferts de fonds.

Après l’article L. 521‑6‑1 du code monétaire et financier, il est inséré un article L. 521‑6‑2 ainsi rédigé :

« Art. L. 521‑6‑2. – I. – La cellule du renseignement financier nationale mentionnée au I de l’article L. 561‑23 a accès au fichier mentionné à l’article L. 521‑6‑1.

« II. – La cellule mentionnée au I croise les données contenues dans ce fichier avec les informations transmises dans le cadre des obligations de déclaration et d’information prévues aux articles L. 561‑15 et L. 561‑15‑1.

« III. – Le croisement de données mentionné au II vise les mêmes objectifs que ceux définis au III de l’article L. 561‑23. »

Par cet amendement, les députés du groupe LFI-NFP proposent de supprimer les mots « ou susceptibles d’être frauduleux », qui constituent au mieux une redondance, ou au pire accentuent le risque de retrouver dans le fichier des faux positifs.

La création d’un tel fichier, sur lequel pourra être adossé des requêtes en vue de la validation ou non d’une transaction est globalement une bonne chose, qui demeure trop modeste dans la lutte contre la fraude bancaire.

Pour que ce fichier ait un intérêt à l’avenir et participe à la lutte, les informations qu’il contient doivent être les plus fiables possibles, ce qui passe par une alimentation correcte du fichier par les prestataires de paiement.

La possibilité d’ajouts de faux positifs par les prestataires de paiement, c’est-à-dire d’IBAN relié à des personnes honnêtes, mais qui sont qualifiée à tort comme potentiellement frauduleux (par exemple par un algorithme de détection d’anomalies), fait peser un double risque :
D’une part, ces faux positifs rendent le fichier moins fiable, et brouillent les actions à entreprendre pour les prestataires de paiement face à un IBAN dans le fichier.
D’autre part, et de manière beaucoup plus grave, cela expose la personne détenant l’IBAN identifié à tort comme frauduleux à ne plus pouvoir recevoir de virement sur son compte bancaire, l’exposant notamment à un découvert rapide dans le cadre de virements salariaux empêchés.

À ce titre, nous proposons donc que les prestataires de service ne renseignent dans ce futur fichier uniquement les IBAN qu’ils « estiment frauduleux », et non pas les IBAN qu’ils estiment « susceptibles d’être frauduleux ». Tout IBAN étant, par définition, susceptible d’être frauduleux, sans quoi il serait aisé de mettre un terme à la fraude au faux RIB. La notion de suspicion étant déjà comprise dans le fait d’estimer frauduleux, l’ajout de cette susceptibilité ne fera que nuire à la qualité du fichier tout en faisant peser un risque supérieur sur les libertés individuelles.

À la première phrase de l’alinéa 2, supprimer les mots :

« ou susceptibles d’être frauduleux ».

Alors que la fraude aux paiements par carte bancaire, notamment en ligne, sont en termes de montants la première fraude aux moyens de paiements scripturaux (43% en 2024 selon la Banque de France, +1,5 point en un an), la présente proposition de loi ne propose aucune mesure concernant ce type de moyens de paiements.

Si les mesures rendues obligatoires par la directive européenne DSP 2, ont montré leur efficacité en la matière, le présent amendement propose d'élargir le champ de la double-authentification, afin de la rendre systématique et ce quel que soit le montant du paiement effectué en ligne. En effet, certaines transactions, notamment pour des montants inférieurs à 30€, peuvent aujourd'hui encore s'effectuer sans cette double-authentification, ce qui laisse donc aux fraudeurs une marge de manoeuvre.

L’article L. 133‑44 du code monétaire et financier est ainsi modifié :

1° Au premier alinéa, après le mot : « applique », est inséré le mot : « systématiquement » ;

2° Le 2° du I est complété par les mots : « , quel qu’en soit le montant ».

Par cet amendement, les députés du groupe LFI-NFP proposent de doubler l’entrée d’une déclaration dans le fichier d’une confirmation ultérieure de la pertinence de cette information, afin de limiter le risque d’IBAN non-frauduleux dans le fichier qui seraient maintenus par simple manque de rigueur ou négligence de la part d’un prestataire de services de paiement.

Tel que rédigé, l’article renvoie l’entière responsabilité de la qualité des informations renseignées aux prestataires de services de paiement, sans véritablement cadrer leur responsabilité. Du point de vue de l’ajout d’IBAN non-frauduleux dans la base, ce sont ces prestataires qui se retrouvent tenus de réaliser une déclaration corrective afin de les retrancher. Cette possibilité pour un prestataire de revenir sur ses déclarations précédentes est nécessaire, mais elle est loin d’être suffisante.

En effet, l’effacement d’un IBAN non-frauduleux, tenant à l’action d’un prestataire, reste hypothétique. Pour peu que le prestataire ne prenne pas l’initiative de revenir sur sa déclaration, ce qui peut facilement arriver par négligence, le prestataire n’étant pas incité à mettre à jour les informations, ou tout simplement en cas de changement d’emploi du travailleur ou de la travailleuse ayant réalisé la déclaration pour le compte du prestataire.

En cas d’oubli, l’IBAN non-frauduleux se retrouverait alors indéfiniment dans le fichier, ce qui implique des conséquences fâcheuses pour la personne qui le détient, en particulier une probable impossibilité d’obtenir un virement. Cette personne se retrouvera alors contrainte d’ouvrir un nouveau compte bancaire.

À l’inverse, nous proposons donc que les prestataires confirment, au plus tôt un mois après l’inscription d’un IBAN au fichier, la pertinence de cette inscription. De cette manière, il sera possible de correspondre au critère d’urgence face à la fraude en ajoutant rapidement un IBAN, et à la sortie automatique de cet IBAN dans le cas où le prestataire, ayant eu le temps suffisant pour procéder à des vérifications, ne constatait pas de fraude de la part du compte.

Après l’alinéa 3, insérer l’alinéa suivant :

« Au plus tôt un mois après avoir enregistré une déclaration comportant les coordonnées bancaires d’un compte, les prestataires de paiement doivent confirmer la pertinence de la présence de ce compte dans le fichier. En l’absence de confirmation, la déclaration numérique relative au compte est automatiquement retirée du fichier ».

Par cet amendement, le groupe LFI-NFP proposent d’adopter une échelle de sanctions afin de dissuader les agents de la Banque de France et des prestataires de paiement d’opérer une fuite de données personnelles.

La création de ce fichier, qui devrait permettre le rejet de virements à destination de comptes frauduleux, confie aux prestataires de service de paiement, et donc à des acteurs privés, la possibilité de renseigner et surtout d’obtenir des données privées.

Ces données ont une valeur : elles pourraient parfaitement être revendues à des acteurs peu scrupuleux. A titre d’exemple, un malfaiteur sera tenté d’acheter les informations contenues dans le fichier afin d’observer les éléments ayant permis la qualification de ses comptes comme frauduleux, afin de ne pas répéter les mêmes erreurs. Plus largement, le risque de fuites de données fait peser un fort risque sur les libertés individuelles.

Si cet article prévoit bien l’interdiction pour les prestataires de services de paiement et pour la Banque de France de transmettre des extraits du fichier, cette interdiction n’est assortie d’aucune sanction.

En l’absence de sanction, les acteurs privés, surtout en situation de position dominante, ne respectent la loi que lorsque cela les arrange. Nous en avons eu l’exemple le plus flagrant à l’automne dernier : le Gouvernement Barnier a déposé le Projet de loi de finances pour 2025 une dizaine de jours après le premier mardi d’octobre, la date butoir prévue par la Loi organique n° 2001‑692 du 1 août 2001 relative aux lois de finances. En l’absence de sanctions ou d’implications en cas de non-respect de cette obligation, cette violation de la loi n’a entraîné aucune conséquence. Dans un pays où l’exécutif peut ne pas respecter lui-même une loi organique, il est très hypothétique de s’imaginer que les prestataires de services de paiement se plieront à des obligations, si se soustraire à ces obligations n’est suivi d’aucune sanction.

Afin de sécuriser l’effectivité des dispositions de cet article, nous proposons donc de mettre en place un barème simple d’amendes administratives de 3 000 € pour un premier manquement, puis de 15 000 € en cas de récidive. Dans le cas où un prestataire de paiement diffuserait à plusieurs reprises des informations privées, signe d’une volonté manifeste de créer des fuites de données privées, la CNIL pourra mettre un terme à sa participation au dispositif, mettant de fait un terme à cette pratique.

Après l’alinéa 9, insérer les deux alinéas suivants :

« Tout manquement à l’interdiction mentionnée au précédent alinéa est sanctionné d’une amende administrative de 3 000 € par compte, puis de 15 000 € par compte en cas de récidive. Les amendes prévues au présent alinéa sont prononcées par la Commission nationale de l’informatique et des libertés.

« En cas de manquements répétés de la part d’un prestataire de services de paiement, la Commission nationale de l’informatique et des libertés, après consultation de la Banque de France, définit une période pendant laquelle le prestataire de services de paiement n’est plus autorisé à participer au dispositif. »

Cet amendement du groupe LFI-NFP prévoit de permettre aux citoyennes et aux citoyennes de savoir si les IBAN qu’ils détiennent se trouvent, ou non, dans le fichier, et une voie de recours pour en sortir.

Cet article fait peser un certain risque sur les libertés individuelles : dans la rédaction actuelle, une personne dont le compte aurait été intégré à tort dans le fichier n’est pas notifié, elle verrait donc simplement les virements à sa destination échouer, sans aucune explication.

Dans un pays où près de 10 millions de personnes vivent sous le seuil de pauvreté, où près du tiers des Français vivent avec moins de 100 euros dès le 10 du mois, et où le salaire suivant est absolument nécessaire pour couvrir les biens indispensables à la vie, cette possibilité fait courir un risque sur les plus précaires d’entre nous.

Une personne ainsi lésée par l’inscription de son compte au fichier doit disposer des moyens pour constater la source de ses difficultés, et pouvoir les contester. Nous proposons donc de renforcer la possibilité pour les citoyens d’accéder aux informations les concernant en leur donnant la possibilité d’interroger la Banque de France à ce sujet. Les conseillers bancaires pourront alors proposer cette démarche à leurs clients lors de difficultés rencontrées avec leur compte.

Dans le cas où une personne honnête constaterait la présence de son compte bancaire ou de celui de son entreprise au sein du fichier, ce qui viendrait alors expliquer des difficultés à percevoir un virement, elle pourrait alors demander un examen spécifique de son cas, afin de démontrer qu’il ne s’agit pas d’un compte frauduleux, et obtenir le retrait de son compte du fichier.

Afin de protéger les libertés individuelles, nous proposons donc de protéger les citoyens de l’arbitraire de l’alimentation de ce fichier, en introduisant un droit à l’information et un droit de recours.

Après l’alinéa 10, insérer l’alinéa suivant :

« Toute personne, morale ou physique, est en droit de solliciter la Banque de France afin de savoir si les comptes qu’elle détient se trouvent dans le fichier. Le cas échéant, toute personne est en droit de contester le caractère frauduleux d’un compte qu’elle détient. Après enquête, la Banque de France retire du fichier tout compte contesté dont le caractère frauduleux n’a pas pu être établi. Un décret pris en Conseil d’État fixe les modalités des dispositions du présent alinéa. »

Par cet amendement, le groupe LFI-NFP prévoit de donner à la CNIL la capacité d’observer et de mesurer le nombre de requêtes réalisées par un banquier, et de retirer leur possibilité de consulter le Fichier national des chèques irréguliers (FNCI) dans le cas où des abus manifestes seraient constatés.

La mise à disposition des informations contenues dans le FNCI pour les banques est une bonne chose, ces dernières étant les plus à même de constater l’irrégularité d’un chèque.

Cela demeure une mesure bien insuffisante : au moment où la banque constate l’irrégularité d’un chèque, la victime, la plupart du temps un particulier ou une TPE qui s’était vu remettre ce chèque, se retrouve dans l’incapacité de retrouver son débiteur pour obtenir paiement.

En autorisant les banquiers, soit des sociétés privées, à réaliser des requêtes au FNCI, cet article a des conséquences sur le respect des libertés individuelles. A juste titre, la loi actuelle et cet article prévoient que ces requêtes sont enregistrées. Mais l’enregistrement seul n’est pas suffisant. Nous proposons donc simplement de garantir la prévention des libertés individuelles en permettant à la CNIL d’observer les requêtes, de les quantifier, et d’agir dans le cas où un banquier devait par son action, représenter une menace pour la confidentialité de données personnelles.

Cette observation et quantification ont déjà court dans de nombreux espaces. Les requêtes des agents de police ou de gendarmerie au tableau des antécédents judiciaires (TAJ) sont enregistrées, quantifiées, et si le nombre de requêtes est manifestement trop important, une alerte est automatiquement envoyée. C’est ce type de dispositif qui a permis en 2024 de détecter la consultation présumée illégale du TAJ à Saint-Jory, en Haute-Garonne, et de faire cesser des agissements attentatoires aux libertés individuelles.

Nous proposons donc de permettre à la CNIL d’observer les requêtes, et de pouvoir agir pour supprimer la menace sur les libertés individuelles en cas d’abus manifeste.

Compléter cet article par l’alinéa suivant :

« La Commission nationale de l’informatique et des libertés dispose d’un accès à l’enregistrement prévu au précédent alinéa. En cas de demandes d’informations manifestement surnuméraires de la part d’un banquier, la Commission nationale de l’informatique et des libertés, après consultation de la Banque de France, définit une période pendant laquelle le prestataire de services de paiement n’est plus autorisé à accéder aux informations visées au premier alinéa. »

Cet amendement des députés du groupe LFI-NFP proposent de renforcer le principe de mise en place de ce fichier, en renforçant la responsabilité des banques et prestataires de paiement dans le cas où elles effectueraient un virement vers un compte frauduleux présent dans le fichier.

Le 15 janvier dernier, la Cour de cassation a émis une décision de pleine responsabilisation des victimes d’escrocs bancaires. De fait, ces dernières n’ont droit à aucune forme d’indemnisation face à l’arnaque subie. Auparavant, la banque prenait sa part de responsabilité dans la négligence ayant conduit au virement frauduleux, ce qui pouvait conduire à un remboursement partiel des sommes soustraites à la victime.

Nous déplorons ce traitement, et appelons à une modification de la loi afin que les banques soient pleinement responsabilisées dans les virements qu’elles opèrent. Les victimes, la plupart du temps des particuliers vulnérables à des méthodes comme le phishing, l’arnaque au faux conseiller, ou l’IBAN piraté se retrouvent en danger économique et social par la perte de leur argent. Ce n’est pas le cas des banques, qui peuvent largement encaisser ces pertes sans que cela n’affecte significativement leur résultat.

Plus que cela, il s’agit de se munir d’un dispositif incitatif aux dispositions prévues à l’article premier. Le coût de la création, Constitution et entretien du fichier est supposément supporté par les prestataires de services privés. Ces dispositions, auxquelles nous sommes favorables, comportent un risque : que les prestataires de services de paiement refusent simplement de participer, afin de se soustraire au coût de la participation. Elles auront alors une responsabilité morale dans l’extension de la fraude bancaire, mais n’en supporterait pas le coût.

Il s’agit alors de reconnaître que réaliser un virement à destination d’un compte frauduleux constitue une négligence grave de la part d’une banque ou d’un prestataire de services de paiement, de nature à engager sa responsabilité et à indemniser en totalité la victime de l’escroquerie. De la sorte, les banques et les prestataires de services de paiement auront tout intérêt à participer au dispositif, à exploiter les potentialités informatives du fichier, et à s’impliquer plus largement dans la nécessaire lutte contre la fraude.

Plus important, de cette manière, nous garantirons aux victimes des possibilités d’indemnisation, ne les laissant pas seules face à des drames sociaux qui auraient pu être évités.

Le deuxième alinéa de l’article L. 133‑21 du code monétaire et financier est complété par la phrase suivante :

« Toutefois, si l’identifiant unique fourni par l’utilisateur du service de paiement figure dans le registre défini à l’article L. 521‑6‑1, le prestataire de services de paiement est tenu responsable de la mauvaise exécution du paiement et procède à l’indemnisation du payeur dans les mêmes conditions de celles prévues à l’article L. 133‑18 du présent code. »

Cet amendement a pour objectif d’imposer aux établissements bancaires un délai maximum pour notifier la Banque de France en cas de détection de fraude sur chèque, afin de permettre une mise à jour rapide du Fichier de la Banque de France centralisant les incidents de paiement de chèques.

Compléter cet article par l’alinéa suivant :

« 4° Il est complété par les mots :« dans un délai fixé par décret. » »

Amendement de précision et de cohérence rédactionnelles. Même argument que précédemment : le code monétaire et financier définit explicitement l’« identifiant unique » à l’article L. 133‑4 – cela correspond à l’IBAN. Dès lors, il est plus précis d’utiliser cette terminologie plutôt que « coordonnées », trop vague et non défini explicitement.

Au début de l’alinéa 6, substituer aux mots : 

« des coordonnées », 

les mots : 

« de l’identifiant unique ».

Le présent amendement a pour objectif de prévoir un délai maximal pour l’actualisation du fichier national afin de garantir de manière plus contraignante la fiabilité des données qu’il contient. Ainsi, dès lors qu’un identifiant unique est entré dans le fichier, si le prestataire de services de paiement qui gère le compte de paiement associé est partie au dispositif, il devra mener des investigations pour éclaircir le statut du compte de paiement dans un certains délai fixé par le pouvoir exécutif.

Cela pourrait le conduire à mettre à jour le fichier, soit en maintenant l’IBAN douteux parce que les diligences n’ont rien produit, soit en le retirant parce que les diligences ont conduit à la fermeture du compte ou à la démonstration qu’il n’était pas frauduleux.

Après les mots : 

« le fichier », 

rédiger ainsi la fin de l’alinéa 7 : 

« dans un délai fixé par décret. »

Cet amendement a pour objectif d’informer les titulaires des IBAN ayant fait l’objet d’une déclaration au sein du fichier national de leur possibilité de recours afin de faire réexaminer leur situation, avec la possibilité de lever la mention de suspicion dès lors que les éléments de fraude ne sont pas avérés.

À la fin de l’alinéa 11, après les mots : 

« d’information », 

insérer les mots : 

« et de recours ».

D’après le rapport annuel 2023 de l’Observatoire de la sécurité des moyens de paiement (OSMP), le nombre de fraudes au virement a été multiplié par près de douze en seulement cinq ans et la valeur totale fraudée augmente chaque année de 25 % en moyenne depuis 2018.

C’est un enjeu pour les consommateurs mais aussi pour les administrations qui sont parfois victimes d’usurpations et pour nos entreprises, pour lesquelles ces fraudes représentent des pertes importantes. Un sondage OpinionWay pour Trustpair et SAP réalisé auprès d’entreprises de plus de 250 salariés et publié début 2023 a montré que la moitié d’entre elles a subi au moins une tentative de fraude au virement, et que 23 % de ces tentatives ont abouti.

Conformément à l’article 88 de la directive (UE) 2025/2366, le code monétaire et financier dispose à l’article L. 133‑21 que le prestataire de service de paiement (PSP) n’est pas responsable d’un virement mal effectué lorsque le client lui a fourni un IBAN inexact. Cette disposition est interprétée rigoureusement (Cass. comm. 24 janvier 2018, N° 16‑22.336, Caisse des dépôts et consignations c/ CERCAM). Ainsi, même si le payeur est abusé ou trompé, il sera responsable de l’erreur et devra donc payer une seconde fois le bénéficiaire légitime.

Il existe des dispositifs techniques destinés à prévenir les erreurs de paiement, notamment en demandant au payeur d’entrer le nom ou d’autres informations sur le bénéficiaire et de vérifier si les informations rattachées à l’IBAN correspondent aux informations fournies (protocole appelé IBAN name check).

Modifié par le règlement (UE) 2024/886 du 13 mars 2024, le règlement (UE) 260/2012 oblige les PSP à proposer un service de vérification de ce type au plus tard à partir du 9 octobre 2025. Aux termes de l’article 5 quater : « Un prestataire de services de paiement n’est pas tenu responsable de l’exécution d’un virement en faveur d’un mauvais bénéficiaire sur la base d’un identifiant unique inexact, conformément à l’article 88 de la directive (UE) 2015/2366, pour autant qu’il ait satisfait aux exigences du présent article. »

Il convient donc de traduire cette nouvelle obligation en droit français, en spécifiant que la responsabilité du PSP est engagée dès lors qu’il ne propose pas à son client un dispositif de vérification de type IBAN name check.

I. – Le code monétaire et financier est ainsi modifié :

1° L’article L. 133‑21 est ainsi modifié :

a) L’alinéa 2 de l’article L. 133‑21 est remplacé par deux alinéas ainsi rédigés :

« Le prestataire de services de paiement propose à l’utilisateur un service assurant la vérification du bénéficiaire auquel l’utilisateur a l’intention d’envoyer un virement. Ce service compare le nom du bénéficiaire fourni par l’utilisateur ou tout élément qui identifie sans ambiguïté le bénéficiaire à celui associé à l’identifiant unique fourni par l’utilisateur. Le prestataire de services de paiement effectue la vérification immédiatement après que l’utilisateur a fourni les informations pertinentes sur le bénéficiaire et avant que l’utilisateur ne se voie offrir la possibilité d’autoriser le virement concerné. Les exigences techniques du service de vérification sont précisées par décret en Conseil d’État.

« Un prestataire de services de paiement n’est pas tenu responsable de l’exécution d’un virement en faveur d’un mauvais bénéficiaire sur la base d’un identifiant unique inexact pour autant qu’il ait satisfait aux exigences de l’alinéa précédent. » ;

b) Le dernier alinéa de l’article L. 133‑21 est supprimé ;

2° L’article L. 133‑22 est ainsi modifié :

a) Au premier alinéa du I, les mots : « deuxième et troisième » sont remplacés par les mots : « troisième et quatrième » ;

b) Au premier alinéa du II, les mots : « deuxième et troisième » sont remplacés par les mots : « troisième et quatrième » ;

c) Au troisième alinéa du II, les mots : « deuxième et troisième » sont remplacés par les mots : « troisième et quatrième » ;

4° À l’article L. 133‑22‑1, les mots : « deuxième et troisième », sont remplacés par les mots : « troisième et quatrième ».

II. – Les dispositions du I entrent en vigueur le 9 octobre 2025.

Certaines fraudes s’appuient sur des structures éphémères et des montages en cascade visant à dissimuler des flux financiers illicites et à échapper aux obligations fiscales et sociales.

L’amendement propose ainsi l’instauration d’un contrôle systématique des nouveaux identifiants bancaires (IBAN) attribués aux entreprises récemment créées dans des secteurs à risque afin d’identifier plus précocement les entreprises frauduleuses.

Par ailleurs, le croisement des données bancaires, fiscales et sociales par les organismes de contrôle est un outil essentiel pour détecter les schémas frauduleux complexes, notamment ceux impliquant des montages en cascade (succession rapide d’entités fictives par exemple) et les entreprises à durée de vie limitée (créées dans le but de contourner les contrôles et fermées avant toute procédure de recouvrement).

I. – Dans les secteurs présentant un risque de fraude élevée, il est instauré une procédure de contrôle systématique des nouveaux comptes de paiement attribués aux entreprises récemment créées.

La liste des secteurs concernés et des seuils de durée retenus pour l’application du présent I est fixée par décret.

II. – Les organismes de contrôle procèdent au croisement des données bancaires, fiscales et sociales afin de détecter les schémas frauduleux complexes, notamment ceux mettant en œuvre des montages en cascade ou impliquant des entreprises à durée de vie limitée.

L’article premier crée un fichier destiné à partager les IBAN douteux, de nature à favoriser le partage d’informations entre les différentes prestataires de services de paiement (PSP). L’inscription dans ce fichier ne signifie pas que l’IBAN est forcément frauduleux mais qu’il existe des doutes à lever, soit pour maintenir l’IBAN dans la base avec la certitude qu’il est frauduleux, soit pour l’en retirer.

Certains IBAN seront toutefois assortis d’informations permettant de caractériser la fraude. Dans ce cas, le présent amendement oblige les PSP à l’indiquer aux utilisateurs qui s’apprêteraient à saisir un virement en leur faveur. L’avertissement pourrait être de cette nature : « Attention, vous vous apprêtez à effectuer un virement vers un IBAN signalé comme potentiellement frauduleux. Assurez-vous de vérifier qu’il correspond bien à un compte appartenant au destinataire des fonds que vous souhaitez transférer. »

Après l’alinéa 2, insérer l’alinéa suivant :

« Lorsqu’un identifiant unique est lié à une fraude caractérisée, le prestataire de services de paiement alerte ses utilisateurs avant qu’ils ne se voient offrir la possibilité d’autoriser tout virement vers le bénéficiaire identifié par cet identifiant unique. »

Le présent amendement propose d’obliger les prestataires de services de paiement (PSP) à proposer un service de vérification des bénéficiaires qui permette notamment de comparer l’identifiant unique (IBAN) fourni à ceux inclus dans le fichier créé à l’article premier. Conformément au considérant 88 de la directive (UE) 2015/2366, et en application de l’article 5 quater du règlement (UE) 260/2012, ce système de vérification est couplé au système d’IBAN name check que les PSP devront mettre en œuvre d’ici le 9 octobre 2025, dans un objectif de simplification des normes et un souci d’optimisation des contraintes normatives qui pèsent sur les PSP.

Les PSP seraient concrètement tenus d’informer les utilisateurs, d’une part, si l’IBAN entré est suspicieux car contenu dans le fichier des IBAN frauduleux ou soupçonnés tels ou, d’autre part, si la correspondance entre l’information fournie (comme le nom) et celle associée à l’identifiant unique n’est pas obtenue. Cela n’empêchera pas l’utilisateur d’opérer le virement mais l’avertira des risques supplémentaires encourus.

Il est proposé de décaler l’entrée en vigueur de ces dispositions au 9 octobre 2025 pour les faire coïncider avec les obligations qui naîtront à cette date de l’article 5 quater du règlement (UE) 260/2012.

I. – La section 7 du chapitre III du titre III du livre I^er du code monétaire et financier est ainsi modifié :

1° Le deuxième alinéa de l’article L. 133‑21 du code monétaire est financier est complété par les mots :

« , sauf s’il a manqué aux obligations prévues à l’article L. 133‑21‑1. » ;

2° En conséquence, après l’article L. 133‑21 du code monétaire et financier, il est inséré un nouvel article L. 133‑21‑1 ainsi rédigé :

« Art. L. 133‑21‑1. – Le prestataire de services de paiement propose à l’utilisateur un service assurant la vérification du bénéficiaire auquel l’utilisateur a l’intention d’envoyer un virement.

« Ce service compare l’identifiant unique fourni par l’utilisateur aux identifiants réunis dans le fichier défini à l’article L. 521‑6‑1. Si l’utilisateur a également fourni un élément qui identifie sans ambiguïté le bénéficiaire, ce service compare cet élément avec ceux associés à l’identifiant unique lorsque cela est techniquement possible.

« Le prestataire de services de paiement effectue la vérification immédiatement après que l’utilisateur a fourni les informations pertinentes sur le bénéficiaire et avant que l’utilisateur ne se voie offrir la possibilité d’autoriser le virement concerné.

« Les exigences techniques du service de vérification sont précisées par décret en Conseil d’État. »

II. – Les dispositions du I entrent en vigueur le 9 octobre 2025.

L’efficacité des dispositifs de lutte contre la fraude est entravée par une insuffisante coordination entre les différentes administrations compétentes.

Le présent amendement vise à instaurer une obligation de partage systématique des informations relatives aux transactions suspectes entre la Banque de France, les organismes de recouvrement social (URSSAF, MSA) et les services fiscaux (DGFiP). En s’appuyant sur les articles L. 521‑6 et L. 521‑6‑1 du code monétaire et financier ainsi que sur les dispositions du code de la sécurité sociale, cette mesure entend renforcer la coopération entre ces entités afin d’optimiser la détection et le contrôle des fraudes.

Ce dispositif s’inscrit dans un cadre strictement encadré par la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ainsi que par le Règlement Général sur la Protection des Données (RGPD), garantissant ainsi le respect des droits fondamentaux des citoyens.

La Banque de France, les unions de recouvrement des cotisations de sécurité sociale et d’allocations familiales mentionnées à l’article L. 213‑1 du code de la sécurité sociale, les caisses générales de la sécurité sociale mentionnées à l’article L. 752‑1 du code de la sécurité sociale, les organismes de recouvrement mentionnés à l’article L. 5427‑1 du code du travail et les services fiscaux ont obligation de partager systématiquement entre eux les informations relatives aux transactions suspectes ou frauduleuses ou susceptibles d’être frauduleuses, incluant notamment les données mentionnées aux articles L. 521‑6 et L. 521‑6‑1 du code monétaire et financier. Le traitement et le partage de ces données à caractère personnel sont effectués conformément aux dispositions de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et visent à améliorer la détection et le contrôle des fraudes aux moyens de paiement scripturaux.

Il ne serait pas raisonnable d’interdire toute opération vers les IBAN collectés dans le fichier car ce fichier est déclaratif et qu’il peut contenir des identifiants simplement suspects, qui s’avéreront in fine non frauduleux. Qui plus est, l’inscription dans le fichier ne résulte pas d’une décision judiciaire.

Il convient toutefois qui les prestataires de services de paiement (PSP) vérifient systématiquement ce fichier avant toute opération, selon des modalités laissées à leur appréciation. Ils pourront alors alerter leurs utilisateurs, bloquer certaines transactions ou les différer le temps d’opérer des contrôles humains, etc. Les PSP ne seraient donc obligés à rien, mais forcés de vérifier systématiquement le fichier, charge à eux d’adapter ensuite leur service en conséquence.

Le présent amendement propose de considérer que l’absence de vérification systématique, quelle qu’en soit la conséquence sur l’opération en elle-même, caractérise un défaut de vigilance du PSP et inverse dès lors l’irresponsabilité de principe disposée à l’article L. 133‑21.

Compléter l’alinéa 6 par la phrase suivante :

« Toutefois, en l’absence de procédure de vérification systématique de ce fichier par le prestataire de services de paiement, avant toute opération de paiement et nonobstant les dispositions de l’article L. 133‑21, le prestataire de services de paiement peut être tenu pour responsable de la mauvaise exécution ou de la non-exécution de l’opération de paiement en cas d’identifiant inexact. »

Cet amendement prévoit que le rapport annuel de l’Observatoire de la fraude aux moyens de paiement intègre certains indicateurs de performance du fichier. Cela pourrait être, par exemple, le nombre d’entrées et sorties avec leurs raisons ; le nombre de litiges liés ; etc. Ces données permettront d’en évaluer l’efficacité et d’envisager des évolutions du dispositif.

L’alinéa 8 de l’article L. 141‑4 du code monétaire et financier est complété par la phrase suivante :

« Ce rapport présente notamment des indicateurs permettant d’apprécier la performance du fichier national défini à l’article L. 521‑6‑1. »

Amendement de précision et de cohérence rédactionnelles. Le code monétaire et financier définit explicitement l’« identifiant unique » à l’article L. 133‑4 – cela correspond à l’IBAN. Dès lors, il est plus précis d’utiliser cette terminologie plutôt que « coordonnées bancaires », trop vague et non défini explicitement.

À la première phrase de l’alinéa 2, substituer aux mots : 

« coordonnées bancaires », 

les mots : 

« identifiants uniques ».