La délicatesse des conditions d’accès aux données des clients inquiète les banques
La révision de la directive des services de paiements s’est confirmée en novembre 2015. Son application sera effective le 13 janvier 2018. Pour rappel, la DSP2 consiste à donner l’accès à tout prestataire de service de paiement agréé aux données des clients d’une banque. Des mesures d’accompagnement devraient être établies par la commission européenne très prochainement.
Cette disposition joue en faveur des Fintechs. C’est une opportunité pour elles de renforcer la qualité de leurs services. En revanche, les banques ne sont pas très enthousiastes à l’idée d’exposer des informations aussi délicates par peur de la sécurité et de la concurrence. En effet, selon la directive, l’accès aux données des clients se devrait se faire via des API (interface de programmation applicative).
Or, la numérisation des procédures semble déjà menacée par le piratage informatique qui évolue amplement à la même vitesse que la technologie. De plus, il paraît que les normes techniques réglementaires accompagnant cette ouverture n’ont pas encore été établies.
La commission européenne envisage de les établir prochainement. Néanmoins, il y aura forcément un décalage important entre l’application de la directive et celle de ses mesures d’accompagnement.
Je compare les offres bancaires
Un décalage qui inquiète les banques
L’entrée en vigueur de la DSP2 et ses conséquences probables sont au cœur du débat. La Commission européenne prévoit de proposer au Parlement européen des normes techniques réglementaires en vue de gérer au mieux l’application de la directive. Les banques, quant à elles, ne cachent pas leur inquiétude en ce qui concerne l’encadrement de ce nouveau système.
Les données des clients sont des informations aussi sensibles qu’importantes. Permettre à un tiers d’y accéder représente un risque considérable. Pourtant, il semble qu’après l’adoption des normes techniques réglementaires par le Parlement européen, celles-ci ne seront pas encore directement appliquées.
Leur mise en œuvre nécessite un délai de 18 mois. Ce décalage est trop grand selon les acteurs du secteur bancaire et c’est justement ce qui les inquiète.
À partir du 13 janvier prochain, les banques devront se conformer à la directive alors que la garantie de sécurité n’est pas encore au point à ce jour.
On leur demande de sauter dans le vide en leur promettant un parachute dix-huit mois plus tard,
explique un professionnel de la prestation de service de paiement.
Une alternative à l’API pourrait intervenir dans le processus ?
L’API est une interface de programmation qui permet au prestataire de service de paiement d’accéder aux informations d’un client d’une banque une fois qu’il ait été mandaté par celui-ci.
L’autorité bancaire européenne (EBA) et les banques sont en faveur de ce dispositif, car il paraît que celui-ci met chaque partie sur un pied d’égalité. Avec l’API, l’accès aux données d’un client requiert une authentification rigoureuse. C’est ce qui pourrait garantir la sécurité du processus.
D’un côté, l’EBA et un certain nombre de banques proposent de tester les dispositifs qu’ils ont mis en place pour renforcer le fonctionnement du système.
De l’autre côté, d’autres établissements bancaires proposent de suivre l’exemple de Sofort et de Trustly qui utilisent le web-scraping pour accéder aux informations sur le compte en ligne d’un client en renseignant sur les codes d’accès, dont l’identifiant et le mot de passe. Mais, selon Jérôme Raguénès, directeur du département numérique - systèmes et moyens de paiement de la Fédération bancaire française (FBF) :
Ce système est contraire aux exigences en matière d'authentification forte de la DSP2. En outre, le "web-scraping" avantage les acteurs qui maîtrisent le mieux cette technique. Une API a l'avantage de mettre tout le monde sur un pied d'égalité : à l'instar d'un système multiprises, elle permet à chacun de se connecter aux infrastructures bancaires de la même façon et d'avoir accès à la même information.
Jérôme Raguénès.