Bras de fer sur les données des clients : les banques montent au créneau

 |   |  1379  mots
Les banques laisseront-elles les nouveaux entrants accéder aux données de leurs clients ? Le lobby bancaire européen assure qu'elles sont prêtes à le faire, mais en se connectant par des interfaces sécurisées (API). Les Fintech sont sceptiques.
Les banques laisseront-elles les nouveaux entrants accéder aux données de leurs clients ? Le lobby bancaire européen assure qu'elles sont prêtes à le faire, mais en se connectant par des interfaces sécurisées (API). Les Fintech sont sceptiques. (Crédits : Reuters)
Dans un courrier au président de la BCE et un autre à la Commission européenne, Frédéric Oudéa, le patron de la Société Générale et président de la Fédération bancaire de l’UE, demande le report de l’application de la directive sur les paiements et l’interdiction de la technique du « web-scraping » utilisée par les nouveaux entrants de la Fintech pour accéder aux données des clients. Une bataille où se mêlent enjeux de sécurité, de respect de la vie privée et de concurrence.

La tension monte autour de la prochaine application de la deuxième directive sur les services de paiement (DSP2), qui doit « rendre les paiements européens plus sûrs et innovants.» Cette directive, qui entrera en vigueur le 13 janvier 2018, va notamment imposer aux banques européennes d'offrir l'accès aux données de leurs clients à d'autres acteurs, en particulier les nouveaux entrants de la Fintech (paiement entre particuliers, agrégation de comptes, etc). Cette perspective ne les réjouit guère, mais c'est surtout une disposition, envisagée par la Commission européenne depuis mai dernier, qui les irrite au plus haut point : la possibilité, en « solution de secours », laissée aux prestataires tiers de continuer à recourir à la technique dite du "web-scraping", qui leur permet d'accéder aux données du client d'une banque en utilisant les codes d'accès de ce dernier.

Le dispositif envisagé initialement était de sécuriser les échanges en se connectant via des interfaces interopérables, les fameuses "API" utilisées par les grands acteurs du Web et qui permettent de s'ouvrir à tout un écosystème. Le sujet est un peu technique, mais soulève des enjeux de sécurité, de respect de la vie privée et de concurrence.

Les acteurs bancaires, qui défendent leur rôle de "tiers de confiance", ont décidé de monter au créneau, au plus haut niveau, sur ce sujet qu'ils jugent « crucial ». Selon nos informations, Frédéric Oudéa, le patron de la Société Générale, a écrit ces jours derniers en tant que président de la Fédération bancaire de l'Union européenne (EBF) à Mario Draghi, le président de la Banque centrale européenne (BCE), et au Commissaire européen en charge des services financiers, Valdis Dombrovskis, pour demander l'interdiction totale du web-scraping et un report du calendrier d'application de la directive.

« Les autorités européennes devraient soutenir le développement [...] de nouvelles interfaces de programmation (API), ouvertes, innovantes et sécurisées [...] plutôt que d'imposer une technologie non sécurisée et vieille de 15 ans, le "screen-scraping" [capture de données d'écran, ndlr], par la régulation », écrit le DG de la Société Générale, dans ce courrier à Mario Draghi daté du 31 juillet, que nous avons a pu consulter.

« Nous apprécierions que la BCE apporte son soutien au développement d'interfaces interopérables (API) fonctionnant correctement dans toute l'Europe, au bénéfice des consommateurs, des Fintech et de tout le secteur du paiement, ainsi qu'à une interdiction totale de la capture de données d'écran », demande-t-il au président de la Banque centrale européenne.

Protection du consommateur et concurrence

Le directeur général de la Soc Gen, qui s'appuie sur l'avis très négatif rendu le 29 juin dernier par l'Autorité bancaire européenne (EBA), argumente : cette disposition, même temporaire, pose un problème du point de vue de la protection des données.

« La solution proposée par la DG FISMA [la direction de la stabilité financière et des marchés de capitaux de la Commission, ndlr] va permettre aux prestataires tiers, en utilisant les identifiants et codes personnels des clients - d'accéder à toutes les données financières visibles par tout client quand il consulte son interface bancaire: compte courant, compte d'épargne, assurances, prêts, investissements, compte joint, ... et tous les soldes. Un affichage aussi large de données très confidentielles pour avoir simplement réalisé un achat est en contradiction avec les règles les plus élémentaires de protection des données, alors que les banques ne seront pas en mesure de demander le consentement des clients », fait valoir Frédéric Oudéa dans son courrier au président de la BCE .

L'Autorité bancaire européenne estime elle aussi qu'il sera « probablement très difficile pour les consommateurs de comprendre la multiplicité des manières d'accéder à leurs comptes en fonction des prestataires ou des interfaces, et donc les implications de leur consentement. »

Frédéric Oudéa rappelle que le Bureau européen des unions de consommateurs (BEUC) - pourtant favorable à l'émergence des Fintech pour plus de concurrence - est « fortement opposé » au web-scraping. Le BEUC n'est cependant pas totalement en phase avec la solution proposée par le gendarme bancaire européen de son interdiction, car il craint une grande fragmentation des interfaces qui favoriserait les acteurs installés.

Un collectif de 71 startups européennes de la Fintech, dont les françaises Bankin et Linxo (agrégateurs de comptes), avait publié un manifeste en mai contre cette interdiction qui risquait de leur couper les ailes, même si elles sont elles-mêmes productrices et utilisatrices d'API pour se brancher à d'autres services. De puissants acteurs du paiement en ligne, comme l'allemand SoFort, filiale de la "licorne" suédoise Klarna, ne veulent pas changer de méthode d'accès. L'EBA avance même que le maintien du web-scraping « créerait un désavantage compétitif et une barrière à l'entrée » pour les nouveaux acteurs au profit des fournisseurs de services de paiement ou d'agrégation présents depuis plusieurs années.

Faille de cybersécurité ?

L'autre argument c'est la cybersécurité, devenu un sujet particulièrement sensible après les attaques informatiques mondiales telles que WannaCry. Or « un tel partage [des identifiants et codes personnels des clients] aurait des effets très dommageables sur l'environnement de sécurité général des paiements sur Internet », plaide le président de la Fédération bancaire de l'UE.

 « Cela va à l'encontre de tout ce que l'on dit à nos clients en matière de sécurité, de ne pas partager leur code de carte bancaire, etc. C'est même interdit de donner ses identifiants dans les conventions de compte », relève un banquier de la place.

Dans son courrier au commissaire européen Valdis Dombrovskis, Frédéric Oudéa insiste sur ce point en laissant planer la menace de piratage.

« Les experts en sécurité sont unanimement préoccupés par la perspective de la mise en place de normes techniques de réglementation sur le "screen-scraping" modernisé, qui ne correspond pas à l'état de l'art en matière de standards de sécurité. »

Le président de la Fédération bancaire de l'UE souligne que les API des banques seront testées par les régulateurs pour vérifier qu'elles fonctionnent bien et ne constituent pas un frein pour les Fintech. Il rappelle au commissaire letton que « la promotion d'un environnement de paiement sûr est, et devrait rester, la préoccupation de tous. »

Reporter la directive ?

Valdis Dombrovskis risque d'être difficile à convaincre. Il avait demandé en mai à l'EBA de lui soumettre d'autres propositions de standards d'échanges qui ne soient pas défavorables aux Fintech. Mais l'EBA a campé sur sa position. Le bras de fer aboutit sur une impasse : la directive doit s'appliquer dès janvier prochain alors que les normes techniques réglementaires sur lesquelles deux camps s'affrontent doivent être votées à l'automne par le Parlement européen et s'appliquer 18 mois plus tard. Frédéric Oudéa avance deux options de sortie de crise.

« Il y a deux solutions à ce problème crucial. Soit le régulateur européen décide de reporter la transposition de la DSP2 jusqu'à ce que les normes techniques réglementaires (RTS) soient applicables, soit il revoit le principe du délai de 18 mois »

Le report de la date d'application de la DSP2 n'a pas le soutien de la Banque de France, même si on a déjà vu un décalage de six mois pour le passage au système de prélèvement SEPA en 2014. Pour éviter un vide juridique, le lobby bancaire européen propose que les banques qui sont déjà prêtes à fournir des interfaces opérationnelles puissent le faire « dès janvier 2018 » - les britanniques ont déjà publié leurs spécifications d'"open banking", l'espagnole BBVA vient de lancer sa plateforme d'API, les françaises se sont mises d'accord sur les standards avec l'opérateur Stet. Les autres auraient dès lors un an et demi pour se mettre en conformité. Un compromis peut-être acceptable.

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 04/08/2017 à 7:56 :
@Sato 02/08/2017 11:34 et @oui 02/08/2017 13:34
J'ai une banque en ligne depuis plus de trente ans (à l'étranger puis en France)
En outre, j'effectue la très grande majorité de mes achats via le net. Si on veut pirater mon compte, je ne peux rien faire car si des gens peuvent pirater le NSA, Sony et bien d'autres organisations internationales, je doute que je puisse être défendu.
Si piratage (ce que je n'ai jamais subi ou alors je ne l'ai pas su) c'est à dire débit frauduleux de mon compte, je suis assuré.
Par exemple, si vous voulez connaître le montant des impôts payé par votre voisin, il suffit d'aller chercher l'info à la TP: c'est public. Le revenu imposable n'est pas public.
De même, dès que vous naviguez sur un site, votre adresse IP et les caractéristiques de votre pc sont connues et votre localisation approximative
Si vous voulez la sécurité total, il faut éviter le net.
Cordialement
a écrit le 03/08/2017 à 11:46 :
OUDEA n'est qu'un ENARQUE inutile et dispendieux ses avis sont tout ce dont il faut se méfier puisque, comme ses semblalbles, il est sans concurrence dans l'INOCOMPETENCE et le PARASITISME.
DEHORS LES "PETITS COMMIS" SURPAYES vivant aux crochets des français !
a écrit le 03/08/2017 à 11:03 :
Je n’avais déjà pas une bonne image de l’UE mais là…c’est la goutte d’eau qui fait déborder le vase.
Je n’en ai pas beaucoup plus des banques d’ailleurs.
Accès à mes données personnelles et tout le détail de mes comptes…PAS QUESTION !
J’arrête ma connexion via internet, plus d’identifiant, plus rien et je me déplace dans mon agence préférée. Top, cela va embaucher à tour de bras si d’autres font de même.
Les fintechs vous voulez aussi mon code de carte ? L’accès à ma déclaration d’impôts ?et puis tien, soyons fous, le cerveau de ma femme puisque c’est elle qui gère les finances à la maison…

Pauvre monde, bêtise humaine sans nom, pions sur un échiquier , quelle tristesse…
a écrit le 03/08/2017 à 0:58 :
Au fait, quelles sont les conditions pour créer une fintech?
Qui peut y travailler? Sous quelles conditions de formation et de casier judiciaire?
a écrit le 03/08/2017 à 0:41 :
Quel danger pour la sécurité des données bancaires!
Il semble très dangereux de laisser n'importe qui accéder à ces données. Que vont-ils en faire? Ils peuvent vendre à tout pirate, comme si les dangers ne manquaient pas.
a écrit le 02/08/2017 à 19:54 :
pour faire du scoring, c'est plus facile d'avoir des donnees........ mais comme nous disait un prof d'econometrie ' les donnees c'est pas donne'
et le temps reel ne sert a rien, par contre les sources multiples, oui..... quand on sait ce que ca adonne sur les gens qui demandent dess credits de consommation sur plusieurs banques en signant qu'ils n'ont rien ailleurs sans possiblite de reocupement, on se dit que ca laisse reveur...........
a écrit le 02/08/2017 à 11:52 :
Pour une fois, ce syndicat porte le bon choix. Un choix compatible avec l'intérêt général.

Oui, les interconnexions via API offrent en 2017, et de très loin, une meilleure sécurité des échanges et, à partir de là, une plus grande protection de la donnée privée et du 'patrimoine ' des opérateurs.
L'écosystème, impulsé par le SGMAP, en cours de construction dans l'administration aussi bien pour ses propres échanges intra-sphère publique, que pour les échanges avec les opérateurs privés a été voulu comme 'API-compliant' pour de bonnes raisons. Même s'il reste beaucoup à faire, les débuts sont prometteurs !
Il offre en effet de meilleures garanties même s'il reste encore sensiblement plus laborieux à mettre en oeuvre par les organisations : il y a parfois plus de blocages dans les esprits des décideurs que de difficultés techniques même s'il en reste aussi.
En effet, entre la production des API et leur publication, d'une part, et leur prise en charge et leur 'consommation' par les différents opérateurs, d'autre part, il y a une certaine organisation à mettre en place impliquant un tiers de confiance, et demain peut-être des solutions basées sur la blockchain, les éditeurs et les intégrateurs.
Bref, c'est effectivement un peu plus complexe.
Le citoyen lambda -que je suis- se joint à cet appel.
a écrit le 02/08/2017 à 10:33 :
Que peuvent faire les banques tradi pour s'opposer aux fintech ? C'est simple, rien. On n'arrete pas la concurence, c'est une bonne chose. Les banques ne meritent plus la confiance des epargnants.
a écrit le 02/08/2017 à 9:20 :
Bon article ce qui n'est pas facile sur un sujet particulièrement aussi indigeste que celui-ci, maintenant on ne comprend pas trop pourquoi les banques paniquent vu que de toutes façons elles vont avaler tous les nouveaux acteurs de la fintech à terme, elles attendent juste de les goûter avant afin de savoir lesquelles ont le meilleur goût.
a écrit le 02/08/2017 à 9:03 :
"Les acteurs bancaires, qui défendent leur rôle de "tiers de confiance", Je trouve cette phrase assez comique quand l'on sait le rôle de ces mêmes banques dans les montages d'optimisation fiscale et d'évasion pour les plus aisés de leurs clents. une fois de plus l'hypocrisie les banques utiliseront tous les arguments pour freiner les atteintes à l'accès aux comptes de leurs gros clients business avant justice fiscale!
Réponse de le 02/08/2017 à 13:33 :
C'est quoi le rapport entre un probleme de securité et d'atteinte a la vie privé (l'article) et l'evasion fiscale?

Je pense que vous n'avez pas compris. A terme n'importe quel tiers pourra accéder à des informations sur vos comptes bancaire sans que l'on vous demande...

Donc expliquez moi l'evasion fiscal dans tout cela?
Réponse de le 02/08/2017 à 14:02 :
@Réponse de developpé je me suis peut être mal exprimé ou vous ne voulez pas comprendre. c'est toujours le même problème ce que je veux dire c'est que le plus souvent ce sont ceux qui ont quelque chose à cacher (par exemple transfert de fonds pour échapper à une imposition) qui sont à cheval sur l'accès aux données individuelles au nom des libertés individuelles. pour ma part que des robots analysnt mes transactions bancaires dans un but de surveillance cela ne me dérange pas je considère que je n'ai rien à cacher mais ce n'est peut être pas cotre cas!
a écrit le 02/08/2017 à 8:40 :
Tout d’abord les banques c’est un peu comme la politique ceux qui sont devant de la scène pour contester sont ceux qui ne sont pas blanc en l’occurrence affaire Kerviel, amende de 5 M€ pour manque de transparence…… Pour en revenir au sujet l’avenir passera par les Fintech car la vision de ce nouveau système bancaire basé sur la technologie, est d’offrir aux clients des services d’abord moins couteux et de qualité au niveau de l’attente client. Il faut noter que les banques sont un acteur majeur, du moins pour la France, dans la montée du chômage car elles refusent de proposer des solutions innovantes à risques calculés pour les contrats de travail type CDD. De ce fait elles freinent la consommation et précarisent les personnes concernées qui se trouvent bloquées par manque d’accès aux crédits de moyenne et longue durée. Si le code du travail doit être dépoussiéré si la formation professionnelle doit enfin être « un acteur » économique et non une aubaine pour les partenaires sociaux, patronat et syndicat salariés et un truc! mal géré pour les régions et l‘ANPE, tant que les banques ne seront pas mises autour de la table le chômage a encore malheureusement de beaux jours devant lui. Les banques qui gèrent directement et indirectement l’économie ont intérêt à ne pas laisser la porte grande ouverte aux Fintech pour différentes raisons dont une vision économique plus proche de la réalité des clients mais également des commissions moins onéreuses la grande manne des banques. Les commissions sont un variable très important des banques traditionnelles avec des augmentations non fondées hors baratin des conseillers formés au baratin du marketing bancaire. La BCE et la commission ne doivent pas lâcher sauf si les banques enfin adaptent les services et les actions à la réalité du terrain ce qui n’est pas le cas au contraire les banques vivent sur une seule planète la leur.
Réponse de le 02/08/2017 à 10:59 :
Travaillez vous pour un organisme à but non lucratif, achetez vous vos produits dans des hypermarchés qui reversent 100% de leurs bénéfices au producteurs?
Ce qui freine la consommation c'est avant tout cette pensée malsaine et négative de toute chose qui s'appelle le commerce ou l'Etat public...

Posons nous les bonnes questions.
a écrit le 02/08/2017 à 8:34 :
une seule réponse sure, la suppression de la monnaie scripturale.....
Réponse de le 02/08/2017 à 11:45 :
Et la main mise définitivement du système bancaire sur vos finances. C'est chouette de payer un service pour régler vos achats avec de l'argent qui devrait vous appartenir. Le commerçant paye, et l'acheteur paye pour lé transaction, bravo !
a écrit le 02/08/2017 à 8:03 :
La directive "directive sur les services de paiement (DSP2)" a t-elle été approuvée par le Conseil Européen et par le Parlement Européen ?
Si c'est le cas, "ite missa est", on n'en parle plus et on se fout de l'opinion du directeur de la SG..
Cordialement
Réponse de le 02/08/2017 à 11:34 :
Dans ce cas, vous pouvez aussi bien me passer votre code bancaire illico... Ite, missa est !
Réponse de le 02/08/2017 à 13:34 :
Donc vous etes d'accord pour que l'on accede a vos comptes sans votre permission?
a écrit le 02/08/2017 à 8:00 :
Ce n'est qu'une façon déguisée pour permettre aux ETATS de "fliquer les fraudeurs" ou plutôt de voler l'argent durement gagner des travailleurs du privé.

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :