Bras de fer sur les données des clients : les banques montent au créneau

Dans un courrier au président de la BCE et un autre à la Commission européenne, Frédéric Oudéa, le patron de la Société Générale et président de la Fédération bancaire de l’UE, demande le report de l’application de la directive sur les paiements et l’interdiction de la technique du « web-scraping » utilisée par les nouveaux entrants de la Fintech pour accéder aux données des clients. Une bataille où se mêlent enjeux de sécurité, de respect de la vie privée et de concurrence.
Delphine Cuny

8 mn

Les banques laisseront-elles les nouveaux entrants accéder aux données de leurs clients ? Le lobby bancaire européen assure qu'elles sont prêtes à le faire, mais en se connectant par des interfaces sécurisées (API). Les Fintech sont sceptiques.
Les banques laisseront-elles les nouveaux entrants accéder aux données de leurs clients ? Le lobby bancaire européen assure qu'elles sont prêtes à le faire, mais en se connectant par des interfaces sécurisées (API). Les Fintech sont sceptiques. (Crédits : Reuters)

La tension monte autour de la prochaine application de la deuxième directive sur les services de paiement (DSP2), qui doit « rendre les paiements européens plus sûrs et innovants.» Cette directive, qui entrera en vigueur le 13 janvier 2018, va notamment imposer aux banques européennes d'offrir l'accès aux données de leurs clients à d'autres acteurs, en particulier les nouveaux entrants de la Fintech (paiement entre particuliers, agrégation de comptes, etc). Cette perspective ne les réjouit guère, mais c'est surtout une disposition, envisagée par la Commission européenne depuis mai dernier, qui les irrite au plus haut point : la possibilité, en « solution de secours », laissée aux prestataires tiers de continuer à recourir à la technique dite du "web-scraping", qui leur permet d'accéder aux données du client d'une banque en utilisant les codes d'accès de ce dernier.

Le dispositif envisagé initialement était de sécuriser les échanges en se connectant via des interfaces interopérables, les fameuses "API" utilisées par les grands acteurs du Web et qui permettent de s'ouvrir à tout un écosystème. Le sujet est un peu technique, mais soulève des enjeux de sécurité, de respect de la vie privée et de concurrence.

Les acteurs bancaires, qui défendent leur rôle de "tiers de confiance", ont décidé de monter au créneau, au plus haut niveau, sur ce sujet qu'ils jugent « crucial ». Selon nos informations, Frédéric Oudéa, le patron de la Société Générale, a écrit ces jours derniers en tant que président de la Fédération bancaire de l'Union européenne (EBF) à Mario Draghi, le président de la Banque centrale européenne (BCE), et au Commissaire européen en charge des services financiers, Valdis Dombrovskis, pour demander l'interdiction totale du web-scraping et un report du calendrier d'application de la directive.

« Les autorités européennes devraient soutenir le développement [...] de nouvelles interfaces de programmation (API), ouvertes, innovantes et sécurisées [...] plutôt que d'imposer une technologie non sécurisée et vieille de 15 ans, le "screen-scraping" [capture de données d'écran, ndlr], par la régulation », écrit le DG de la Société Générale, dans ce courrier à Mario Draghi daté du 31 juillet, que nous avons a pu consulter.

« Nous apprécierions que la BCE apporte son soutien au développement d'interfaces interopérables (API) fonctionnant correctement dans toute l'Europe, au bénéfice des consommateurs, des Fintech et de tout le secteur du paiement, ainsi qu'à une interdiction totale de la capture de données d'écran », demande-t-il au président de la Banque centrale européenne.

Protection du consommateur et concurrence

Le directeur général de la Soc Gen, qui s'appuie sur l'avis très négatif rendu le 29 juin dernier par l'Autorité bancaire européenne (EBA), argumente : cette disposition, même temporaire, pose un problème du point de vue de la protection des données.

« La solution proposée par la DG FISMA [la direction de la stabilité financière et des marchés de capitaux de la Commission, ndlr] va permettre aux prestataires tiers, en utilisant les identifiants et codes personnels des clients - d'accéder à toutes les données financières visibles par tout client quand il consulte son interface bancaire: compte courant, compte d'épargne, assurances, prêts, investissements, compte joint, ... et tous les soldes. Un affichage aussi large de données très confidentielles pour avoir simplement réalisé un achat est en contradiction avec les règles les plus élémentaires de protection des données, alors que les banques ne seront pas en mesure de demander le consentement des clients », fait valoir Frédéric Oudéa dans son courrier au président de la BCE .

L'Autorité bancaire européenne estime elle aussi qu'il sera « probablement très difficile pour les consommateurs de comprendre la multiplicité des manières d'accéder à leurs comptes en fonction des prestataires ou des interfaces, et donc les implications de leur consentement. »

Frédéric Oudéa rappelle que le Bureau européen des unions de consommateurs (BEUC) - pourtant favorable à l'émergence des Fintech pour plus de concurrence - est « fortement opposé » au web-scraping. Le BEUC n'est cependant pas totalement en phase avec la solution de son interdiction proposée par le gendarme bancaire européen, car il craint une grande fragmentation des interfaces qui favoriserait les acteurs installés.

Un collectif de 71 startups européennes de la Fintech, dont les françaises Bankin et Linxo (agrégateurs de comptes), avait publié un manifeste en mai contre cette interdiction qui risquait de leur couper les ailes, même si elles sont elles-mêmes productrices et utilisatrices d'API pour se brancher à d'autres services. De puissants acteurs du paiement en ligne, comme l'allemand SoFort, filiale de la "licorne" suédoise Klarna, ne veulent pas changer de méthode d'accès. L'EBA avance même que le maintien du web-scraping « créerait un désavantage compétitif et une barrière à l'entrée » pour les nouveaux acteurs au profit des fournisseurs de services de paiement ou d'agrégation présents depuis plusieurs années.

Faille de cybersécurité ?

L'autre argument c'est la cybersécurité, devenu un sujet particulièrement sensible après les attaques informatiques mondiales telles que WannaCry. Or « un tel partage [des identifiants et codes personnels des clients] aurait des effets très dommageables sur l'environnement de sécurité général des paiements sur Internet », plaide le président de la Fédération bancaire de l'UE.

 « Cela va à l'encontre de tout ce que l'on dit à nos clients en matière de sécurité, de ne pas partager leur code de carte bancaire, etc. C'est même interdit de donner ses identifiants dans les conventions de compte », relève un banquier de la place.

Dans son courrier au commissaire européen Valdis Dombrovskis, Frédéric Oudéa insiste sur ce point en laissant planer la menace de piratage.

« Les experts en sécurité sont unanimement préoccupés par la perspective de la mise en place de normes techniques de réglementation sur le "screen-scraping" modernisé, qui ne correspond pas à l'état de l'art en matière de standards de sécurité. »

Le président de la Fédération bancaire de l'UE souligne que les API des banques seront testées par les régulateurs pour vérifier qu'elles fonctionnent bien et ne constituent pas un frein pour les Fintech. Il rappelle au commissaire letton que « la promotion d'un environnement de paiement sûr est, et devrait rester, la préoccupation de tous. »

Reporter la directive ?

Valdis Dombrovskis risque d'être difficile à convaincre. Il avait demandé en mai à l'EBA de lui soumettre d'autres propositions de standards d'échanges qui ne soient pas défavorables aux Fintech. Mais l'EBA a campé sur sa position. Le bras de fer aboutit sur une impasse : la directive doit s'appliquer dès janvier prochain alors que les normes techniques réglementaires sur lesquelles deux camps s'affrontent doivent être votées à l'automne par le Parlement européen et s'appliquer 18 mois plus tard. Frédéric Oudéa avance deux options de sortie de crise.

« Il y a deux solutions à ce problème crucial. Soit le régulateur européen décide de reporter la transposition de la DSP2 jusqu'à ce que les normes techniques réglementaires (RTS) soient applicables, soit il revoit le principe du délai de 18 mois »

Le report de la date d'application de la DSP2 n'a pas le soutien de la Banque de France, même si on a déjà vu un décalage de six mois pour le passage au système de prélèvement SEPA en 2014. Pour éviter un vide juridique, le lobby bancaire européen propose que les banques qui sont déjà prêtes à fournir des interfaces opérationnelles puissent le faire « dès janvier 2018 » - les banques britanniques ont déjà publié leurs spécifications d'"open banking", l'espagnole BBVA vient de lancer sa plateforme d'API, les françaises se sont mises d'accord sur les standards avec l'opérateur Stet. Les autres auraient dès lors un an et demi pour se mettre en conformité. Un compromis peut-être acceptable.

Delphine Cuny

8 mn

Replay I Nantes zéro carbone

Sujets les + lus

|

Sujets les + commentés

Commentaires 20
à écrit le 04/08/2017 à 7:56
Signaler
@Sato 02/08/2017 11:34 et @oui 02/08/2017 13:34 J'ai une banque en ligne depuis plus de trente ans (à l'étranger puis en France) En outre, j'effectue la très grande majorité de mes achats via le net. Si on veut pirater mon compte, je ne peux rien ...

à écrit le 03/08/2017 à 11:46
Signaler
OUDEA n'est qu'un ENARQUE inutile et dispendieux ses avis sont tout ce dont il faut se méfier puisque, comme ses semblalbles, il est sans concurrence dans l'INOCOMPETENCE et le PARASITISME. DEHORS LES "PETITS COMMIS" SURPAYES vivant aux crochets de...

à écrit le 03/08/2017 à 11:03
Signaler
Je n’avais déjà pas une bonne image de l’UE mais là…c’est la goutte d’eau qui fait déborder le vase. Je n’en ai pas beaucoup plus des banques d’ailleurs. Accès à mes données personnelles et tout le détail de mes comptes…PAS QUESTION ! J’arrête ma...

à écrit le 03/08/2017 à 0:58
Signaler
Au fait, quelles sont les conditions pour créer une fintech? Qui peut y travailler? Sous quelles conditions de formation et de casier judiciaire?

à écrit le 03/08/2017 à 0:41
Signaler
Quel danger pour la sécurité des données bancaires! Il semble très dangereux de laisser n'importe qui accéder à ces données. Que vont-ils en faire? Ils peuvent vendre à tout pirate, comme si les dangers ne manquaient pas.

à écrit le 02/08/2017 à 19:54
Signaler
pour faire du scoring, c'est plus facile d'avoir des donnees........ mais comme nous disait un prof d'econometrie ' les donnees c'est pas donne' et le temps reel ne sert a rien, par contre les sources multiples, oui..... quand on sait ce que ca adon...

à écrit le 02/08/2017 à 11:52
Signaler
Pour une fois, ce syndicat porte le bon choix. Un choix compatible avec l'intérêt général. Oui, les interconnexions via API offrent en 2017, et de très loin, une meilleure sécurité des échanges et, à partir de là, une plus grande protection de la ...

à écrit le 02/08/2017 à 10:33
Signaler
Que peuvent faire les banques tradi pour s'opposer aux fintech ? C'est simple, rien. On n'arrete pas la concurence, c'est une bonne chose. Les banques ne meritent plus la confiance des epargnants.

à écrit le 02/08/2017 à 9:20
Signaler
Bon article ce qui n'est pas facile sur un sujet particulièrement aussi indigeste que celui-ci, maintenant on ne comprend pas trop pourquoi les banques paniquent vu que de toutes façons elles vont avaler tous les nouveaux acteurs de la fintech à term...

à écrit le 02/08/2017 à 9:03
Signaler
"Les acteurs bancaires, qui défendent leur rôle de "tiers de confiance", Je trouve cette phrase assez comique quand l'on sait le rôle de ces mêmes banques dans les montages d'optimisation fiscale et d'évasion pour les plus aisés de leurs clents. une...

le 02/08/2017 à 13:33
Signaler
C'est quoi le rapport entre un probleme de securité et d'atteinte a la vie privé (l'article) et l'evasion fiscale? Je pense que vous n'avez pas compris. A terme n'importe quel tiers pourra accéder à des informations sur vos comptes bancaire sans ...

le 02/08/2017 à 14:02
Signaler
@Réponse de developpé je me suis peut être mal exprimé ou vous ne voulez pas comprendre. c'est toujours le même problème ce que je veux dire c'est que le plus souvent ce sont ceux qui ont quelque chose à cacher (par exemple transfert de fonds pour é...

à écrit le 02/08/2017 à 8:40
Signaler
Tout d’abord les banques c’est un peu comme la politique ceux qui sont devant de la scène pour contester sont ceux qui ne sont pas blanc en l’occurrence affaire Kerviel, amende de 5 M€ pour manque de transparence…… Pour en revenir au sujet l’avenir p...

le 02/08/2017 à 10:59
Signaler
Travaillez vous pour un organisme à but non lucratif, achetez vous vos produits dans des hypermarchés qui reversent 100% de leurs bénéfices au producteurs? Ce qui freine la consommation c'est avant tout cette pensée malsaine et négative de toute ch...

à écrit le 02/08/2017 à 8:34
Signaler
une seule réponse sure, la suppression de la monnaie scripturale.....

le 02/08/2017 à 11:45
Signaler
Et la main mise définitivement du système bancaire sur vos finances. C'est chouette de payer un service pour régler vos achats avec de l'argent qui devrait vous appartenir. Le commerçant paye, et l'acheteur paye pour lé transaction, bravo !

à écrit le 02/08/2017 à 8:03
Signaler
La directive "directive sur les services de paiement (DSP2)" a t-elle été approuvée par le Conseil Européen et par le Parlement Européen ? Si c'est le cas, "ite missa est", on n'en parle plus et on se fout de l'opinion du directeur de la SG.. Cordi...

le 02/08/2017 à 11:34
Signaler
Dans ce cas, vous pouvez aussi bien me passer votre code bancaire illico... Ite, missa est !

le 02/08/2017 à 13:34
Signaler
Donc vous etes d'accord pour que l'on accede a vos comptes sans votre permission?

à écrit le 02/08/2017 à 8:00
Signaler
Ce n'est qu'une façon déguisée pour permettre aux ETATS de "fliquer les fraudeurs" ou plutôt de voler l'argent durement gagner des travailleurs du privé.

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.