La tension monte autour de la prochaine application de la deuxième directive sur les services de paiement (DSP2), qui doit « rendre les paiements européens plus sûrs et innovants.» Cette directive, qui entrera en vigueur le 13 janvier 2018, va notamment imposer aux banques européennes d'offrir l'accès aux données de leurs clients à d'autres acteurs, en particulier les nouveaux entrants de la Fintech (paiement entre particuliers, agrégation de comptes, etc). Cette perspective ne les réjouit guère, mais c'est surtout une disposition, envisagée par la Commission européenne depuis mai dernier, qui les irrite au plus haut point : la possibilité, en « solution de secours », laissée aux prestataires tiers de continuer à recourir à la technique dite du "web-scraping", qui leur permet d'accéder aux données du client d'une banque en utilisant les codes d'accès de ce dernier.

Le dispositif envisagé initialement était de sécuriser les échanges en se connectant via des interfaces interopérables, les fameuses "API" utilisées par les grands acteurs du Web et qui permettent de s'ouvrir à tout un écosystème. Le sujet est un peu technique, mais soulève des enjeux de sécurité, de respect de la vie privée et de concurrence.

Les acteurs bancaires, qui défendent leur rôle de "tiers de confiance", ont décidé de monter au créneau, au plus haut niveau, sur ce sujet qu'ils jugent « crucial ». Selon nos informations, Frédéric Oudéa, le patron de la Société Générale, a écrit ces jours derniers en tant que président de la Fédération bancaire de l'Union européenne (EBF) à Mario Draghi, le président de la Banque centrale européenne (BCE), et au Commissaire européen en charge des services financiers, Valdis Dombrovskis, pour demander l'interdiction totale du web-scraping et un report du calendrier d'application de la directive.

« Les autorités européennes devraient soutenir le développement [...] de nouvelles interfaces de programmation (API), ouvertes, innovantes et sécurisées [...] plutôt que d'imposer une technologie non sécurisée et vieille de 15 ans, le "screen-scraping" [capture de données d'écran, ndlr], par la régulation », écrit le DG de la Société Générale, dans ce courrier à Mario Draghi daté du 31 juillet, que nous avons a pu consulter.

« Nous apprécierions que la BCE apporte son soutien au développement d'interfaces interopérables (API) fonctionnant correctement dans toute l'Europe, au bénéfice des consommateurs, des Fintech et de tout le secteur du paiement, ainsi qu'à une interdiction totale de la capture de données d'écran », demande-t-il au président de la Banque centrale européenne.

Protection du consommateur et concurrence

Le directeur général de la Soc Gen, qui s'appuie sur l'avis très négatif rendu le 29 juin dernier par l'Autorité bancaire européenne (EBA), argumente : cette disposition, même temporaire, pose un problème du point de vue de la protection des données.

« La solution proposée par la DG FISMA [la direction de la stabilité financière et des marchés de capitaux de la Commission, ndlr] va permettre aux prestataires tiers, en utilisant les identifiants et codes personnels des clients - d'accéder à toutes les données financières visibles par tout client quand il consulte son interface bancaire: compte courant, compte d'épargne, assurances, prêts, investissements, compte joint, ... et tous les soldes. Un affichage aussi large de données très confidentielles pour avoir simplement réalisé un achat est en contradiction avec les règles les plus élémentaires de protection des données, alors que les banques ne seront pas en mesure de demander le consentement des clients », fait valoir Frédéric Oudéa dans son courrier au président de la BCE .

L'Autorité bancaire européenne estime elle aussi qu'il sera « probablement très difficile pour les consommateurs de comprendre la multiplicité des manières d'accéder à leurs comptes en fonction des prestataires ou des interfaces, et donc les implications de leur consentement. »

Frédéric Oudéa rappelle que le Bureau européen des unions de consommateurs (BEUC) - pourtant favorable à l'émergence des Fintech pour plus de concurrence - est « fortement opposé » au web-scraping. Le BEUC n'est cependant pas totalement en phase avec la solution de son interdiction proposée par le gendarme bancaire européen, car il craint une grande fragmentation des interfaces qui favoriserait les acteurs installés.

Un collectif de 71 startups européennes de la Fintech, dont les françaises Bankin et Linxo (agrégateurs de comptes), avait publié un manifeste en mai contre cette interdiction qui risquait de leur couper les ailes, même si elles sont elles-mêmes productrices et utilisatrices d'API pour se brancher à d'autres services. De puissants acteurs du paiement en ligne, comme l'allemand SoFort, filiale de la "licorne" suédoise Klarna, ne veulent pas changer de méthode d'accès. L'EBA avance même que le maintien du web-scraping « créerait un désavantage compétitif et une barrière à l'entrée » pour les nouveaux acteurs au profit des fournisseurs de services de paiement ou d'agrégation présents depuis plusieurs années.

Faille de cybersécurité ?

L'autre argument c'est la cybersécurité, devenu un sujet particulièrement sensible après les attaques informatiques mondiales telles que WannaCry. Or « un tel partage [des identifiants et codes personnels des clients] aurait des effets très dommageables sur l'environnement de sécurité général des paiements sur Internet », plaide le président de la Fédération bancaire de l'UE.

 « Cela va à l'encontre de tout ce que l'on dit à nos clients en matière de sécurité, de ne pas partager leur code de carte bancaire, etc. C'est même interdit de donner ses identifiants dans les conventions de compte », relève un banquier de la place.

Dans son courrier au commissaire européen Valdis Dombrovskis, Frédéric Oudéa insiste sur ce point en laissant planer la menace de piratage.

« Les experts en sécurité sont unanimement préoccupés par la perspective de la mise en place de normes techniques de réglementation sur le "screen-scraping" modernisé, qui ne correspond pas à l'état de l'art en matière de standards de sécurité. »

Le président de la Fédération bancaire de l'UE souligne que les API des banques seront testées par les régulateurs pour vérifier qu'elles fonctionnent bien et ne constituent pas un frein pour les Fintech. Il rappelle au commissaire letton que « la promotion d'un environnement de paiement sûr est, et devrait rester, la préoccupation de tous. »

Reporter la directive ?

Valdis Dombrovskis risque d'être difficile à convaincre. Il avait demandé en mai à l'EBA de lui soumettre d'autres propositions de standards d'échanges qui ne soient pas défavorables aux Fintech. Mais l'EBA a campé sur sa position. Le bras de fer aboutit sur une impasse : la directive doit s'appliquer dès janvier prochain alors que les normes techniques réglementaires sur lesquelles deux camps s'affrontent doivent être votées à l'automne par le Parlement européen et s'appliquer 18 mois plus tard. Frédéric Oudéa avance deux options de sortie de crise.

« Il y a deux solutions à ce problème crucial. Soit le régulateur européen décide de reporter la transposition de la DSP2 jusqu'à ce que les normes techniques réglementaires (RTS) soient applicables, soit il revoit le principe du délai de 18 mois »

Le report de la date d'application de la DSP2 n'a pas le soutien de la Banque de France, même si on a déjà vu un décalage de six mois pour le passage au système de prélèvement SEPA en 2014. Pour éviter un vide juridique, le lobby bancaire européen propose que les banques qui sont déjà prêtes à fournir des interfaces opérationnelles puissent le faire « dès janvier 2018 » - les banques britanniques ont déjà publié leurs spécifications d'"open banking", l'espagnole BBVA vient de lancer sa plateforme d'API, les françaises se sont mises d'accord sur les standards avec l'opérateur Stet. Les autres auraient dès lors un an et demi pour se mettre en conformité. Un compromis peut-être acceptable.