Données bancaires : Bruxelles recadre l’accès des Fintech

 |   |  967  mots
Les nouvelles règles d'accès des Fintech aux données de comptes bancaires des clients, dévoilées par la Commission européenne. Elles entreront en vigueur en septembre 2019.
Les nouvelles règles d'accès des Fintech aux données de comptes bancaires des clients, dévoilées par la Commission européenne. Elles entreront en vigueur en septembre 2019. (Crédits : CE)
La Commission européenne a entendu les critiques de l’Autorité bancaire européenne et des grandes banques de la place qui voulaient interdire pour des questions de sécurité le recours au « web scraping » pour aspirer les données des clients. Les startups du paiement et de l’agrégation de comptes ne pourront plus le faire en septembre 2019.

[Article mis à jour à 18h10]

Le compromis trouvé par la Commission européenne dans le bras de fer opposant le secteur bancaire aux nouveaux entrants de la Fintech sur l'accès aux données penche plutôt en faveur des banques. La Commission a adopté ce lundi de nouvelles règles dans le cadre de la deuxième Directive sur les services de paiements (DSP2 ou PSD2 en anglais), dont l'objectif est de « rendre les paiements européens plus sûrs et innovants » et qui entrera en vigueur le 13 janvier 2018.

Banques et Fintech auront ensuite 18 mois pour se conformer aux nouvelles normes techniques qui prennent en compte les virulentes critiques de l'Autorité bancaire européenne (ABE) et de la Fédération bancaire de l'UE (EBF) contre la pratique dite du "web-scraping" ou "screen-scraping" (capture de données d'écran), qui permet aux Fintech (solutions de paiement, agrégateurs de comptes comme Linxo ou Bankin') d'accéder aux données du client d'une banque en utilisant les codes d'accès de ce dernier.

« Avec ces nouvelles règles, il ne sera plus autorisé d'accéder aux données des clients à travers le recours aux techniques de "screen scraping" », indique de façon très explicite la Commission dans ses questions réponses sur le sujet.

« Les banques devront mettre en place un canal de communication qui permette aux prestataires de services paiement tiers d'accéder aux données dont ils ont besoin, conformément à la DSP2. Ce canal leur servira aussi à s'identifier et à communiquer entre eux de façon sécurisée. »

Période de transition de 18 mois

A cette fin, les banques devront adapter leur interface bancaire en ligne ou bien créé une interface dédiée (une API, une interface de programmation interopérable). Pendant une période de transition, qui durera 18 mois après la publication de ces règles au Journal officiel de l'UE, ce qui est prévu après trois mois d'examen du texte par le Parlement européen et le Conseil européen, soit jusqu'en septembre 2019, les Fintech pourront continuer à pratiquer le "screen scraping", mais elles devront le signaler aux banques.

Ensuite, ce sera terminé, ce qui fait râler certains des pionniers de la Fintech, comme le spécialiste allemand du paiement en ligne Sofort (contrôlé par la suédoise Klarna), qui en tirent un avantage compétitif. Les nouvelles règles vont aussi pénaliser d'autres acteurs de la Fintech qui pratiquent le screen scraping, puisque la DSP2 ne concerne que les comptes de paiement, pas ceux d'épargne. Cependant, les agrégateurs de comptes pourraient trouver une réponse dans la législation européenne à venir sur la portabilité des données.

« Les banques ne peuvent pas empêcher les consommateurs qui le souhaitent d'avoir recours à ces nouveaux services, et celles qui proposent un service de banque en ligne à leurs clients doivent également coopérer avec les "Fintech" ou avec d'autres banques fournissant ce type de nouveaux services », insiste la Commission.

« Les consommateurs bénéficieront d'un plus large choix et d'une concurrence accrue lorsqu'ils paieront pour des biens et des services achetés en ligne. Ils seront également en mesure de gérer plus efficacement leurs finances personnelles grâce à des applications qui leur permettront de globaliser les données liées aux comptes qu'ils détiennent auprès de différentes banques », assure-t-elle.

La Fédération bancaire française (FBF) a exprimé sa satisfaction en fin de journée, tout en demandant à réduire « au maximum » la période de transition :

« La Commission a fait le choix de la sécurité en privilégiant les interfaces standardisées, ouvertes et sécurisées (API) comme solutions d'accès aux comptes de paiements par les agrégateurs et les initiateurs de paiements au sein de l'Union européenne. [...] La FBF a toujours soutenu les API, seules solutions garantes d'une véritable sécurité alors que les cybermenaces se multiplient. »

La Fédération bancaire européenne (EBF) s'est félicitée que la Commission reconnaisse l'importance des API mais a jugé que la solution de secours (le screen scraping toléré en cas d'absence d'API ou un accès direct en alternative) était « incompatible avec la réalité opérationnelle » des banques.

Le Bureau européen des unions de consommateurs (BEUC), foncièrement opposé au screen-scraping, a émis un avis mitigé sur le texte, estimant qu'il y avait trop de dérogations.

Double authentification du paiement

Concrètement, il y aura deux phases de test de trois mois de ces interfaces afin de vérifier qu'elles fonctionnent correctement. La Commission encourage la création d'une instance représentant les parties prenantes pour évaluer la qualité de ces interfaces. Les régulateurs nationaux (l'ACPR-Banque de France par exemple), après consultation de l'Autorité bancaire européenne, pourront accorder des exemptions au mécanisme de secours (le screen scraping) à certaines banques qui auraient d'ores et déjà une interface de communication dédiée entièrement fonctionnelle.

DSP2 authentification forte paiement

[Nouvelles règles d'authentification forte pour les paiements de plus de 50 euros. Crédits : Commission européenne]

La période de transition s'appliquera aussi à l'autre versant, très important, de la DSP2, qui concerne l'authentification forte lors des paiements de plus de 50 euros. Afin de réduire les niveaux de fraude dans le domaine de l'e-commerce notamment, les nouvelles règles requièrent une combinaison d'au moins deux éléments indépendants avant de pouvoir effectuer un paiement : un objet physique (une carte ou un téléphone mobile) associé à un mot de passe ou un élément biométrique, comme les empreintes digitales ou le scan de l'iris. Cette double authentification n'est obligatoire que dans quelques pays (Belgique, Pays-Bas, Suède) et appliquée de façon volontaire ailleurs.

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 27/11/2017 à 17:57 :
l Europe se détruit elle meme... de part ses directives... glyphosate ext..
a écrit le 27/11/2017 à 15:07 :
Il faut quand meme etre tres c.. pour donner a un tiers les codes d acces a sa banque. Je suis etonne qu il y ait tant de gens que ca qu ils l aient fait. SI le tiers en question se fait pirater, votre compte peut se retrouver vide et vous n avez aucun recours car ce sont vos codes qui ont ete utilisés !!

Sinon l utilisation bioometrique est elle aussi use source de probleme.
1) qui dit que le tiers en question en va pas revendre vos empreintes histoire qu on vous piste plus facilement
2) en cas de fuite, gros probleme : facile de changer son mot de passe, mais comment changer ses empreintes digitales ??? surtout qu il existe des moyen d en faire des fausses (avec une sorte de gelee) pour usurpation d identitee
a écrit le 27/11/2017 à 14:02 :
"pour aspirer les données des clients pour des questions de sécurité"

Oui on les comprend, entre les "panama papers" et les "paradise papers" il serait temps d'arrêter l'hémorragie hein, on comprend aussi parfaitement bien que l'UE les comprenne.

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :