[Article mis à jour à 18h10]
Le compromis trouvé par la Commission européenne dans le bras de fer opposant le secteur bancaire aux nouveaux entrants de la Fintech sur l'accès aux données penche plutôt en faveur des banques. La Commission a adopté ce lundi de nouvelles règles dans le cadre de la deuxième Directive sur les services de paiements (DSP2 ou PSD2 en anglais), dont l'objectif est de « rendre les paiements européens plus sûrs et innovants » et qui entrera en vigueur le 13 janvier 2018.
Banques et Fintech auront ensuite 18 mois pour se conformer aux nouvelles normes techniques qui prennent en compte les virulentes critiques de l'Autorité bancaire européenne (ABE) et de la Fédération bancaire de l'UE (EBF) contre la pratique dite du "web-scraping" ou "screen-scraping" (capture de données d'écran), qui permet aux Fintech (solutions de paiement, agrégateurs de comptes comme Linxo ou Bankin') d'accéder aux données du client d'une banque en utilisant les codes d'accès de ce dernier.
« Avec ces nouvelles règles, il ne sera plus autorisé d'accéder aux données des clients à travers le recours aux techniques de "screen scraping" », indique de façon très explicite la Commission dans ses questions réponses sur le sujet.
« Les banques devront mettre en place un canal de communication qui permette aux prestataires de services paiement tiers d'accéder aux données dont ils ont besoin, conformément à la DSP2. Ce canal leur servira aussi à s'identifier et à communiquer entre eux de façon sécurisée. »
Période de transition de 18 mois
A cette fin, les banques devront adapter leur interface bancaire en ligne ou bien créé une interface dédiée (une API, une interface de programmation interopérable). Pendant une période de transition, qui durera 18 mois après la publication de ces règles au Journal officiel de l'UE, ce qui est prévu après trois mois d'examen du texte par le Parlement européen et le Conseil européen, soit jusqu'en septembre 2019, les Fintech pourront continuer à pratiquer le "screen scraping", mais elles devront le signaler aux banques.
Ensuite, ce sera terminé, ce qui fait râler certains des pionniers de la Fintech, comme le spécialiste allemand du paiement en ligne Sofort (contrôlé par la suédoise Klarna), qui en tirent un avantage compétitif. Les nouvelles règles vont aussi pénaliser d'autres acteurs de la Fintech qui pratiquent le screen scraping, puisque la DSP2 ne concerne que les comptes de paiement, pas ceux d'épargne. Cependant, les agrégateurs de comptes pourraient trouver une réponse dans la législation européenne à venir sur la portabilité des données.
« Les banques ne peuvent pas empêcher les consommateurs qui le souhaitent d'avoir recours à ces nouveaux services, et celles qui proposent un service de banque en ligne à leurs clients doivent également coopérer avec les "Fintech" ou avec d'autres banques fournissant ce type de nouveaux services », insiste la Commission.
« Les consommateurs bénéficieront d'un plus large choix et d'une concurrence accrue lorsqu'ils paieront pour des biens et des services achetés en ligne. Ils seront également en mesure de gérer plus efficacement leurs finances personnelles grâce à des applications qui leur permettront de globaliser les données liées aux comptes qu'ils détiennent auprès de différentes banques », assure-t-elle.
La Fédération bancaire française (FBF) a exprimé sa satisfaction en fin de journée, tout en demandant à réduire « au maximum » la période de transition :
« La Commission a fait le choix de la sécurité en privilégiant les interfaces standardisées, ouvertes et sécurisées (API) comme solutions d'accès aux comptes de paiements par les agrégateurs et les initiateurs de paiements au sein de l'Union européenne. [...] La FBF a toujours soutenu les API, seules solutions garantes d'une véritable sécurité alors que les cybermenaces se multiplient. »
La Fédération bancaire européenne (EBF) s'est félicitée que la Commission reconnaisse l'importance des API mais a jugé que la solution de secours (le screen scraping toléré en cas d'absence d'API ou un accès direct en alternative) était « incompatible avec la réalité opérationnelle » des banques.
Le Bureau européen des unions de consommateurs (BEUC), foncièrement opposé au screen-scraping, a émis un avis mitigé sur le texte, estimant qu'il y avait trop de dérogations.
Double authentification du paiement
Concrètement, il y aura deux phases de test de trois mois de ces interfaces afin de vérifier qu'elles fonctionnent correctement. La Commission encourage la création d'une instance représentant les parties prenantes pour évaluer la qualité de ces interfaces. Les régulateurs nationaux (l'ACPR-Banque de France par exemple), après consultation de l'Autorité bancaire européenne, pourront accorder des exemptions au mécanisme de secours (le screen scraping) à certaines banques qui auraient d'ores et déjà une interface de communication dédiée entièrement fonctionnelle.
[Nouvelles règles d'authentification forte pour les paiements de plus de 30 euros et non 50 comme envisagé initialement. Crédits : Commission européenne]
La période de transition s'appliquera aussi à l'autre versant, très important, de la DSP2, qui concerne l'authentification forte lors des paiements de plus de 30 euros. Afin de réduire les niveaux de fraude dans le domaine de l'e-commerce notamment, les nouvelles règles requièrent une combinaison d'au moins deux éléments indépendants avant de pouvoir effectuer un paiement : un objet physique (une carte ou un téléphone mobile) associé à un mot de passe ou un élément biométrique, comme les empreintes digitales ou le scan de l'iris. Cette double authentification n'est obligatoire que dans quelques pays (Belgique, Pays-Bas, Suède) et appliquée de façon volontaire ailleurs.
Retraités : la volte-face des favorisés d'Emmanuel Macron (45)
Sujets les + commentés