DEREK PERROTTEBUREAU DE BRUXELLES
LES JEUNES POUSSES DEVRONT PASSER PAR UNE INTERFACE DE PROGRAMMATION MISE À DISPOSITION PAR LES BANQUES POUR ACCÉDER AUX DONNÉES DES COMPTES DE PAIEMENT DE LEURS CLIENTS.
C’était une règle du jeu très attendue par les banques et les jeunes pousses de la finance. La Commission européenne vient d’arrêter la manière dont les établissements bancaires devront garantir à toute fintech dûment mandatée l’accès aux données qu’elles abritent sur les comptes courants de leurs clients communs.
Ces normes techniques réglementaires (RTS)
, qui permettront de mettre en musique la directive révisée sur les services de paiement (DSP2), dont l’entrée en vigueur interviendra le 18 janvier prochain, seront officiellement adoptées dans les prochains jours. Elles prévoient que les banques mettent en place un « accès par protocole informatique » (API) à ces données. L’objectif est de faciliter et encadrer l’essor des nouveaux services proposés par ces pépites de l’économie numérique, comme les agrégateurs de comptes. Faute de règles, ceux-ci utilisent aujourd’hui la technique de « Web scraping », qui consiste à aller chercher les informations directement sur la banque en ligne via les identifiants du client. Un procédé jugé par les banques trop peu sécurisé à l’ère du cybercrime.
En outre, les établissements bancaires n’apprécient guère de voir ces nouveaux venus se servir dans leur salle au trésor et en compliquent parfois techniquement l’accès. « On peut comprendre qu’il soit désagréable pour les banques de voir un tiers monétiser les données qu’elles recueillent. Mais ce sont celles du client, qui donne son consentement explicite », rappelle un expert de la Commission européenne.
Coup dur pour les pionniers du « Web scraping »
Cette dernière suit néanmoins en majeure partie les
recommandations de l’Autorité bancaire européenne (EBA)
, auxquelles les banques ont beaucoup contribué. La mise en place d’API doit permettre, selon ses partisans, de bien formaliser les données fournies, tout en assurant une authentification forte des tiers accédant aux infrastructures bancaires.
Bruxelles va laisser dix-huit mois (jusqu’à mi-2019) aux banques pour mettre en place ces API. D’ici là, les fintech pourront toujours recourir au « Web scraping ». Mais elles devront obligatoirement signaler la démarche à la banque. Surtout, cette technique ne sera plus autorisée une fois l’API opérationnelle, sauf en cas de défaillance. « Ces API seront plus faciles à utiliser pour les fintech. Elles n’auront plus besoin de s’adapter en permanence aux systèmes en ligne de chaque banque », explique la Commission.
Bruxelles prévoit en conséquence un essor de nouveaux acteurs et services. Mais les pionniers, comme l’allemand Sofort ou le suédois Trustly, qui avaient développé une maîtrise du « Web scraping », vont perdre leur avantage compétitif. Cette technique leur permet en outre d’accéder à tous les types de comptes (courant, épargne, etc.) présents sur le site de banque en ligne de leurs clients, alors que les futurs protocoles d’échange se limiteront aux données des seuls comptes de paiement.
« Les autres comptes ne sont pas dans le champ de la directive », rappelle-t-on à Bruxelles. Toutefois, selon la Commission, le futur règlement sur la portabilité des données personnelles dans l’UE devrait faciliter la tâche de services comme les agrégateurs de compte.
Fonte: