Banques et FinTech : le débat sur l’accès aux données des clients remonte à Bruxelles
Le DG du groupe Société Générale demande à Bruxelles de privilégier les API aux dépens du scraping pour la connexion des FinTech aux SI des banques.
Qu’elles fournissent, au sens de la directive européenne sur les services de paiement révisée (DSP2), des outils « d’information sur les comptes » ou « d’initiation de paiement », dans quelle mesure les FinTech peuvent-elles se connecter aux systèmes informatiques des banques ?
DG du groupe Société Générale, Frédéric Oudéa tire la sonnette d’alarme concernant l’option pour laquelle penche la Commission européenne. En l’occurrence, le web scraping.
Sous la casquette de président de la Fédération bancaire de l’UE (EBF), l’intéressé invite Bruxelles à interdire l’exploitation de cette technique, tout en reportant l’application de la DSP2, prévue pour le 13 janvier 2018 dans les États membres de l’UE.
Considérant que le timing sera trop serré étant donné que les normes techniques réglementaires sous-jacentes ne seront soumises qu’à l’automne au vote du Parlement européen, l’intéressé sollicite un report de la transposition… ou une révision du délai de 18 mois fixé entre l’adoption et l’entrée en vigueur desdites normes.
Une question de vie privée
Comme le rappelle le consultant Patrice Bernard, qui tient le blog « C’est pas mon idée ! », le débat sur le fond dure depuis un an.
D’un côté, la piste du web scraping, que la Commission européenne a annoncé envisager en mai dernier. De l’autre, les API.
Dans le premier cas, les FinTech pourraient utiliser les données d’identification des clients pour accéder à leurs comptes. Dans le deuxième, les échanges se feraient par des interfaces de programmation.
La Tribune, qui a pu consulter les lettres que Frédéric Oudéa a adressées à Mario Draghi (président de la Banque centrale européenne) et à Valdis Dombrovskis (commissaire européen aux services financiers), résume le point de vue du dirigeant : le web scraping donnerait accès à de nombreuses informations confidentielles, « en contradiction avec les règles les plus élémentaires de protection des données ». Le partage des codes personnels des clients poserait par ailleurs des problèmes de sécurité.
La BCE est sur la même ligne, estimant que les consommateurs auront, vu toutes les manières d’accéder à leurs comptes, du mal à comprendre les implications des autorisations qu’ils pourraient donner aux FinTech.
Du côté du BEUC (Bureau européen des unions de consommateurs), on s’oppose également au scraping, non sans craindre qu’un recours aux API entraîne une fragmentation des interfaces qui « favoriserait les acteurs installés ».
Légitimer les FinTech
La DSP2 (no 2015/2366) introduit, au point 16 de son article 4, une reconnaissance des « services d’information sur les comptes ». Ils consistent à « fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l’utilisateur de services de paiement soit auprès d’un autre prestataire de services de paiement, soit auprès de plus d’un prestataire de services de paiement ».
Le point 15 du même article pose définition des services dits « d’initiation de paiement ». Ils consistent à « initier [sic] un ordre de paiement à la demande de l’utilisateur de services de paiement concernant un compte de paiement détenu auprès d’un autre prestataire de services de paiement ».
L’article 66 légitime leur activité vis-à-vis des banques, tenues de traiter les ordres de paiement qui leur sont transmis « sans aucune discrimination […] en termes de délai, de priorité ou de frais par rapport aux ordres de paiement transmis directement par le payeur », sauf à justifier de « raisons objectives ».
Il pose par ailleurs les règles relatives à l’accès au compte de paiement. Notamment le fait que le prestataire du service « d’initiation de paiement » ne détient à aucun moment les fonds du payeur, veille à protéger les données de sécurité de l’utilisateur et ne stocke par d’informations de paiement sensibles.
L’article 67 concerne les services « d’information sur les comptes », fournis uniquement sur la base du consentement explicite de l’utilisateur, avec des conditions similaires à celles qu’établit l’article 66.
L’article 68 permet aux banques de refuser à un tiers l’accès à un compte de paiement, là aussi pour des raisons objectives, liées à un accès non autorisé ou frauduleux. Auquel cas le payeur et l’autorité compétente doivent être notifiés.
La directive précise aussi la responsabilité des prestataires de services « d’initiation de paiement » vis-à-vis des opérations que les utilisateurs nieraient avoir effectuées. Elle introduit par ailleurs un dérogation avec franchise pour les pertes liées aux opérations non autorisées consécutives à la perte, au vol ou au détournement d’un instrument de paiement.