Directive européenne sur l'accès aux données bancaires : banques et fintech organisent leur lobbying

La directive européenne sur les services de paiement a été votée la semaine dernière, mais sa mise en oeuvre reste à définir. Banques et nouveaux entrants opposent leurs visions.

Le Parlement européen a adopté, jeudi 8 octobre, la Directive européenne sur les services de paiement révisée (DSP2). Le texte vient rajeunir la première directive, adoptée en 2009, qui avait fourni un cadre juridique pour la mise en place d'un marché européen unique des paiements, permettant notamment la création de l'espace unique de paiement en euros (SEPA). La DSP2 a quant à elle pour objectif de créer un marché européen intégré des paiements par carte, Internet et sur mobile et de favoriser l'émergence de nouveaux acteurs.

Les banques obligées de fournir un accès aux informations de transactions

La directive souhaite en fait prendre en compte la multitude de nouveaux usages et de nouveaux services innovants qui ont émergé ces dernières années et qui interviennent en tant qu'intermédiaires entre la banque et le consommateur, pour la transaction ou l'agrégation bancaire. Parmi ces fintech, donc, les agrégateurs de comptes bancaires comme les français Bankin et Linxo, qui analysent les finances de leurs utilisateurs en se connectant à leur place à leur compte en ligne et en récupérant les données de transactions.

L'activité des prestataires tiers légitimée

Avec la DSP2, les prestataires de services de paiement sans carte de crédit seront donc désormais soumis aux mêmes normes de réglementation et de surveillance que tous les autres établissements de paiement –et leur existence devient ainsi totalement légitime. Surtout, mesure phare, les banques seront désormais obligées de fournir à ces prestataires un accès aux informations de transactions de leurs clients, sauf en cas de problème de sécurité avéré.

Rien de bien nouveau, finalement. Tous ses services existaient déjà et avaient déjà accès aux données des comptes bancaires après autorisation délivrée par les clients. La directive vient officialiser le métier de ces fintech, le légitimer… Et le réguler, bien sûr. Du côté des nouveaux entrants, on se réjouit, bien sûr. "Cela va renforcer la confiance des consommateurs", prévoir Joan Burkovic, CEO de Bankin.

Pourquoi une telle directive ?

Jusqu'alors, les intermédiaires faisaient l'objet d'un flou juridique et se posait la question de leur légitimité et de leur légalité. Le problème a en fait été soulevé par l'essor de la start-up allemande Sofort, qui propose aux e-commerçants un bouton pour permettre aux clients de payer sur leur site avec la même interface bancaire que pour consulter leurs comptes en ligne. Les banques allemandes, incapables d'empêcher la start-up de se connecter sur leurs espaces tant que les clients renseignaient leurs codes, ont alerté les régulateurs européens pour que la légitimité du service soit étudiée.

Qu'est-ce que ça va changer ?

Les banques ne peuvent plus s'opposer à l'utilisation de leurs données

Si les prestataires existaient déjà avant la directive, que va-t-elle changer et en quoi va-t-elle faciliter leur essor ? "Jusqu'ici, les banques pouvaient toujours tenter d'empêcher les start-up d'accéder à leurs données, ou bien déconseiller à leurs clients de leur donner l'autorisation, explique Joan Burkovic, de Bankin. Désormais, elles n'en auront plus le droit."

Pourquoi la bataille est-elle loin d'être finie ?

Les banques se sont arc-boutées contre la directive, sans succès. En France, la voix du secteur est portée par la Fédération Bancaire Française (FBF). "Nous prenons acte de l'adoption de ce teste qui doit aller dans le sens de l'ouverture du marché aux nouveaux acteurs et assurer la sécurité, assure désormais Willy Dubost, Directeur du département Systèmes et moyens de paiement de la FBF. La directive franchit un pas par rapport au Sepa, et cela nous convient, mais nous avons des inquiétudes sur sa mise en œuvre."

L'Autorité Bancaire européenne va fixer les modalités de mise en oeuvre

La directive sera bientôt formellement adoptée par le Conseil des ministres de l'Union européenne puis publiée au Journal officiel. Les États membres disposeront alors de deux ans pour adopter les dispositions nationales permettant de transposer la directive sur les services de paiement dans le droit national. Surtout, après le vote de la directive, les modalités de mise en œuvre vont être élaborées par l'Autorité Bancaire européenne. Déjà, les lobbys s'organisent pour faire valoir leur point de vue.

Face à la FBF, une dizaine d'agrégateurs européens se sont regroupés au sein d'une organisation baptisée European AIS (Account Information Services), sous l'impulsion de Joan Burkovic, CEO de Bankin. "Nous voulons peser dans les décisions face aux banques qui vont proposer leurs solutions", explique le fondateur.

Quels sont les points de discorde ?

  • Infrastructures de sécurité

"La mise en œuvre de la directive nous inquiète car elle peut engendrer des investissements lourds, plaide Willy Dubost. Les banques françaises considèrent que ce n'est pas à elles d'investir dans la sécurité pour le compte des nouveaux acteurs."

Qui va payer pour les infrastructures ?

Une assertion balayée par les agrégateurs : "On ne demande pas aux banques d'investir dans les infrastructures : le système est déjà ouvert et nous avons déjà construit les technologies, assure Joan Burkovic. On a dépensé énormément de ressources pour bâtir le système ; il faut arrêter de dire qu'il y aura des infrastructures énormes à construire." Et d'ajouter : "D'ailleurs, on a plutôt tendances à dire aux banques 'ne faites rien, nous on investit et on s'en charge'. Certaines ont voulu construire une API pour collaborer avec Bankin, mais cela n'a pas fonctionné : si l'API ne marche pas, la banque a d'autres chats à fouetter avant de réparer le problème, alors que pour nous par contre c'est très embêtant."

  • Cyberattaques et authentification forte

"Le renforcement des exigences sécuritaires applicables aux tiers de paiement n'est pas assez fort", assène la FBF. En cause, notamment : le partage des identifiants : "On n'est pas inquiets de l'arrivée des fintech et de leur concurrence, martèle Willy Dubost, mais des potentielles cyberattaques. Si un acteur tiers est attaqué par des cyberméchants, ce sont des milliers de banques européennes qui vont être attaquées."

La FBF réclame donc le renforcement des exigences de sécurité envers ces nouveaux acteurs et met aussi en cause le système d'authentification. Aujourd'hui, sur une application comme Bankin ou un outil comme Sofort, l'utilisateur s'identifie une fois grâce aux identifiants de sa banque, puis il n'a plus besoin de rentrer ses codes pour que le service tiers ait accès aux informations de ses transactions. Par exemple, Bankin se synchronise chaque jour avec les banques de l'utilisateur pour connaître les derniers mouvements des comptes et les analyser. Problème, selon la FBF : "Tous les jours ces acteurs déversent de manière importante des demandes de données à remonter à travers le code de nos clients. On ne sait pas si les demandes viennent de la personne ou de l'opérateur. Si demain l'entreprise est hackée, qui sera responsable de quoi ?"

L'authentification forte, une "catastrophe pour les agrégateurs"

La FBF souhaite que la traçabilité des transactions soit mise en place et réclame également la mise en place d'une authentification forte : l'acteur tiers devrait alors redemander avant chaque synchronisation l'autorisation du client. Ainsi, par exemple, chaque matin Bankin demanderait à ses clients de se réauthentifier grâce à l'envoi d'un code par sms. Une folie, pour Joan Burkovic. "L'authentification forte ne devrait être obligatoire que lorsque l'on effectue une transaction bancaire, sinon ce serait une catastrophe pour les agrégateurs !", explique-t-il. "Ce n'est pas mon problème, répond Willy Dubost pour la FBF. Mon problème, c'est que le banquier gère les données et que sa relation client est basée sur la confiance. Il doit donc se garantir d'une sécurité maximum. C'est à ces nouveaux acteurs d'agir dans perturber ce schéma."

Pour contrer les exigences des banques, le regroupement des agrégateurs va œuvrer pour la mise ne place de "solutions qui respectent la directive, ne diminuent pas la sécurité et harmonisent l'espace européen" et surtout pour " une simplicité d'accès de manière fiable aux mouvements des comptes bancaires".

Fintech