La protection des données et l’open banking sont-ils compatibles ?

Début 2018, la mise en application de la directive DSP2 concernant les services de paiements risque de provoquer un séisme sans précédent dans le secteur bancaire. Où en est le secteur bancaire en matière de protection des données et face au développement de l’open banking ?

La directive DSP2, qui entrera en vigueur début 2018, oblige les banques à partager avec leurs concurrents une partie de leurs données dont l'accès aux comptes de paiement de leurs clients. Elle marque l’entrée du secteur dans l’ère de l’Open Banking. Concrètement, cela signifie que les acteurs tiers pourront se connecter via des API à leurs services de façon simple et standardisée.

Ouverture des données et contexte du secteur

Reflet des nouveaux modes de consommation et des attentes des clients, les fintech révolutionnent le secteur bancaire à coup d’innovation et de nouvelles technologies. De Yomoni, le robo-advisor, à Smartbees, une plateforme d’investissement à destination des 25-35 ans, les initiatives sur ce secteur sont légions. Réservé auparavant à un public niche, elles ciblent maintenant une population plus large et enrichissent leur offre. Au départ confidentielles et complémentaires aux services proposés par les banques, les fintech n’étaient pas ou peu perçues comme une menace par les institutions bancaires. Mais la nouvelle réglementation change la donne en permettant de solliciter désormais très facilement les bases de données d'une banque sans passer par son interface web. En prévision de ce changement, les banques traditionnelles doivent se remettre en question pour s’y préparer, en s’associant aux fintech ou en se transformant en profondeur. Les acteurs établis sur le marché nouent des partenariats, à l’image d’Apple Pay et du Crédit Mutuel Arkéa, rachètent des fintech prometteuses ou créent des fonds d’investissement.

 

Les fintech changent la donne dans le secteur bancaire

Pour se différencier sur des marchés multicanaux de plus en plus concurrentiels, les banques saisissent la problématique à bras le corps et développent continuellement des applications innovantes, effectuent davantage de transactions en ligne et collectent plus de données qu'elles doivent ensuite conserver, archiver et protéger. Grâce à l’analyse des big data, elles peuvent ensuite proposer à leurs clients des expériences en ligne et mobiles enrichies et immersives. Les banques misent sur les compétences numériques pour innover et tendre vers de nouveaux modèles économiques. Les nouveaux produits et services mis en place pour optimiser l'expérience client sont également conçus pour améliorer l'efficacité opérationnelle et les performances organisationnelles. Selon IDC, les dépenses mondiales pour les technologies de transformation numérique atteindront plus de 2,1 milliards de dollars en 2019, avec un taux de croissance annuel de 16,8% de 2014 à 2019.

La question de la sécurisation des données et des applications critiques s’intensifie avec l’augmentation du volume des datas et l’ouverture des API, qui signifie le partage d’information sur les comptes clients, avec l’accord de ces derniers. L’open banking ne doit en aucun cas se faire au détriment de la protection des données clients.

La conformité réglementaire oblige les banques à plus de protection des données

Les banques ont l’obligation de se conformer aux normes nationales et, dans certains cas, internationales : c’est le cas par exemple des exigences de Sarbanes-Oxley pour les banques cotées en bourse, concernant la protection, la sécurisation et le stockage de l'information, ou des Accords de Bâle qui ont introduit des règles strictes de protection des services informatiques des banques grâce à des solutions appropriées de reprise d’activité, en imposant des tests au moins une fois par an.

La conformité réglementaire exige une réelle transparence des processus et des procédures de disponibilité des données. Une non-conformité exposerait les banques à de lourdes amendes et des dommages sur la réputation de la marque. Parmi les réflexes à développer, le cryptage et la sécurisation de l'accès aux données sont essentiels pour maintenir la confidentialité des informations des comptes clients ; la disponibilité de tous les systèmes doit également être garantie. Par ailleurs, les données provenant de bureaux distants et de succursales devraient être centralisées et archivées pour protéger la confidentialité du client et assurer la disponibilité continue d'informations historiques sur les comptes.

Les fintech sont encore peu voire pas réglementées et ont beaucoup moins de contraintes concernant la protection des données et de leur disponibilité. Pourtant, il s’agit d’une exigence forte des consommateurs qui entendent pouvoir accéder 24h/24 à leurs informations personnelles en se connectant sur leur compte à partir de leur ordinateur ou leur appareil mobile. Pour s’y conformer, tout l’écosystème des fintech doit être davantage réglementé pour être en mesure de proposer une protection de premier ordre.