Les normes de sécurité de la DSP2 : un frein à l'open banking ?

Les fintech voient le niveau de sécurité de la nouvelle directive européenne sur les services de paiement comme une entrave à l’ouverture des données bancaires.

En septembre 2019, les standards techniques (Regulatory technical standards - RTS) de la DSP2 devront être appliqués. Face aux exigences, agrégateurs et autres tiers de paiement (TPP) continuent de batailler pour les abaisser avant la date fatidique. Ils reprochent aux banques d'avoir imposé des normes nuisibles à l’expérience du client et au final à l’essor de l’open banking. Or leurs arguments vont à l'encontre de la condition sine qua none du succès de ce nouveau modèle économique, la protection des données financières échangées. 

Des règles d’authentification forte en harmonie avec la technologie et son utilisation 

La DSP2 rend obligatoire l’authentification forte. Désormais accéder à un service de paiement à distance nécessite d’une personne de fournir une information connue d’elle seule, une preuve de possession d'un objet défini et une caractéristique personnelle unique. Par exemple, respectivement, un mot de passe, l’identifiant unique de son mobile et son empreinte digitale. L'authentification d'un utilisateur est considérée comme forte si à minima deux de ces trois composantes sont réunies.

Plus de 71% (source Wearesocial.com) des français possèdent un smartphone avec toutes les fonctionnalités nécessaires à une authentification forte. Inscrire au sein d’une application mobile les étapes clés de celle-ci est devenu une formalité, comme pour acheter sur Amazon. De plus, les pratiques digitales, comme s'identifier à l'aide d'un login et mot de passe ou valider un paiement à l'aide d’un code reçu sur son mobile, le 3D-Secure, sont entrées dans les mœurs. 

Le contrôle des banques, une assurance pour les clients 

Jusqu'à présent, les TPP manipulent les données de leurs clients par la technologie de web scraping. Cette technique consiste à l'aide d'un robot à simuler l'utilisateur naviguant sur sa banque en ligne. Elle présente un risque patent de perte de confidentialité et d’actes malveillants pour celui-ci, car elle ne permet pas d'identifier la personne ayant autorisé l’acte, et n’apporte aucune certitude sur les informations réellement récupérées par le logiciel. Avec la DSP2, les banques peuvent protéger leurs usagers de l'open banking. Ses RTS rendent obligatoire l'usage d’API, des connecteurs permettant aux applications d'interagir entre elles via le web de manière sécurisée. Dans ce cadre, les TPP doivent être autorisés à la fois par le client et la banque pour agir sur le compte de ce dernier. 

Renforcer les RTS pour se mettre au diapason du RGPD 

Une fois accrédités, les TPP obtiennent 90 jours d'exploitation sur un périmètre limité de données. Défini par la banque, celui-ci est connu du client. En revanche, le délai consenti pose question. Que se passera-t-il si, par exemple, le client change de banque ? Qu'il devient interdit bancaire ? Ou toutes autres raisons restreignant l'accès à son compte ? 

Le RGPD, règlement européen sur les données personnelles, a énoncé plusieurs principes clés, notamment le droit à leur effacement et leur droit à la portabilité. Dans ces deux cas, les RTS ne mentionnent aucune méthode permettant à un client d’extraire ou de supprimer ses données d'un TPP. Les entreprises et les établissements bancaires sont libres de trouver le meilleur moyen pour traiter la suppression des données personnelles en cas de demande client, sans aucune garantie sur la mise en œuvre effective. 

Les revendications des fintech à contresens d’un accord de Place

Aujourd’hui les fintech continuent de réclamer la modification des RTS auprès des établissements bancaires de la Place et des autorités. Elles souhaitent des ajustements pour assouplir les règles de l'authentification forte, collecter plus d’informations sur les utilisateurs, voir même continuer le web scraping. La raison officielle de leurs motivations est de maximiser le confort de l'usager. Les nouveaux RTS placent les banques au centre. Chaque demande concernant les données d’un client est soumise à l’approbation de ces dernières. De facto, les TPP en deviennent tributaires. S'ils n'obtiennent pas de certification ou s’ils n’utilisent pas correctement des API bancaires, il est impossible pour eux de s'y connecter. A la moindre défaillance, ils risquent la perte de leur clientèle. Leur objectif semble plutôt de minimiser ce danger bien réel. 

Au Royaume-Uni, dès 2016, la CMA, l'autorité chargée de la concurrence et des marchés, fonde avec les neuf plus grandes banques du pays, Open Banking Limited. Le rôle de cet organisme est d’établir les standards techniques et d’orchestrer les échanges entre l'ensemble des acteurs financiers de l’open-banking bien au-delà de la DSP2. Pour la France, la création d'une telle structure sortirait TPP et banques de ce bras de fer. Sans plus de collaboration, celui-ci risque de continuer bien après septembre 2019.