L’application de la deuxième directive sur les services de paiement (DSP2) fait monter les tensions entre les banques. Dès 2018, les banques européennes devront offrir l’accès aux données de leurs clients à d’autres acteurs et notamment aux FinTech.
Les banques européennes sont fébriles. En effet, la directive révisée des services de paiement entrera en vigueur à partir du 13 janvier 2018. Les prestataires de services de paiement dûment mandatés pourront ainsi récupérer les données des clients de ces établissements bancaires. L’objectif de cette mesure est de « rendre les paiements européens plus sûrs et innovants ». Cependant, aux enjeux de sécurité s’ajoutent également la question du respect de la vie privée et la concurrence.
Des conditions d’application définies d’ici à la rentrée
Alors que la DSP2 organise l’accès libre et gratuit aux données bancaires abritées dans les établissements bancaires sur les comptes de paiement de leurs clients, la question de la sécurité se pose inévitablement. La Commission européenne devrait trancher sur ce sujet d’ici la rentrée en publiant les normes techniques et réglementaires (RTS) de la directive. Cependant, elle ne veut pas risquer un rejet par le Parlement européen. Deux options s’offrent à elle : privilégier un accès par un protocole d’échange informatique (API), qui permettrait de formaliser les informations qui seront fournies pour les besoins du tiers de paiement, selon le mandat que lui aura donné le client. L’utilisation de la technique du « web-scraping » est également une option. Elle consiste à chercher les données des clients grâce à leur identifiant et mot de passe. Toutefois, cette seconde option est « contraire aux exigences en matière d’authentification forte de la DSP2 » et « avantage les acteurs qui maîtrisent le mieux cette technique ». L’API permettrait quant à elle de mettre les acteurs sur un même pied d’égalité.
Les banques montent au créneau
Les établissements bancaires défendent leur rôle de « tiers de confiance » et décident de monter au créneau sur ce sujet qu’ils estiment « crucial ». Selon les informations du journal La Tribune, le patron de la Société Générale, Fréderic Oudéa, a écrit à Mario Draghi, le président de la Banque centrale européenne (BCE), et au Commissaire européen en charge des services financiers, Valdis Dombrovskis, et demande l’interdiction du web-scraping ainsi que le report de l’application de la DSP2. Le directeur général de la Société Générale s’est appuyé sur un avis très négatif rendu par l’Autorité bancaire européenne (EBA) ce 29 juin dernier. Il considère que la disposition pose problème du point de vue de la protection des données. S’il est favorable à l’essor des FinTech pour intensifier la concurrence, le Bureau européen des unions de consommateurs (BEUC) s’oppose lui aussi au web-scraping, comme le rappelle Fréderic Oudéa. Un autre argument est également avancé par les opposants au web-scraping : la cybersécurité. Après de nombreuses attaques informatiques mondiales, le partage des codes d’accès des clients pose des questions de sécurité générale des paiements en ligne.
Pour le moment, l’idée de repousser l’entrée en vigueur de la directive semble compliquée. Le gouverneur de la Banque de France a assuré qu’il ne transigerait pas avec les conditions de sécurité des dispositifs. Il rappelle également que « cette période transitoire pour les RTS avait initialement été demandée par les banques ».
