Directive DPS2

Les banques obtiennent gain de cause face aux fintech

20 Novembre 2017 Par Jean-Michel Hennebert
Fintech
L'obligation pour les Fintech de passer par une API créée par les banques pour accéder aux données clients devrait entrer en vigueur au plus tôt à la mi-2019. (Photo: Licence C.C.)

À compter de la mi-2019, les jeunes pousses de la finance devront obligatoirement passer par des interfaces de programmation mises à disposition par les banques pour avoir accès aux données clients. Ce qui devrait avoir un impact sur le secteur.

Dans le conflit qui oppose depuis plusieurs mois les banques aux fintech, la Commission a finalement tranché définitivement en faveur de ces premières. Vendredi, l’exécutif européen a arrêté l’obligation d’utiliser un «accès par protocole informatique» (API) pour les jeunes pousses de la finance dûment mandatées, désireuses d’avoir accès aux données des comptes de paiement des clients. Et donc de bannir l’utilisation de la technique du «web scrapping» qui permet aux prestataires tiers d’accéder à ces données via l’utilisation des identifiants et des mots de passe des clients.

Cette décision, attendue dans le cadre de la mise en place de la directive révisée sur les services de paiement (DSP2), vise officiellement à faciliter, encadrer l’essor et sécuriser les nouveaux services proposés par les fintech, comme les agrégateurs de comptes. Un choix qui suit en grande partie les recommandations faites en juillet dernier par l’Autorité bancaire européenne (EBA) qui dénonçait notamment les risques de sécurité liée à la pratique du «web scrapping» alors que le cybercrime suit son essor. Même position pour l’ABBL, qui dénonçait alors «une solution non sécurisée» et qui représentait «une porte ouverte à bon nombre d’incertitudes».

Choix qui reste à valider par le Parlement

La mise en place des API, dont le développement est confié uniquement aux banques, dépositaire officiel des données clients, devra être réalisée d’ici à la mi-2019, soit 18 mois après l’entrée en vigueur des normes techniques réglementaires de la directive DSP2, fixée au 13 janvier 2018. Entre temps, les fintech restent autorisées à poursuivre leur collecte d’informations sans passer par une interface de programmation, mais avec l’obligation de signaler leur démarche auprès de la banque ciblée. Une fois les API opérationnels, le «web scraping» ne sera plus autorisé, sauf en cas de défaillance. «Ces API seront plus faciles à utiliser pour les fintech. Elles n’auront plus besoin de s’adapter en permanence aux systèmes en ligne de chaque banque», assure la Commission dans sa décision.

Reste désormais que le choix effectué par Bruxelles doit être validé par le Parlement européen, ce qui pourrait intervenir dans les semaines à venir. Si tel n’était pas le cas, l’entrée en vigueur du texte serait repoussée au second semestre 2019. Et donc maintenir encore un peu plus la situation actuelle, ce que veulent à tout prix éviter les banques.