Directive européenne

Tensions sur l’accès aux données clients des banques

21 Juillet 2017 Par Jean-Michel Hennebert
Commission européenne
La Commission européenne doit publier les normes techniques réglementaires liées à la directive DSP2 d’ici la rentrée, pour une entrée en vigueur le 13 janvier 2018. (Photo: Union européenne)

L’entrée en vigueur, à compter du 13 janvier 2018, de la directive révisée des services de paiement (DSP2) amène nombre d’interrogations au sein des établissements bancaires, qui devront ouvrir leurs données aux prestataires de service de paiement mandatés.

Adoptée le 25 novembre 2015, la directive DSP2 doit amener à une petite révolution dans le monde bancaire. Celle de mettre en place l’accès libre et gratuit aux données des comptes de paiement des clients. Et donc de mettre un terme au sacro-saint secret qui entoure cette question au sein des banques depuis des décennies.

À compter du 13 janvier 2018, date d’entrée en vigueur du texte, tout prestataire de service de paiement mandaté pourra avoir accès à ces données pour les agréger et les exploiter afin d’aider le consommateur à gérer ses comptes, voire à effectuer pour lui des paiements. Un défi sur le plan technique, dans un contexte de hausse de la cybercriminalité, que la Commission européenne doit relever en présentant d’ici quelques semaines les normes techniques réglementaires spécifiques.

Le web scraping ne nous convient pas, car cette solution n’est pas sécurisée.

Marc Hemmerling, general counsel digital banking and fintech de l’ABBL

Sauf qu’à l’heure actuelle, deux options s’affrontent encore. L’une, soutenue par les banques et l’Autorité bancaire européenne, l’autre par les pionniers de l’agrégation de compte et de l’initiation au paiement. Alors que la première vise à mettre en place un accès via un protocole d’échange informatique (API) spécifique pour permettre un accès aux seuls comptes de paiement, la seconde tient dans un accès plus large via la technique dite du «web scrapping». Autrement dit, la recherche d’informations sur les données clients via leur identifiant et leur mot de passe.

«Le web scraping ne nous convient pas car cette solution n’est pas sécurisée», résume Marc Hemmerling, general counsel digital banking and fintech de l’ABBL. Pour le représentant des banques de la Place, les discussions «menées actuellement au sein d’un groupe de travail avec le ministère de l’Économie» visent avant tout à «répondre aux aspects non clarifiés dans la directive et donc dans le projet de loi en cours de rédaction et qui devrait être déposé à la Chambre début septembre».

Une porte ouverte à bon nombre d’incertitudes.

Marc Hemmerling, general counsel digital banking and fintech de l’ABBL

L’existence, encore à ce stade, de divergences entre les différents acteurs européens aura un impact sur la mise en application réelle de cette obligation. Car si la Commission doit faire son choix sur les normes techniques d’ici la rentrée, ce dernier devra être validé par le Parlement européen, ce qui ne devrait pas se faire au plus tôt avant l’automne. De quoi reporter au deuxième semestre 2019 sa mise en place, puisque 18 mois sont nécessaires pour permettre aux différentes banques d’implémenter la solution adoptée.

«Ce décalage n’est clairement pas une bonne chose, car cela représente une porte ouverte à bon nombre d’incertitudes», estime le représentant de l’ABBL qui entend, d’ici là, «jouer le rôle de soutien pour les banques afin de les aider à comprendre ce qui va changer pour elles».