Toute notre actualité

Accueil
Nous contacter Lire la suite
13Avr

LA DSP2, PLUS DE SÉCURITÉ POUR LES BANQUES ET LES FINTECHS, AU DÉTRIMENT DES CLIENTS ?

Le 23 février 2017, l’Autorité Bancaire Européenne, EBA, a publié la version finale de la Directive de Services de Paiement, la DSP2. Elle vise à réguler de nouveaux acteurs financiers et à améliorer la sécurité de leurs échanges. Si les informations bancaires des clients sont sécurisées, la vocation va-t-elle jusqu’à protéger les clients ?

 

UNE MULTIPLICITÉ DES ACTEURS POUR DE NOUVEAUX SERVICES BANCAIRES

C’est dans un contexte de multiplicité des services et des acteurs financiers que l’EBA a souhaité sécuriser les échanges d’informations bancaires. Aujourd’hui, un client peut, via un acteur tiers, consulter ses comptes bancaires sans passer par sa banque. L’utilisateur dispose alors d’une vision agrégée de tous ses comptes, issus de différentes banques, en un seul endroit. En France, des FinTechs tels que Linxo, Budget Insight, Bankin ou Gérermescomptes.com proposent ce service. Les banques, soucieuses de garder leur marché, lancent également leur service d’agrégation. Une fois les comptes agrégés, certains acteurs proposent à leurs utilisateurs des services à valeur ajoutée tels que l’initiation de paiements (effectuer un virement), le contact avec son conseiller ou la gestion de son budget. Pour permettre l’agrégation et ces services additionnels, Fintechs et banques s’appuient sur une technologie permettant l’accès aux informations bancaires du client.

 

DES SERVICES RENDUS POSSIBLES AVEC DES ROBOTS 

Pour permettre l’accès à ce service, les clients doivent donner leur accord, mais surtout leurs identifiants et mots de passe. Ces derniers permettent en effet aux acteurs tiers de se connecter au site des banques, en se faisant passer pour les clients. Le procédé « screen scraping » utilisé permet aux robots d’aspirer l’ensemble des données disponibles sur le site des banques en simulant l’action du client. Une fois récupérées, ces données sont ensuite restituées au client dans l’application de l’agrégateur.

 

COUP DE SIFFLET DE L’UNION EUROPÉENNE 

Par la DSP2, l’Union européenne siffle le coup d’arrêt ! L’Europe entend réguler les échanges de données bancaires, et surtout leur sécurité, par des normes techniques de réglementation (RTS). Des agréments vont être exigés aux tiers, par exemple l’AISP pour les agrégateurs de comptes, le PISP pour les initiateurs de paiements. Ils devront utiliser des systèmes d’authentification forte à deux facteurs. Dans son texte final, l’EBA limite le procédé de « screen scraping ». Le système d’ »API », Interface de Programmation Applicative, plus sécurisé, s’imposera désormais aux acteurs.

 

CONTRAINTES ET OPPORTUNITÉS POUR LES BANQUES ET LES FINTECHS 

La DSP2 peut être vécue comme une contrainte pour les grandes banques françaises, sommées de se mettre en conformité, en mettant à disposition de ces nouveaux acteurs, les API. Elles craignent ainsi de se voir dépossédées des informations sur leurs clients. En effet, l’analyse de ces informations permet de proposer les services les plus pertinents. L’enjeu est crucial pour les banques : garder la relation directe avec leurs clients. En contrepartie, les banques proposant le service d’agrégation pourront disposer des informations de leurs clients dans les autres banques.

Il s’agit d’une véritable opportunité pour les FinTechs. Après avoir bousculé le monde bancaire, elles disposeront désormais de moyens plus sécurisés et plus rentables pour poursuivre leurs activités. Les FinTechs devront néanmoins obtenir les agréments, tels que l’AISP ou le PSIP auprès de l’ACPR, Autorité de Contrôle Prudentiel et de Résolution.

La DSP2 sera soumise à la commission européenne pour adoption, puis sera examinée par le parlement européen d’ici octobre 2017. Les acteurs tels que les banques et les FinTechs disposeront alors d’un délai 18 mois, jusqu’à avril 2019, pour se mettre en conformité.

 

DES CLIENTS PROTÉGÉS MAIS UN COUP DE SIFFLET TIMIDE ?

Pour souscrire à ces nouveaux services, et ce, malgré ce qui leur est stipulé dans les Conditions Générales d’Utilisation (CGU) de leurs banques, nombre de clients prennent aujourd’hui le risque de fournir leurs identifiants et mots de passe. En acceptant ensuite les CGU des tiers, banques et FinTechs, ce sont donc bien les clients qui portent l’entière responsabilité en cas de fraude.

Grâce à la DSP2, les clients n’auront plus à divulguer leurs identifiants et mots de passe. Ils ne donneront plus ces informations à des tiers. Ils passeront par leur banque pour souscrire à ces services. Ensuite, les banques et les FinTechs échangeront les données bancaires du client de façon sécurisée (API).

Les API sécurisées deviennent obligatoires pour récupérer les données des comptes de paiement et pour initier les paiements. Pour autant, dans la proposition de texte actuelle, aucune réglementation n’est prévue pour les autres types de comptes tels que les comptes d’épargne, d’assurance vie ou les comptes titres. Pour ces comptes, les FinTechs continueront donc à simuler l’action de leurs clients, à raison de 4 fois par jour maximum. Pour continuer à disposer des services, les clients, quant à eux, communiqueront toujours leurs identifiants et mots de passe pour ces types de comptes.

 

S’ACCORDER PLUS LOIN QUE LA DSP2

Pour éviter cela, et faute de réglementation sur ces types de comptes, des accords bilatéraux entre les banques et les FinTechs peuvent s’engager. Les données des comptes d’épargne, d’assurance vie ou les comptes titres pourraient alors transiter en toute sécurité, et pour les établissements financiers, et pour les clients.

Tous les acteurs en tireraient des opportunités. D’un côté, les banques exploiteraient l’accessibilité à ce service payant dans un espace sécurisé. D’un autre côté, les FinTechs n’utiliseraient qu’une seule technologie et se concentreraient sur la mise à disposition de services innovants pour les clients.

 

Article rédigé par Marion Tastes, Consultante chez VIATYS conseil et Audrey Dhellemmes, Manager Senior chez VIATYS conseil, paru dans Les Echos 

Intéressé(e) par une carrière chez VIATYS conseil ?

Espace Carrière