Bruxelles encadre l’accès des fintech aux données des banques

le 20/11/2017 L'AGEFI Quotidien / Edition de 7H

La Commission européenne devrait consacrer ce vendredi l'usage des interfaces API comme voie d'accès aux informations des comptes bancaires des particuliers.

Bruxelles encadre l’accès des fintech aux données des banques
(Fotolia)

Pour les banques comme pour les fintech, le texte est attendu avec impatience. C'est finalement ce vendredi que la Commission européenne compte publier les «normes techniques de réglementation» (ou RTS) qui préciseront les modalités d'application de la directive sur les services de paiement (DSP 2).

Quoique technique, le texte est crucial. Il doit notamment préciser la façon dont certaines fintech – intermédiaires de paiement ou agrégateurs de compte – accèdent aux détails des comptes bancaires de particuliers.

Actuellement, ces acteurs obtiennent ces informations via la méthode du screen scraping, c'est-à-dire en utilisant les mêmes codes et identifiants que les particuliers. Mais les RTS devraient consacrer l'usage d'interfaces dédiées, nommées API, qui permettent aux fintech d'être identifiées comme telles lorsqu'elles accèdent à ces informations. Pour les banques comme pour l'Autorité bancaire européenne (EBA), ces interfaces constituent le meilleure équilibre entre fonctionnement des fintech et sécurité des informations.

Du côté des fintech, en revanche, on ne voit pas cela d'un si bon œil. Pour certains acteurs, ces plates-formes dédiées permettront aux banques de mieux contrôler – et éventuellement de restreindre – cet accès. La Commisssion aurait donc inclus une voie de recours dans ses standards techniques : si l'API d'une banque ne fonctionne pas – ou, plus concrètement, si 5 connexions via l'API échouent sur une période de 30 secondes – les fintech pourront se rabattre sur le screen scraping.

Une solution qui fait pousser des cris d'orfraie aux banques. «C'est beaucoup trop strict !», s'insurge une lobbyiste, qui précise qu'un tel taux d'échec sur cette durée de connexion peut être causé par un trafic trop important sur l'API, par une opération de maintenance, ou par une attaque pirate – et ce malgré la qualité de l'API. «Mais dans ce cas, tout le site internet sera hors d'usage, et le screen scraping ne fonctionnera pas», répond une source européenne, visiblement agacée du lobbying des banques à ce sujet.

Dans tous les cas, le débat est loin d'être fini. Une fois dévoilés, les RTS doivent être examinés par le Parlement et les Etats membres, qui peuvent les rejeter. S'il n'y a pas de rejet, les RTS rentreront en vigueur au bout de 18 mois. La directive, elle, sera en place dès la mi-janvier 2018.

Sur le même sujet

A lire aussi