Simplification de l’accès aux services web bancaires – Ou en est-on 2 ans après la révision de la Directive des services de paiement ?
En novembre 2015, l’Union Européenne approuvait la révision de la Directive des Services de Paiement (DSP2), promettant à la fois de simplifier l’accès aux informations et à la gestion de la banque en ligne pour les utilisateurs, tout en préservant la nécessaire sécurité de ces accès.
Presque deux ans après, le régulateur Européen a travaillé avec les parties prenantes (représentants du secteur financier et des utilisateurs) et publié, le 23 février 2017, une proposition sur des règles de sa mise en oeuvre.
Mais où en sommes-nous concrètement aujourd’hui pour les utilisateurs concernés? C’est à dire : les entreprises et les particuliers, les institutions financières, les éditeurs de solutions numériques.
L’engouement du marché est indéniable
Le développement rapide des applications en ligne conduit à la mise en œuvre de nombreuses solutions innovantes, qui se divisent en deux catégories principales, en résumé :
- L’agrégation de comptes bancaires – ou l’utilisateur dispose d’un service centralisé dans lequel il reçoit toutes les informations concernant les mouvements sur ses différents comptes.
- L’initiation de paiements – ou l’utilisateur dispose d’un service à partir duquel il peut gérer tous ses paiements, quelle que soit la banque ou le moyen de paiement utilisé. Idéalement l’utilisateur pourra effectuer ces paiements à partir de ses propres outils; comme par exemple une solution de gestion des dépenses, dans laquelle une entreprise ou un particulier traite ses factures.
Ces services font partie d’un mouvement de fond vers l’Open Banking, très bien exposé dans cette vidéo.
Il existe aujourd’hui de nombreuses propositions de solutions permettant l’agrégation de comptes bancaires qui se sont développées sans cadre réglementaire et dont la sécurité est plus ou moins bien assurée. Un nouveau marché s’est créé sur ce créneau et son succès n’est plus discutable. Les utilisateurs de ce type de service sont de plus en plus nombreux. Ils sont attirés par la fluidité, l’immédiateté et l’universalité de l’accès à leurs banques. Mais il est devenu nécessaire d’édicter un certain nombre de règles encadrant cette activité.
Comment ça marche actuellement
L’agrégation de comptes bancaires consiste à fournir au client, à partir d’un seul site, application ou service et d’une seule identité, une vue de l’état de l’ensemble de ses comptes bancaires, quel que soit le ou les établissements financiers les hébergeant. Pour pouvoir réaliser cela, à l’heure actuelle, le service d’agrégation doit disposer des différents accès de son client aux établissements financiers auxquels il souhaite accéder.
Les schémas ci-après montrent les modes de fonctionnement de la consultation de comptes bancaires avec un agrégateur (avant la mise en œuvre de la DSP2) :
Légende
-
Les utilisateurs – particulier ou entreprise – inscrivent leurs identifiants d’accès aux sites bancaires dans leur application (par exemple une application de gestion de leurs banques ou une application de comptabilité), qui se doit de les gérer de façon sécurisée
-
L’application, directement ou à l’aide d’une solution spécialisée (API) automatise les opérations de récupération des informations bancaires
-
Les informations (Transactions et Balance) sont importées automatiquement – depuis une ou plusieurs banques – là oú l’utilisateur souhaite les centraliser pour suivre l’ensemble de ses informations bancaires.
Processus : En résumé – L’agrégateur enregistre les identifiants du client et utilise sa propre technologie pour passer par le même système d’authentification que le client sur le site web de la banque. La banque ne reconnaît pas l’agrégateur lorsqu’il se connecte, elle le prend pour le client.
Bénéfices : Système simple, un seul acteur travaille : l’agrégateur. Il s’adapte aux différents environnements proposés par les banques. L’agrégateur est autonome vis à vis de la banque qui ne peut pas le bloquer sans bloquer son client.
Inconvénients : La banque ne sait pas que l’agrégateur se connecte pour le compte du client. Les identifiants sont stockés par l’agrégateur. Le système n’est pas stable car à chaque évolution du site bancaire, l’agrégateur doit intervenir sur sa technologie. En confiant ses identifiants le client viole les conditions générales d’utilisation de sa banque et en cas de piratage de son agrégateur, il pourrait subir des dommages non assurés par sa banque.
Et que nous dit le standard proposé par le régulateur Européen (EBA)?
Le régulateur bancaire Européen EBA a publié un projet de règles de mise en oeuvre (RTS) le 23 février.
En résumé, voici ce qui en résulte pour ces nouvelles solutions:
- Sécurisation de l’accès du service d’agrégation/initiation à la banque – Lors de la première connexion au service par l’utilisateur, celui-ci doit utiliser une méthode renforcée (par exemple un code SMS d’une durée de validité de quelques minutes) pour confirmer à sa banque qu’il autorise la connexion à son compte. C’est ce qu’on appelle l’authentification forte.
- Renouvellement trimestriel des autorisations – L’autorisation de l’utilisateur est valable pour une certaine période, ce qui facilite la vie à l’utilisateur et permet une certaine automatisation du service. Mais cette autorisation doit être renouvelée régulièrement, pour protéger l’utilisateur au cas ou il souhaiterait arrêter son service.
- Règles adaptées aux montants des paiements et aux bénéficiaires – Afin de concilier la facilité d’usage et la prise en compte des risques pour l’utilisateur, les mécanismes d’autorisation des paiements seront renforcés dans certains cas, par exemple selon l’importance des sommes.
Si vous voulez en savoir plus
Si vous êtes éditeur de solutions de gestion ou d’applications internet pour entreprises ou particuliers, association sectorielle d’entreprises, association d’utilisateurs particuliers ou expert, et que vous souhaitez contribuer au débat et à nos travaux n’hésitez pas à nous contacter ici.
Nous publierons bientôt un article sur les implications juridiques de les nouveaux services d’agrégation bancaire et initiation de paiements.
Si vous souhaitez recevoir des futurs articles sur ce sujet inscrivez-vous ici.
Cet article est basé sur les travaux du Groupe de Travail eFinance de la Fédération des Tiers de Confiance du Numérique. (voir liste des participants)
La Fédération des Tiers de Confiance du Numérique
Créée en 2001, la Fédération des Tiers de Confiance du Numérique est aujourd’hui l’une des organisations les plus visibles de l’écosystème numérique.
Elle présente l’originalité d’agréger dans le même cénacle, des opérateurs, des experts, des professions réglementées, des Institutions, des personnes qualifiées, et des start-ups.
Elle opère avec pertinence la fusion de la technologie avec le droit et le « chiffre dans les domaines de la signature électronique, archivage électronique, identité numérique, facture électronique, vote électroniques, e-finance, e-santé, … mais également dans ses domaines montants : Cachet électronique visible, Big Data, objets connectés, Blockchain …
Respectueuse de règles d’éthique, la FNTC concourt fortement à la vulgarisation des bonnes pratiques au sein de ce marché en produisant sous la forme de « guides » une importante doctrine dans les domaines de la Confiance et du Digital, en élaborant des référentiels techniques, et en contribuant à la délivrance de labels et à la normalisation nationale et internationale.La Fédération des Tiers de Confiance du Numérique est un espace de savoirs et d’expertises technologiques et juridiques, mais également économiques et organisationnelles, dont la mise en oeuvre participe à la production d’une digitalisation fiable et sereine et permet de percevoir la transition numérique en termes d’opportunités et non plus de risques.
Ses 120 membres offrent au marché du Numérique un inestimable gisement de compétences dans les domaines historiques de la digitalisation.
La Pépinière de la Confiance du Numérique
La « Pépinière« , est une unité essentielle de la FNTC. Cette Cellule est dédiée aux start-up (moins d’un an d’existence) exerçant une activité en lien avec la notion de confiance dans le numérique (technique ou usage) et qui souhaitent intégrer un écosystème.
Elle fédère des néo-entrepreneurs qui font preuve de dynamisme créatif : audacieux, imaginatifs, déterminés, ils disposent d’un potentiel illimité pour façonner l’avenir du Numérique.
C’est au travers des métiers et de l’expertise représentés à la FNTC que ces jeunes entreprises viennent chercher des appuis auprès de leurs parrains, des relais et de l’information.
En échange, l’innovation de ces sociétés vient accélérer et compléter la réflexion et les travaux produits lors des réunions des groupes de travail de la Fédération.