Sur France Info, une porte-parole de la Commission nationale Informatiques et Libertés (CNIL) a récemment pointé les risques liés à l’utilisation des services d’agrégation de comptes bancaires, qui se développent sur Internet.

Ces services, parfois désignés par leurs initiales anglo-saxonnes (PFM pour Personal Finance Management) permettent de rassembler dans une même interface logicielle, accessible depuis Internet, les données issues de plusieurs comptes bancaires, même lorsqu'ils sont détenus par des établissements différents. Une fois collectées, ces informations sont triées et peuvent être visualisées sous formes de statistiques ou de schémas. Très pratique pour gérer les différents postes de son budget, ou prévenir les découverts.

Ces agrégateurs de compte sur Internet font progressivement leur apparition en France, par l’intermédiaires de banques (le Money Center de Boursorama, par exemple), mais aussi d’acteurs extra-bancaires. C’est le cas par exemple de Linxo, une start-up qui s’est lancée il y a un an, en septembre 2010.

Pas de sécurité absolue

Quels sont les risques potentiels présentés par ces nouveaux services ? C’est la question qu’a récemment posée France Info à Sophie Vulliet-Tavernier, porte-parole de la CNIL.

Le premier écueil, selon elle, concerne la protection des données. Après inscription, le service d’agrégation vous demande en effet de fournir l’identifiant et le mot de passe de connexion au site internet de votre (ou vos) banque(s), afin qu’il puisse collecter vos données bancaires. Cet échange de données et leur stockage sur des serveurs peuvent présenter des failles en terme de sécurité, exploitables par des fraudeurs. Un risque que ne nie pas Linxo qui, dans ses conditions générales, précise qu’il fait « ses meilleurs efforts, conformément aux règles de l’art, pour sécuriser l’espace utilisateur eu égard à la complexité de l’internet » mais « ne saurait cependant assurer une sécurité absolue. »

Un risque juridique

Deuxième risque, cette fois de nature juridique. Selon Sophie Vulliet-Tavernier, le fait de fournir à un tiers ses identifiants de connexion peut être considéré comme une entorse à la convention de compte. En cas d’utilisation frauduleuse de vos données bancaires, votre banque peut alors se dégager de toute responsabilité et, par exemple, refuser de rembourser un éventuel préjudice financier.

Enfin, ces nouveaux services de gestion de finance personnelle posent la question de l’utilisation commerciale des données collectées. Contrairement aux établissements financiers, ces agrégateurs, dont l'usage est gratuit, ne sont pas soumis au secret bancaire. Leur modèle économique repose sur l’utilisation de vos données bancaires à des fins de prospection commerciale, via des newsletters ou des publicités ciblées affichées sur le site. Et ce même s’ils s’engagent à rendre anonymes les informations fournies à leurs annonceurs. 

Au final, il s’agit donc, avant de se lancer, de mesurer l’ensemble des risques par rapport au service apporté, et de lire très attentivement leurs conditions générales d’utilisation.

Retrouvez l'interview de Sophie Vulliet-Tavernier sur le site de France Info.