Services d'agrégation de comptes bancaires : mise en garde de la CNIL

  • Par cBanque
  • 4 commentaires
Paiement en ligne
© Vladimir Gerasimov - Fotolia.com

Sur France Info, une porte-parole de la Commission nationale Informatiques et Libertés (CNIL) a récemment pointé les risques liés à l’utilisation des services d’agrégation de comptes bancaires, qui se développent sur Internet.

Ces services, parfois désignés par leurs initiales anglo-saxonnes (PFM pour Personal Finance Management) permettent de rassembler dans une même interface logicielle, accessible depuis Internet, les données issues de plusieurs comptes bancaires, même lorsqu'ils sont détenus par des établissements différents. Une fois collectées, ces informations sont triées et peuvent être visualisées sous formes de statistiques ou de schémas. Très pratique pour gérer les différents postes de son budget, ou prévenir les découverts.

Ces agrégateurs de compte sur Internet font progressivement leur apparition en France, par l’intermédiaires de banques (le Money Center de Boursorama, par exemple), mais aussi d’acteurs extra-bancaires. C’est le cas par exemple de Linxo, une start-up qui s’est lancée il y a un an, en septembre 2010.

Pas de sécurité absolue

Quels sont les risques potentiels présentés par ces nouveaux services ? C’est la question qu’a récemment posée France Info à Sophie Vulliet-Tavernier, porte-parole de la CNIL.

Le premier écueil, selon elle, concerne la protection des données. Après inscription, le service d’agrégation vous demande en effet de fournir l’identifiant et le mot de passe de connexion au site internet de votre (ou vos) banque(s), afin qu’il puisse collecter vos données bancaires. Cet échange de données et leur stockage sur des serveurs peuvent présenter des failles en terme de sécurité, exploitables par des fraudeurs. Un risque que ne nie pas Linxo qui, dans ses conditions générales, précise qu’il fait « ses meilleurs efforts, conformément aux règles de l’art, pour sécuriser l’espace utilisateur eu égard à la complexité de l’internet » mais « ne saurait cependant assurer une sécurité absolue. »

Un risque juridique

Deuxième risque, cette fois de nature juridique. Selon Sophie Vulliet-Tavernier, le fait de fournir à un tiers ses identifiants de connexion peut être considéré comme une entorse à la convention de compte. En cas d’utilisation frauduleuse de vos données bancaires, votre banque peut alors se dégager de toute responsabilité et, par exemple, refuser de rembourser un éventuel préjudice financier.

Enfin, ces nouveaux services de gestion de finance personnelle posent la question de l’utilisation commerciale des données collectées. Contrairement aux établissements financiers, ces agrégateurs, dont l'usage est gratuit, ne sont pas soumis au secret bancaire. Leur modèle économique repose sur l’utilisation de vos données bancaires à des fins de prospection commerciale, via des newsletters ou des publicités ciblées affichées sur le site. Et ce même s’ils s’engagent à rendre anonymes les informations fournies à leurs annonceurs. 

Au final, il s’agit donc, avant de se lancer, de mesurer l’ensemble des risques par rapport au service apporté, et de lire très attentivement leurs conditions générales d’utilisation.

Retrouvez l'interview de Sophie Vulliet-Tavernier sur le site de France Info.

Partager cet article :

© cbanque.com / VM / Septembre 2011

Commentaires

Publié le 22 septembre 2011 à 08h00 - #1Patrice

Un début de solution, relativement simple et qui serait utile aussi pour d'autres usages, serait que les banques instaurent un identifiant de connexion réservé à la consultation. Comme il est esquissé par WeBank dans son application iPad ([lien bloqué]

Publié le 22 septembre 2011 à 11h20 - #2Alexandre

En réponse au commentaire de Patrice :

En réalité c'est déjà le cas, les banques sont d'ailleurs obligées de demander une authentification forte depuis fin 2009 selon la Directive de l'Union Européenne sur les Services de Paiement (2007/64/CE) pour les opérations dites "sensibles" comme les virements externes.

Il existe donc bien deux niveaux d'authentification : un pour consulter ses comptes et un pour faire des virements.

Les services d'agrégation bancaire comme MonySpot ne demandent en aucun cas ce deuxième niveau d'authentification mais uniquement les identifiants permettant de consulter ses comptes en lecture seule.

Alexandre Aubry
[lien bloqué]

Publié le 22 septembre 2011 à 12h01 - #3mickael

@Alexandre, il est vrai que l'authentification renforcée permet d'éviter les virements externes mais quelques opérations sensibles restent possibles :

- Révocation de la carte bleu
- Révocation de la carte d'accès renforcée (Crédit Mutuel)
- Virements auprès de bénéficiaires déjà enregistrés

De quoi mettre tout de même une bonne pagaille. Surtout si on ne fait pas le ménage dans le bénéficiaires enregistrés.

Au final, il faudrait un système de gestion des droits comme le font les réseaux sociaux sur Internet (demander des autorisations spéciales sur telle ou telle données). Mais quel serait l'intérêt pour une banque de faire cela ?

Publié le 22 septembre 2011 à 18h14 - #4Bruno

@Alexandre @Patrice : tout a fait d'accord avec vous et ces précisions étaient nécessaires.

Tous les acteurs du PFM en France ont fait des déclarations CNIL et elles ont été acceptées. Pourquoi donc une telle interview sans les avoir consultés ? Pourquoi ne pas interviewer également des utilisateurs de ces nouveaux services d'agrégation qui gagnent en popularité pour mieux comprendre leur besoin...

Les banques américaines ont tenté de bloquer l'agrégation de comptes aux Etats Unis lorsque les premiers services sont sortis (ils étaient d'ailleurs proposés par d'autres banques). Mais la pression des consommateurs les a fait faire marche arrière.

Dans le contexte économique actuel, la multibancarisation augmente car les Français ne veulent pas mettre tous leurs oeufs dans le même panier. Et ils demandent plus de visibilité sur leurs finances. L'agrégation de comptes répond à ce besoin légitime.

Je suis donc surpris de voir cette mise en garde de la CNIL. Je suggère plutôt de faire une évaluation précise des risques avec les acteurs du PFM et des banques, puis de voir comment apporter aux utilisateurs des garanties.

Bruno Van Haetsdaele, Président de Linxo