Les banques veulent profiter de la mise en œuvre de la directive révisée sur les services de paiement (DSP2) pour faire interdire le « web scraping », une technique utilisée actuellement par les services d’agrégation de comptes. En jeu : la maîtrise des données confidentielles des clients bancaires.
Suite du bras de fer entre les banques et les fintechs autour de la DSP2. Dans un communiqué publié le 2 juin, la Fédération bancaire européenne (FBE), qui représente au niveau continental les différents lobbys nationaux - notamment la Fédération bancaire française -, a réitéré sa demande, adressée aux institutions européennes, d’une interdiction du web scraping.
Cette technique est actuellement utilisée, entre autres, par les services d’informations sur les comptes (AIS) - les agrégateurs du type Bankin’ et Linxo en France - pour récupérer les données de paiement de leurs usagers, dans le dos des banques. Ces services tiers se font en effet passer pour le client - qui leur a confié en amont ses identifiants de connexion -, se connectent à son espace bancaire en ligne et récupèrent, dans le code source du site, les données en question. Depuis peu, la même technique permet également à l’utilisateur de Bankin’ d’initier des virements.
Une technique pratiquée aussi par les banques
Pour la FBE, le web scraping menacerait « la confidentialité des données clients, la cybersécurité et l'innovation ». Une déclaration qui peut étonner : la technique, en effet, est également utilisée par un nombre croissant de banques - la Société Générale, ses filiales Boursorama et le Crédit du Nord, BPCE, HSBC, etc. - pour proposer à leurs clients des outils avancés de gestion budgétaire. D’autres enseignes - Crédit Mutuel Arkéa, Crédit Agricole - ont pris des parts dans Linxo, un des principaux acteurs de ce marché.
Pour autant, la pratique du web scraping est de fait sur la sellette. Dans le cadre de la mise en œuvre technique de la DSP2, l’Autorité bancaire européenne (EBA) a proposé de l’interdire au profit d’interfaces interopérables (API) fournies par les banques aux services tiers. Une solution évidemment soutenue par la FBE, qui y voit « la création d'un écosystème fiable et efficace (…) pour une communication fiable entre les tiers de paiement et les banques ».
La Commission européenne du côté des fintechs
Les tiers de paiement en question, en revanche, ne sont pas du même avis. Ils craignent en effet que les banques ne jouent pas le jeu et leur fournissent des API volontairement limitées, avec un accès a minima aux données souhaitées. Dans une déclaration commune publiée courant mai, 65 fintechs européennes ont ainsi signé un manifeste commun, dénonçant un risque de détournement de l’esprit de la DSP2 et demandant à la Commission européenne d’intervenir auprès de l’EBA pour que le web scraping reste autorisé, comme solution alternative aux API. Une demande entendue par la Commission européenne, qui a demandé à l’EBA de revenir sur sa recommandation.
Les institutions européennes vont-elles continuer à soutenir les fintechs, malgré la forte pression des banques ? Ces dernières, en tout cas, semblent déterminées à ne pas lâcher l’affaire. L’enjeu, il faut dire, est stratégique. Au-delà des questions des sécurité, il s’agit surtout pour elles de garder la maîtrise des données confidentielles de leurs clients, véritable « or noir » de l’économie numérique et énorme source potentielle de revenus.
