Avec l’entrée en vigueur de la directive européenne sur les services de paiement (DSP2) en 2018, les agrégateurs de comptes - Bankin’, Linxo et consorts - vont obtenir un statut, attaché à un certain nombre d’obligations. Le point.

C’est, selon les principaux intéressés, une des raisons d’être de la DSP2 : les agrégateurs de comptes, qui ont opéré jusqu’ici dans un certain flou, vont devoir rentrer dans les clous. Une évolution qui ne se fait pas aux dépens des acteurs de ce marché - citons en France Bankin’, Linxo ou Budget Insight -, mais qui était au contraire attendue. Tous espèrent en effet y trouver une légitimité et une crédibilité, et développer ainsi un fonds de commerce encore limité.

Lire aussi : DSP2 : « Le danger pour les banques vient de Google ou d'Apple, pas des fintechs »

Première avancée sur la voie de la respectabilité : les « agrégateurs » - appelés ainsi, un peu par défaut, parce qu’ils agrègent dans une même interface des données bancaires venues de diverses sources - vont y gagner une dénomination officielle.

La directive les désigne en effet comme des « prestataires de services d’information sur les comptes » - qu’on abrégera en SIC - et en donne même une définition : il s’agit d’un « service en ligne consistant à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l’utilisateur de services de paiement soit auprès d’un autre prestataire de services de paiement, soit auprès de plus d’un prestataire de services de paiement ». Précisons que ce service d'information sur les comptes peut aussi être fourni par un établissement de crédit (une banque) ou un établissement de paiement.

L’accent sur la sécurité

Pour obtenir ce statut, les candidats pourront se contenter d'un simple enregistrement auprès du régulateur du secteur financier, l’Autorité de contrôle prudentiel et de résolution. Cette dernière s'assurera qu'ils seront en mesure de respecter certaines normes de sécurité :

  • veiller par exemple à la confidentialité des « données de sécurité personnalisées » (par exemple les codes d’accès à l’espace bancaire en ligne) de leur utilisateur ;
  • respecter aussi les normes techniques d’identification et de communication sécurisées définies par l’Autorité bancaire européenne ;
  • accéder enfin aux seules données des comptes de paiement expressément désignés par les utilisateurs, et n’utiliser, ne consulter ou ne stocker ces données qu’aux seules fins de la fourniture du service d’information sur les comptes.

Outre l’ACPR, la Banque de France aura également pour mission de veiller à ce que les transmissions d’informations entre les gestionnaires des comptes de paiement - les banques, les établissements de paiement, les établissements de monnaie électronique - et les SIC sont correctement sécurisées.

Les refus d’accès devront être motivés

Une fois dûment enregistrés, les SIC auront un droit : celui d’accéder aux comptes désignés par leurs utilisateurs, sans que les gestionnaires de ces comptes puissent s’y opposer. Ces derniers auront en effet l’obligation de traiter les demandes « sans aucune discrimination, autre que fondée sur des raisons objectives », précise le nouveau cadre.

Quelles pourraient être ces « raisons objectives » ? Le texte ne le dit pas. On sait en revanche que les teneurs des comptes ne pourront fermer la porte de leurs données à un service d’information sur les comptes que dans un cas de figure : lorsque ce dernier se rend coupable d’« accès non autorisé ou frauduleux au compte de paiement ». Ce refus d’accès devra d’ailleurs être motivé, documenté et notifié « immédiatement » à la Banque de France, qui devra évaluer l’incident, prendre d’éventuelles mesures et « si elle l’estime nécessaire » en informer l’ACPR, qui aura le pouvoir de « désenregistrer » l’agrégateur.

Désaccords sur les normes techniques

Reste une question : quand ce nouveau cadre entrera-t-il en vigueur ? Pas à l’entrée en vigueur de la directive, le 13 janvier 2018, mais 18 mois après à la publication d’un « acte délégué européen » fixant les normes techniques de mise en œuvre des mesures de la DSP2. Une période d’adaptation au cours de laquelle les acteurs existants pourront faire leur demande d'enregistrement. En attendant, ils continueront à continuer leur activité, sans que les gestionnaires de comptes de paiement puissent leur interdire l’accès à leurs données.

Problème : prévue initialement à la fin de l’année 2017, la publication de ces normes pourrait être retardée. Elles donnent en effet lieu à un bras de fer entre les banques et l’Autorité bancaire européenne d’un côté, les fintechs et la Commission européenne de l’autre. Afin de sécuriser les échanges de données avec les SIC, les premières demandent l’utilisation systématique d’API, des interfaces de programmation sécurisées. Les secondes, elles, craignent que les banques ne verrouillent ces API, et souhaitent pouvoir continuer à utiliser la technique dite du web scraping, qu’elles utilisent actuellement. A suivre donc.

Lire aussi : DSP2 : la fédération bancaire européenne envisage un report