Dans le cadre de la nouvelle directive sur les services de paiement, les jeunes pousses du secteur financier vont devoir renoncer à la technique du « web scraping » pour accéder aux données des comptes de leurs usagers lorsqu'une API sera mise à disposition par les banques.

La Commission européenne a tranché, selon Les Echos : pour accéder aux données des comptes de paiements de leurs usagers, les jeunes pousses du secteur financier devront utiliser les interfaces de programmation (API) développées par les banques. En cas d'indisponibilité de l'API, un mode d'accès alternatif, grâce à une technique informatique appelée web scraping, sera conservé. La Commission a choisi le compromis entre des banques qui demandaient l'interdiction de cette technique, et les fintechs, qui souhaitaient son maintien inconditionnel.

L’API, le choix de l’EBA

Rappel des faits : dans le cadre de la directive révisée sur les services de paiements (DSP2), qui entrera en vigueur le 18 janvier prochain, des acteurs non bancaires, dûment agréés, vont être autorisés à accéder, avec l’accord de leurs utilisateurs, aux données de paiement de ces derniers, détenues par leurs banques. Il s’agit en fait de sécuriser et de donner un cadre réglementaire à de nouveaux services - agrégation de comptes, initiation de virements, etc. - dont le modèle économique est de monétiser les données bancaires de leurs usagers.

Lire aussi : Agrégateurs de compte : ce qui change en 2018

C’est l’Autorité bancaire européenne (EBA) qui a été chargée par la Commission européenne de concevoir les normes techniques réglementaires (RTS) encadrant cet accès aux données bancaires. Et très tôt, l’institution, qui déménagera prochainement à Paris, a fait le choix de ne retenir qu’une solution : celle de l’API.

Des fintechs tributaires des banques ?

Un choix qui a soulevé l’inquiétude des fintechs européennes. Celles-ci, en effet, utilisent aujourd’hui le web scraping pour récupérer les données utiles à leurs services. Des données liées aux comptes courants, mais aussi aux comptes épargne voire aux crédits de leurs utilisateurs.

Leur crainte, exprimée dans un manifeste signé par 65 d’entre elles en mai 2017, est que les API fournies par les banques n’autorisent qu’un accès a minima aux données, remettant en cause l’efficacité de leurs services. « Les normes prévues », prévenaient-elles, « forceront les fintechs à devenir technologiquement tributaires des banques », une évolution qui aurait un « impact négatif » sur leur modèle économique, et plus généralement sur « la concurrence » et « l’innovation en Europe ».

Un délai de 18 mois

Un bras de fer médiatique s’est alors engagé avec les banques, ces dernières appelant à de multiples reprises à l’interdiction du web scraping, décrit comme menaçant la confidentialité et la sécurité des données clients, et demandant même un report de l’entrée en vigueur de la directive.

Désormais, les banques ont 18 mois pour publier leur API. En attendant, les fintechs peuvent continuer à utiliser le web scraping. Elles pourront continuer à le faire passé ce délai, mais seulement en cas d'indisponibilité ou d'incompatibilité de l'API.

Mise à jour (24 novembre 2017, 09h45) - Précisions sur les cas où l'usage du web scraping restera possible.