Les agrégateurs de comptes bancaires offrent la possibilité de rassembler différents comptes détenus dans plusieurs banques, au sein d'une seule et même application, présentant ainsi à leurs utilisateurs une vision centralisée de leurs données financières. Cela est rendu possible grâce à la technique du Web Scraping qui consiste à extraire le contenu d'un site web pour l'exploiter sous une autre forme.
Mais pour utiliser un agrégateur, le client doit fournir son identifiant et mot de passe de connexion banque à distance. Cela pose question quant à la confidentialité, le stockage et la sécurité de ses données bancaires.
Le Web Scraping, qu'est-ce que c'est ?
Faire du neuf avec du vieux, c'est en quelque sorte l'ADN du Web Scraping.
Cet ensemble de techniques permet d'extraire automatiquement le contenu d'un ou de plusieurs sites Web dans le but de l'exploiter à des fins commerciales... mais pas seulement :
C'est surtout dans le domaine bancaire que le Web Scraping fait le plus parler de lui avec les agrégateurs de comptes bancaires qui donnent une vision globale de tous les comptes bancaires de leurs clients et les assistent dans la gestion de leur budget. Une solution qui séduit les clients multi-bancarisés qui n'hésitent pas à fournir les identifiants et mots de passe des différents espaces clients dont ils disposent dans leurs multiples banques malgré le risque que cela comporte pour la sécurité de leurs données.
Flou juridique autour du Web Scraping
Revers de la médaille, une fois votre identifiant et votre mot de passe transmis, les agrégateurs et initiateurs de paiement vont piocher les données directement dans le système d'information de votre banque, ce qui n'est pas sans poser question quant à la sécurité et à l'utilisation qui sera faite des données exportées, récoltées depuis votre espace client. L'application en question a donc accès à toutes les données de votre service client sur cmne.fr ou d'autres espaces bancaires en ligne (comptes, messagerie sécurisée) sous votre seule responsabilité. Pour rappel : nous vous déconseillons de transmettre votre identifiant et votre mot de passe à des tiers. Un mot de passe et un identifiant équivalent à votre code de carte bancaire. Si vous les communiquez à des tiers, vos données personnelles, vos transactions, et vos comptes ne sont plus en sécurité. Par tiers, il faut entendre : personnes physiques, personnes morales (société, association,…)
Alors, est-ce vraiment légal ? Un certain flou juridique entoure aujourd'hui le Web Scraping.
Dans une tribune , Pascal Agosti, avocat spécialiste en droit des Nouvelles Technologies, de l'Informatique et de la Communication, reconnaît que la pratique du Web Scraping pourrait être considérée comme du
« vol de données » ou constituer « un acte de concurrence déloyale » voire un « acte de parasitisme ».
Dans ce contexte et pour répondre à de nouveaux enjeux de sécurité mais aussi économiques, une nouvelle Directive européenne sur les Services de Paiements (DSP2) a vu le jour le 13 janvier 2018.
Web Scraping et Open Banking
Cette nouvelle règlementation impose aux banques d'ouvrir l'accès à leurs données clients aux PSP (initiateurs de services de paiement en anglais, comme PayPal par exemple), aux agrégateurs ou encore aux Fintechs. Ces nouveaux acteurs sur le marché de la finance numérique peuvent également être des autres banques ou des assureurs.
Le but est de permettre l'ouverture du marché à de nouveaux acteurs en leur donnant accès aux informations sur les comptes des clients par un canal de communication sécurisé : C'est l'Open Banking. Il s'agit «d'encourager le développement de systèmes de paiement en ligne et mobiles innovants, ce qui stimulera l'économie et la croissance. » selon Valdis Dombrovskis, vice-président de la Commission chargé de la stabilité financière, des services financiers et de l'union des marchés des capitaux.
En réponse aux alertes des acteurs bancaires, la Commission Européenne a réagi en contraignant les agrégateurs de compte à passer par une interface de programmation interopérable (API) contrôlée par la banque si cette dernière l'exige. Autrement dit « les banques teneuses de comptes doivent mettre à disposition des agrégateurs et initiateurs de paiement une interface standardisée et sécurisée qui doit se substituer aux techniques actuelles de Web Scraping, basées sur l'utilisation par les agrégateurs et initiateurs de paiement des identifiants et des mots de passe des clients. »
Mais, si les startups jugent que cette plateforme, mise en place par la banque traditionnelle, n'est pas viable, elles pourront revenir au Web Scraping.
Face au bras de fer entre la Commission Européenne, l'Autorité Bancaire Européenne (ABE), les banques et les startups de la Fintech, un délai d'adaptation de 18 mois après la publication au JO de l'UE des normes techniques est prévu, ce qui devrait reporter leur application à septembre 2019.
Gardons bien en tête que l'objectif premier de telles mesures est de renforcer le niveau de sécurité des paiements et la protection des clients. Ainsi, la DSP2 «interdit aux PSP (Payment Service Provider) d'accéder à toute autre donnée du compte de paiement du client que celles pour lesquelles le client a donné son autorisation explicite. Les clients devront consentir à l'accès, à l'utilisation et au traitement de leurs données.»
Sources :
Memo 8 FBF La DSP2 et les enjeux de sécurité ; https://www.latribune.fr/entreprises-finance/banques-finance/paiement-la-directive-dsp2-entre-en-vigueur-c-est-quoi-764449.html
https://www.usine-digitale.fr/article/le-web-scraping-et-le-droit-qu-est-ce-qui-est-vraiment-legal.N594768
* Global Security Mag - octobre 2017- Baromètre RGPD